Jedna od najbitnijih karakteristika koja je omogućena u ISA Server 2004 je aplikativno i web filterisanje. Implementacijom ovih filtera, ISA Server administratori mogu da konfigurišu veoma specifično filterisanje saobraćaja koji prolazi kroz kompjuter na kojem radi ISA Server 2004. Filterisanje nastaje u aplikativnom sloju (application layer). Na primer, HTTP filteri mogu da se konfigurišu da omogućavaju ili blokiraju saobraćaj u zavisnosti od fajl ekstenzija ili specifičnih virusnih potpisa. ISA Server administratori moraju da znaju kako se konfigurišu aplikativni i Web filteri da bi omogućilim naprednu zaštitu za mrežu u organizaciji.
Primarna prednost ISA servera u poređenju sa tradicionalnim Firewall-ovima je mogućnost filterisanja podataka aplikacija u mrežnim paketima čim uđu ili pri napuštanju mreže. Ova lekcija predstavlja pogled na to kako rade aplikativni i web filteri na ISA Serveru 2004.
Šta je aplikativni filter (application filter)?
Aplikativni filteri rade sa Firewall servisom na ISA serveru da bi presretali i procesuirali mrežne pakete dok prolaze kroz ISA Server. Aplikativni filteri proveravaju podatke na aplikativnom nivou i nakon toga filterišu pakete na osnovu Firewall pravila.
Aplikativni filteri na ISA Serveru su implementirani kao Component Object Model (COM)-server DLLs (dinamic Link Libraries) u mestu procesa Firewall servisa. Firewall servis u ISA Server 2004 radi u korisničkom modu (user mode). Kada se startuje Firewall servis, svi aplikativni filteri koji su registrovani u Firewall servisu se takođe učitavaju.
Aplikativni filteri su dodaci u Firewall servisu. Kada paket stigne, Firewall servis koristi Firewall pravila definisana u Rule Engine (mehanizmu za pravila) da bi proverio paket. Vrši se provera da bi videli da li je aplikativni filter pridružen sa protokolom koji koristi taj paket. Ako jeste, Firewall servis propušta paket ka aplikativnom filteru koji vrši detaljnu proveru. Aplikativni filter odrađuje Protocol-specific ili System specific zadate kao što su autentifikacija i provera na viruse.
ISA Server uključuje mnogo aplikativnih filtera, ali takođe nudi Application programing Interface (API) koji može da se iskoristi za izgradnju posebnih i drugačijih aplikativnih filtera.
Aplikativni filteri mogu da se iskoriste na nekoliko različitih načina na ISA Serveru, uključujući:
- Enabling Firewall traversal for complex protocols - Aplikativni filteri mogu da povećaju mogućnosti ISA Servera da obradi komplikovane protokole koji zahtevaju više od jedne TCP konekcije. Neke aplikacije, kao što su FTP ili Media Streaming aplikacije, iniciraju konekciju sa serverom koristeći specifični broj porta. Ipak, kada je inicijalna konekcija uspostavljena, server i klijent pregovaraju o jednom ili više dinamičkih portova koji će se koristiti u daljoj komunikaciji. Aplikativni filter može da omogući Firewall traversal tih protokola. Aplikativni filter omogućava ISA Serveru da prati pregovaranje između klijenta i servera o određivanju sekundarne konekcije, i nakon toga ISA Server može dinamički da konfiguriše portove koji su potrebni za sekundarnu konekciju. Primer takvog jednog filtera je ugrađeni FTP aplikativni filter koji obrađuje sve aspekte konfiguracije Firewall-a da automatski omogući sekundarni FTP kanal podataka.
- Enabling Protocol-Level Intrusion Detection - Aplikativni filteri mogu da izvrše proveru sadržaja aplikacijskih paketa da bi proverili da li postoje mogućnosti detektovanja napadača u nivou protocola. Najčešći primer ovog tipa filterisanja zasniva se na filterisanju komandi da bi se postigla zaštita od Buffer Overflow pokušaja. ISA Server nudi POP3, SMTP i DNS aplikativne filtere koji nude ovaj tip funkcionalnosti.
- Enabling Protocol-level content filtering - Aplikativni filteri mogu da rastave high-level aplikativne protokole, pretraže podatke (payload), i postave pravila i odrade određena procesuiranja na osnovu sadržaja. Na primer, možemo da koristimo ovu karakteristiku da dodelimo Protocol-level sintaksnu potvrdu, antivirusno skeniranje na fajl transverima ili skeniranje sadržaja na osnovu definisanih stringova. SMTP filter koji nudi ISA Server je primer ovog tipa aplikativnog filtera.
- Generating Alerts and log events - Aplikativni filteri mogu takođe da se koriste za kreiranje Alerta (uzbune) i logova događaja na osnovu aktivnosti koje je otkrio aplikativni filter. Na primer, DNS aplikativni filter detektuje ponavljajuće pokušaje napada, filter može da kreira alert ili da zapiše u log ovu informaciju.
Šta je web filter?
Web filteri takođe proširuju funkcionalnosti Firewall servisa na ISA Serveru tako što nude napredne mogućnosti filterisanja HTTP paketa dok prolaze kroz ISA Server.
Web filteri su DLL-ovi koji se zasnivaju na Internet Information Server (IIS) - Internet Server Application Programming Interface (ISAPI) modelu. Web filteri se učitavaju kroz Web Proxy filter koji određuje tipove događaja koje filter nadgleda. Svaki put kad se neki od ovih događaja desi, Web filter je obavešten.
Web filteri mogu da se iskoriste za odrađivanje nekoliko različitih zadataka, uključujući:
- Request scanning and modification - Web filter može da skenira HTTP klijentske zahteve i modifikuje ili dodaje header-e zahtevima. Na primer, možemo da koristimo web filter da dodamo cookie header zahtevu, ili da uklonimo header koji je poslao klijent.
- Response scanning and modification - Web filteri mogu da skeniraju i modifikuju odgovore servera. Na primer, u toku prevođenja linkova, ISA Server zamenjuje eksterno dostupna imena servera za interna imena. Link Translation filter koji se nalazi na ISA Serveru je web filter.
- Block Specific responses - Web filteri mogu da se koriste da blokiraju pristup određenom sajtu na osnovu sadržaja odgovora servera. Ove karakteristike takođe mogu da se iskoriste za skeniranje HTTP paketa na viruse.
- Traffic Logging and analysis - Web filteri mogu da se iskoriste za zapisivanje u logove određenih informacija o HTTP saobraćaju i za kreranje izveštaja na osnovu zapisanih informacija.
- Data Encryption or compression - Web filteri mogu da se iskoriste za postavljanje prilagođenog (custom) šifrovanja podataka ili kompresija na HTTP paketima.
- Custom authentification schemes - Microsoft office Outlook Web Access (OWA) forms-based autentifikacija, RSA SecurID autentfikacija, i RADIUS autentifikacija su sve implementirane kao Web filteri na ISA Serveru. Drugi proizvođači mogu da koriste web filtere da implementiraju dodatne autentifikacione šeme.
Zašto koristimo aplikativne i web filtere?
Aplikativni i web filteri nude ekstra sloj sigurnosti za mrežu. Ovi filteri mogu da provere svaki paket koji prolazi kroz ISA Server i filteriše pakete na osnovu rezultata inspekcije i provere. Ovo osigurava da paketi, koji možda predstavljaju pokušaje napada ili prestavljaju samo neželjene informacije, nikad ne dođu do odredišnog kompjutera.
Aplikativni i web filteri nude nekoliko prednosti, uključujući:
- Protection against malicious code - Možemo da koristimo aplikativne filtere da bi zaustavili napade iz izvora kao što su virusi i crvi. Kada se pojavi novi virus ili crv, možemo da identifikujemo karakteristike koje poseduje novi crv ili virus i onda iskoristimo aplikativni ili web filter da blokiramo virus.
- Protection against user actions - Možemo da iskoristimo aplikativno filterisanje da zaštitimo našu mrežu i sistem od opasnih akcija nespretnih ili namernih korisnika. Na primer, možemo da konfigurišemo filtere da sprečavaju download-ovanje potencijalno neželjenih i opasnih programa sa interneta ili da osiguramo da kritična i poverljiva informacija ne napusti organizaciju putem e-mail poruke.
- Protection against specific network communication - Aplikativni filteri mogu uspešno da ograniče akcije zaposlenih koje sprovode na mreži. ISA Server 2004 uključuje mogućnosti filterisanja koje može da spreči poznate i česte tipove komunikacije preko mreže kao što su peer-to-peer file-exchange services.
- Integration with third-party vendors or custom filters - ISA Server 2004 uključuje Application Programming Interface (API) koji mogu da iskoriste programeri ili drugi proizvođači za kreiranje prilagođenih filtera koji mogu da obrade i spreče skoro svaki nov napad na mrežu i njene resurse.
Arhitektura aplikativnih i web filtera
Aplikativni i web filteri rade u korisničkom modu (User mode) unutar Firewall servisa na ISA Server 2004 kompjuteru. Arhitektura aplikativnog i Web filterisanja je dizajnirana da ponudi visok nivo performanse kao i laku proširljivost.
Arhitektura aplikativnog i web filterisanja uključuje sledeće komponente:
- Application filter API - API se nalazi iznad Firewall servisa koji ga koristi za slanje paketa prema aplikatvnim filterima. Takođe API nudi nivo abstrakcije između Firewall servisa i aplikativnih filtera, što omogućava programerima pisanje dodatnih aplikativnih filtera.
- Web Proxy Filter - Web Proxy filter upravlja svim HTTP i HTTPS protokol zahtevima i odgovorima. U ISA Server 2004 Web Proxy je implementiran kao aplikativni filter.
- Web filter API - Ovaj API se nalazi iznad Web Proxy filtera i implementiran je u višem nivou od samog aplikativnog filtera API-ja.
Sledeći koraci opisuju kako klijentski zahtev prolazi kroz kompjuter na kojem radi ISA Server, uključujući i aplikativne i web filtere:
Klijent se konektuje na kompjuter na kojem radi ISA Server i šalje zahtev za pristup resursu koji se nalazi na drugoj mreži. Firewall mehanizam odrađuje filterisanje paketa (zahteva) i, ako je zahtev omogućen na tom nivou, konekcija se kreira i paket prolazi kroz Firewall servis. Firewall servis takođe proverava paket, uključujući i određivanje aplikativnog protokola koji paket koristi. Firewall servis nakon toga proverava Firewall pravila da bi se uverio da li su aplikativni ili web filteri povezani sa protokolom koji se koristi u tom paketu.
- Ako postoji povezani aplikativni filter koji se odnosi na protokol koji koristi paket, Firewall servis šalje zahtev tom aplikativnom filteru. Aplikativni filter filteriše zahtev na osnovu konfiguracije filtera i/ili blokira zahtev ili prihvata zahtev.
- Ako zahtev koristi HTTP ili HTTPS, Firewall servis proverava da li je Web Proxy filter registrovan za taj saobraćaj. Ako jeste, Firewall servis šalje zahtev ka Web proxy filteru. Web filter vrši proveru HTTP paketa i odobrava ili blokira zahtev.
- Ako je zahtev odobren bilo aplikativnim ili Web Proxy filterom, šalje se ponovo ka Firewall servisu koji ga dalje šalje ka mrežnom interfejsu odredišnog servera.
