Suchen

Microsoft ISA Server 2006 Optimaler Einsatz im Unternehmen

| Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz

Mit dem ISA Server 2006 hat Microsoft einen leistungsfähigen Firewall- und Proxy-Server im Programm, der auch für KMUs eine interessante Alternative zu anderen Hard- und Softwarelösungen ist. Wir zeigen Ihnen, wie sich der Server in der Praxis schlägt und was es beim Unternehmenseinsatz zu beachten gilt.

Firma zum Thema

( Archiv: Vogel Business Media )

Der aktuelle ISA Server ist die Weiterentwicklung von ISA Server 2004. Da sich die Arbeitsoberfläche nicht wesentlich geändert hat, wird sich jeder ISA-Administrator sofort zurecht finden. Nähere Informationen zu den verschiedenen ISA-Server-Versionen und zu Grundlagen rund um Firewall-Konzepte lesen Sie in unserem Artikel „Microsoft ISA Server 2006: Das passende Firewall-Konzept“

Verbessert zeigen sich HTTP-Komprimierung, Verwaltung von digitalen Zertifikaten und Authentifizierungsmethoden. Aktuell hinzugekommenen ist die Abwehr von Flutangriffen, was den Einsatz auch als Frontfirewall ermöglicht. Praktisch ist auch die Möglichkeit, dass sich Benutzer nur einmal authentifizieren müssen, um auf veröffentlichte Ressourcen, wie SharePoint Portal Server oder andere Server zuzugreifen.

Bildergalerie

Szenarien für mittelständische Unternehmen

Mögliche Szenarien mit ISA Servern sind:

  • Ein einzelner ISA Server als Edgefirewall und als Web-Proxy.
  • Mehrere ISA Server mit Perimeternetzwerk(en), davon einer als Web-Proxy. Ein Server ist Frontfirewall, der andere Backfirewall.
  • ISA Server als Frontfirewall und eine Firewall eines anderen Herstellers.
  • Eine Frontfirewall eines anderen Herstellers und ein ISA Server als Backfirewall mit Web-Proxy im internen Netzwerksegment.
  • Verwenden von zwei Firewalls anderer Hersteller und ISA Server als Web-Proxy.

ISA Server 2006 ist mittlerweile ein ausgereiftes Produkt und kann als Front-, Edge- oder Backfirewall verwendet werden. Mit der Philosophie, dass es kein absolut sicheres System gibt, bietet eine Kombination aus zwei Firewalls verschiedener Hersteller eine bessere Sicherheit. Daher hat Security-Insider sich entschieden, ein Szenario aus zwei Systemen vorzustellen: Einer Frontfirewall mit Router und einer Backfirewall incl. Web-Proxy mit ISA Server 2006. Mit dieser Konfiguration lässt sich kostengünstig ein umfangreicher Schutz aufbauen.

Variationen des ISA-Server-Clients

Voreingestellt verwendet ISA Server einen speziellen ISA Server Client, der eine verschlüsselte Kommunikation ermöglicht. Dieser Client läuft auf allen modernen Microsoft Betriebssystemen ab Windows 2000. Bei Windows NT4, Windows ME oder Windows 98 SE muss leider auf die Verschlüsselung verzichtet werden. Diese wird dann explizit am ISA Server für alle Clientverbindungen ausgestellt. Ausnahmen für spezielle Computergeräte können nicht gemacht werden. Der Einsatz von Betriebsystemen, die älter als Windows NT4 sind, ist demnach aus Sicherheitsgründen nicht zu empfehlen. Unwahrscheinlich ist auch, dass Linux-Clients auf einen ISA Server zugreifen. Zurzeit ist es genauso unwahrscheinlich, dass Microsoft einen entsprechenden Client anbietet.

Der ISA Server unterstützt drei Arten von Clients:

  • Firewallclients (Client mit Clientsoftware)
  • SecureNAT-Clients (Clientcomputer ohne Clientsoftware)
  • Webproxyclients (Webbrowser mit HTTP 1.1)

Zu empfehlen ist die Verwendung des ISA Server-Clients, da nur dieser alle Funktionen, wie das Filtern (SMTP-, FTP-Filter, usw.) des Datenverkehrs und anderen Add-Ins unterstützt. Die Firewallclientsoftware soll sich voreingestellt – laut Microsoft – im Verzeichnis \MsPclnt befinden, welches im Netzwerk freigegeben ist. Der Client ist über MS-Technet und die Installations-CD verfügbar.

Über Systems Management Server- oder Active Directory-Softwareverteilung kann die Software unter Angabe eines Parameters auf die Clients installiert werden. Dieser Schalter ist notwendig, damit die Clients den ISA Server im Netzwerk finden. Wird der Server gefunden, kann der Client automatisch konfiguriert werden. Für die automatische Erkennung gibt es zwei Möglichkeiten. Die eine ist die „automatische Ermittlung“ über WPAD (Web Proxy Automatic Discovery) und die andere die „automatische Erkennung“ mit einem Konfigurationsscript. Auch die Einstellung einer Alternativroute für die Internetverbindung ist möglich, falls der bisherige ISA Server nicht verfügbar ist. Welche Methode auch verwendet wird, als Ergebnis muss der Firewallclient die globalen Clienteinstellungen des ISA Servers anwenden. In den Anwendungseinstellungen für die Clients kann ein Administrator festlegen, welche Software einen Zugriff auf den ISA Server – und damit auch über das Internet – verfügen soll.

Zu beachten sind bei Verwendung des Web-Proxys die Einstellungen im Browser. Für den Zugriff auf einen ISA Server kann sowohl der Firefox als auch der MS Internet Explorer verwendet werden. Vorteilhaft ist hier der Microsoft Internet Explorer, da dieser über Active Directory-Systemrichtlinien verwaltet werden kann. Die Webbrowsereinstellungen können so konfiguriert werden, dass sie die Option „Automatisches Konfigurationsscript verwenden“ aktivieren.

Arbeitsoberfläche

Zur Verwaltung von ISA Server 2006 (in der deutschen Version) steht das Snap-In „ Microsoft Internet Security and Acceleration Server 2006“ bereit. Die Arbeitsoberfläche des Programms ist, wie bei einigen anderen Microsoft Servern auch, in drei Teile gegliedert: Die Konsolenstruktur links, der Detailbereich in der Mitte und der Aufgabenbereich rechts. Je nach Objekt in der Konsolenstruktur verändern sich Detailbereich und Aufgabenbereich. Der Aufgabenbereich kann verschiedene Reiter beinhalten. Wird eine Einstellung, wie zum Beispiel die Änderung eine Firewallrichtlinie, vorgenommen, muss diese grundsätzlich mit der gelben Taste „Übernehmen“ bestätigt werden. Mit dem Zusatz wird vermieden, dass Einstellungen versehentlich vorgenommen werden. Es auch passieren, dass nach einer Neukonfiguration der Firewall-Dienst neu gestartet werden muss.

Die Oberfläche ist benutzerfreundlich gestaltet und zeigt sich im Vergleich zu den Vorgängerversionen verbessert. Aktuell sind sogar Drag & Drop-Bearbeitungen an einigen Stellen möglich, aber leider nicht bei der Reihenfolge der Firewallrichtlinien. Für die jeweiligen Aufgaben stehen eine Vielzahl von Assistenten bereit. So wird man beispielsweise vor der Konfiguration von Firewallrichtlinien gefragt, ob man für die Widerherstellung der alten Einstellungen die bestehende Konfiguration sichern möchte.

Vorlagen erleichtern die Administration

Der ISA Server stellt für die oben genannten Szenarien XML-basierende Konfigurationsvorlagen bereit. Mit diesen Vorlagen ist es erstaunlich einfach geworden! Ein ISA-Administrator kann schnell eine Basiskonfiguration erstellen, die anschließend den individuellen Bedürfnissen angepasst werden kann. Nach Auswahl einer Vorlage beginnt die Feinarbeit. Dennoch: Nach ein paar wenigen Klicks können Clients im Internet surfen.

Für das ausgewählte Firewall-Szenario kann die Vorlage „Backfirewall“ ausgewählt werden (siehe Abbildung 2). Diese Vorlage erlaubt den gebräuchlichen Internetzugriff und bereitet die VPN-Netzwerkverbindung vor.

Veröffentlichen mit Gateways

Je nach Bedarf kann ein Exchange Server oder ein SharePoint Portal Server veröffentlicht werden. Für diese Aufgaben stehen unter „Firewall Richtlinienaufgaben“ eine Reihe von Assistenten bereit. Um bestimmte Ports zu öffnen oder nur bestimmte Inhalte oder IP-Adressen zu erlauben, kann eine ganz normale Regel über „Zugriffsregel erstellen“ konfiguriert werden.

Fazit

Vergleicht man den ISA Server mit seinen Mitbewerbern, punktet er bei der Bedienung und als vor allem als Gesamtpaket. Zwei Argumente, die Helfen Kosten zu sparen. Kunden, die es preiswerter haben möchten, weichen ohnehin auf Linux aus. Andere, darunter viele große Unternehmen, vertrauen alt-ehrwürdigen Firewall-Herstellern und würden Microsoftprodukte generell nicht als Firewall einsetzen. Mit ISA Server 2006 Standard ist Microsoft allerdings ein gut zu bedienendes Produkt gelungen, das ganz gut zur mittelständischen Zielgruppe passt. Es bietet eine Funktionalität als Web-Proxy und ist aufgrund der gehärteten Dienste sogar auch als Frontfirewall denkbar. Im Lieferumfang gehört ein Firewallclient, der eine verschlüsselte Kommunikation zum ISA Server ermöglicht.

Artikelfiles und Artikellinks

(ID:2001664)