Установка прокси-сервера

MS Proxy Server 2.0 должен устанавливаться на компьютер, работающий под управлением Windows NT 4.0 Server с установленным MS Internet Information Server и Service Pack 3 или выше.

Перед установкой необходимо знать IP-адреса внутренней сети и IP-адрес внешнего интерфейса компьютера, на который устанавливается прокси-сервер.

Т.к. WebProxy для кэширования может использовать только раздел жесткого диска с файловой системой NTFS, на жестком диске должен быть как минимум один такой раздел.

Настройка таблицы локальных адресов

Таблица локальных адресов (LAT - Local Address Table) используется прокси-сервером для определения того, какие IP-адреса принадлежат внутренней сети организации, а какие - внешней (Интернету). Ее необходимо составлять тщательно и без ошибок, т.к. если в эту таблицу попадут адреса, на самом деле принадлежащие внешней сети, к ним не будут применяться правила фильтрации пакетов, и злоумышленник, работающий с этих адресов, фактически будет приравнен в правах к пользователям внутренней сети. По этой же причине необходимо тщательно отслеживать все изменения LAT.

Для изменения LAT необходимо в свойствах любой из служб прокси нажать кнопку Local Address Table… При этом откроется окно следующего вида:

В поле Edit задаются начальный и конечный IP-адреса диапазона внутренних IP-адресов. В правой части собственно и показана LAT.

Нажатие кнопки Construct Table открывает окно, в котором можно задать параметры для автоматической конфигурации LAT. Делать это рекомендуется только в том случае, когда точно неизвестны IP-адреса, принадлежащие внутренней сети.

Для нашей типовой сети рекомендуется диапазон 192.168.0.0 - 192.168.0.255, - адреса, выделенные для сетей, которые не подключаются к Интернет напрямую.

Настройка разрешений пользователям и группам

В соответствии с политикой безопасности организации отдельным пользователям может быть разрешен полный доступ в Интернет, отдельным - доступ только к FTP ресурсам, или, например, электронной почте. MS Proxy Server 2.0 тесно интегрирован с системой безопасности Windows NT и может использовать список пользователей и групп для разрешения им доступа в Интернет по различным протоколам.

Рекомендуется завести отдельные локальные группы для пользователей различных протоколов, например - «Users of FTP Proxy», «Users of WWW Proxy» и т.п. Далее, в настройках Permissions службы Web Proxy или WinSock Proxy нужно дать каждой группе право пользования соответствующим протоколом. Теперь, чтобы дать конкретному пользователю право работать по данному протоколу, достаточно просто включить его в соответствующую группу. И наоборот, чтобы запретить использование протокола - удалить его из группы.

Чтобы включить контроль доступа, необходимо на вкладке Permissions соответствующей службы Proxy (Web Proxy или WinSock Proxy) поставить галочку в поле Enable access control. Кнопка Edit позволяет редактировать список пользователей, которым разрешен доступ к данному протоколу.

Для аутентификации пользователя могут применяться протоколы Basic и Windows NT Challenge / Response. Задать использование протокола можно в свойствах службы WWW.

Протокол аутентификации Basic плох тем, что пароль в нем по сети передается в открытом, т.е. не зашифрованном, виде. В отличие от Basic, протокол Windows NT Challenge / Response всегда передает пароль только в зашифрованном виде. Его преимуществом также является то, что пользователю при доступе не нужно вводить имя / пароль - используются значения, указанные им при входе в сеть. Но этот протокол поддерживается только Microsoft Internet Explorer 2.0 и выше. Т.о., если во внутренней сети функционируют приложения, не поддерживающие Windows NT Challenge / Response, и необходимо ограничить отдельным пользователям доступ в Интернет, единственным выходом остается использование протокола Basic.

В случае, если разрешен анонимный доступ, то пользователи, не указывающие имя / пароль, олицетворяются аккаунтом, указанном в поле Anonymous Logon. Этот тип доступа включать не рекомендуется.

Служба Socks Proxy не поддерживает аутентификацию на уровне пользователей. Для этой службы можно задать фильтр, в котором присутствуют адрес источника, приемника и номер порта.

В поле Action выбирается deny (запретить) или permit (разрешить). В качестве параметров для фильтра указываются:

в поле Source (отправитель) и Destination (получатель): ALL - все компьютеры; Domain / Zone - домен или зона, указываемая в форме полного доменного имени (например, mycompany.com); IP Address - конкретный IP-адрес с маской подсети;

в поле Port: операция над номером порта (EQ - равно, NEQ - не равно, GT - больше, LT - меньше, GE - больше или равно, LE - меньше или равно). В поле Port number or service name - номер порта или название службы TCP/IP, с которым происходит сравнение при выполнении указанной операции.

Порт и получатель учитываются только, если поставить соответствующие галочки.

Т.о., для протокола Socks можно запретить доступ к определенным службам отдельным компьютерам. Вообще, если в сети все клиенты работают под управлением MS Windows, то применять протокол Socks не рекомендуется, - его вполне заменяет WinSock.

Для нашей типовой сети рекомендуется следующая политика разграничения доступа:

служба Socks Proxy отключена;

включена аутентификация с помощью протокола Windows NT Challenge / Response, аутентификация с помощью протокола Basic отключена, анонимный доступ также отключен;

для служб Web Proxy и WinSock Proxy включен контроль доступа;

созданы глобальные группы “Users of Proxy - unlimited”, “Users of WWW Proxy”, “Users of FTP Proxy”, “Users of Gopher Proxy”, “Users of SSL Proxy”, “Users of Email”, “Users of News” и т.п.;

для Web Proxy разрешен доступ соответствующим группам по четырем поддерживаемым службой протоколам;

для WinSock Proxy соответствующим группам разрешен доступ к соответствующим протоколам;

группе “Users of Proxy - unlimited” разрешен доступ ко всем протоколам Web Proxy и Unlimited Access для WinSock Proxy. В эту группу рекомендуется включать только администраторов и руководителей;

в службе WinSock Proxy доступ к протоколу DNS разрешен группе “Everyone”.

Настройка фильтрации пакетов

Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Packet Filters.

Как принято во всех брандмауэрах, прохождение всех пакетов данных по умолчанию запрещено. Чтобы разрешить прохождение определенных пакетов, надо явно задать для него правило в списке исключений.

Фильтрация пакетов включается установкой галочки в поле Enable packet filtering for external interface.

Поле Enable dynamic packet filtering of Microsoft Proxy Server packets позволяет включить создание динамических фильтров для соединений, открываемых одной из служб прокси. Если отключить эту возможность, то нужно очень тщательно создавать фильтры вручную.

Поле Enable filtering of IP fragments позволяет включить контроль над фрагментами датаграмм и пакетов данных.

В поле Exceptions собственно и находится список фильтров.

В Microsoft Proxy Server имеется большое количество встроенных фильтров, которые можно добавить кнопкой Add… Также можно создавать пользовательские фильтры.

Параметры фильтра включают в себя протокол (ICMP, TCP, UDP), направление (In, Out, Both), номер локального порта, номер удаленного порта, IP-адрес локального хоста, IP-адрес удаленного хоста. Таким образом, IP-пакет пропускается только в том случае, если его параметры удовлетворяют указанному в одном из фильтров.

Рекомендуется установить следующие настройки:

включить динамическое создание фильтров;

отключить фильтрацию IP-фрагментов (так как это увеличивает нагрузку на прокси-сервер);

в дополнение к фильтрам по умолчанию установить фильтры из таблицы 1, которые разрешают доступ к внутренним Web и Mail серверам.

Таблица 1. Настройка доступа к отдельным узлам и доменам Интернета

Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Domain Filters.

Здесь можно ограничить доступ к конкретным узлам и доменам Интернета в соответствии с политикой организации.

Настройка генерации предупреждений

Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Alerting.

На этой вкладке можно настроить генерацию предупреждений (Alerts) на три типа событий: Rejected Packets (отброшенные пакеты), Protocol violations (выявление в отброшенных пакетах потенциально опасных), Disk full (диск заполнен).

Основанием для генерации предупреждения становится появление события не реже заданного количества раз в секунду.

Рекомендуется оставить настройки по умолчанию. Системному администратору рекомендуется не реже одного раза в сутки просматривать журнал событий Windows NT компьютера, выполняющего функции прокси-сервера.

Настройка ведения лог-файлов

Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Logging.

Лог можно в обычном (Regular) и подробном (Verbose) формате.

Рекомендуется оставить настройки по умолчанию. Системному администратору рекомендуется раз в сутки просматривать сгенерированный за прошедшие сутки лог-файл.

Безопасность Microsoft Exchange Server 5.5

Общая информация

Microsoft Exchange Server предоставляет решения для организаций в области обмена сообщениями и совместного использования информации. Серверная часть Microsoft Exchange включает службу каталога, хранилище информации, агента передачи сообщений, коннекторы. Все эти компоненты запускаются как Microsoft Windows NT сервисы и работают совместно, обеспечивая следующие возможности:

управление службой каталога Microsoft Exchange Server;

управление доступом к информации;

предоставление структурированного архива документов и электронных сообщений;

передачу и маршрутизацию сообщений - внутри и за пределы организации;

контроль за состоянием серверов и соединений;

синхронизацию каталогов на всех серверах во всех отделениях;

управление репликацией и разрешение конфликтов репликации.

Административная программа

Программа Microsoft Exchange Administrator позволяет администраторам с одного места конфигурировать и управлять всей корпоративной системой - почтовыми ящиками пользователей, шлюзами и серверами, находящимися в любом филиале корпорации. Эта программа дает графическое представление всех компонентов системы в виде иерархической структуры, упрощая выполнение основных операций над группой ресурсов на каждом уровне структуры.

Каталог

Каталог, или адресная книга, Microsoft Exchange Server хранит всю доступную информацию о пользователях и ресурсах организации, включая почтовые ящики, списки рассылки, общие папки, серверы и т.д. Каталог автоматически распространяется на все серверы внутри отделения (Site) и может быть специально настроен для автоматической синхронизации с почтовыми отделениями на других серверах.

Каталог Microsoft Exchange гораздо больше, чем просто адресная книга. В нем может храниться полная информация о пользователях - адрес, телефон, должность и т.д., то есть каталог может использоваться как, например, телефонный справочник организации.

Хранилище информации

Хранилище информации Microsoft Exchange представляет собой структурированный архив для хранения информации, созданной пользователями. Это нереляционная база данных, разработанная для хранения разнородной информации (такой, как электронная почта, файлы вложений, графика, звук, видео), которая предоставляет быстрый доступ к этим данным. Администраторы имеют возможность:

устанавливать ограничения на размер хранимых общих и личных папок;

устанавливать временной лимит и автоматически удалять из хранилища устаревшую информацию;

определять права доступа к общим папкам;

тиражировать общие папки по заданному расписанию.

Хранилище информации состоит из двух баз данных: одна используется для хранения личных папок пользователя, другая - для общих папок. Механизм репликаций позволяет автоматически распространять информацию, хранимую в общих папках, на любые серверы Microsoft Exchange.

Личные папки хранят информацию, принадлежащую отдельным пользователям. Только владельцы этих папок могут делегировать права доступа к информации, хранимой в этих папках. Личные папки хранятся в компьютере, на котором установлен Microsoft Exchange Server, и управляются владельцем этой папки.

Общие папки являются ключевым компонентом Microsoft Exchange Server. Благодаря возможности тиражирования этих папок, пользователи имеют доступ к одной и той же информации, независимо от их местонахождения.

Администратор имеет множество средств управления процессом тиражирования. Он может, например, установить различные параметры: время, когда начинается тиражирование, какая информация должна распространяться по организации и т.д.

Агент передачи сообщений

Агент передачи сообщений (Message Transfer Agent - MTA) служит для маршрутизации и передачи данных на другие серверы и почтовые системы. Это - основа коммуникационной инфраструктуры Microsoft Exchange Server.

Агент передачи сообщений использует четыре компонента для передачи данных:

Site коннектор;

RAS (Remote Access Service) коннектор;

X.400 коннектор;

Internet Mail Connector;

Newsfeed.

Site коннектор -наиболее эффективный путь для соединения двух отделений (Sites, а точнее - двух MS Exchange серверов), легко настраиваемый и использующий любые сетевые протоколы. Однако для его применения требуется постоянное соединение с высокой скоростью, то есть соединение по сети или выделенный канал. RAS (Remote Access Service) коннектор - частный случай Site коннектора. Но вместо постоянного соединения для его настройки используется сервис удаленного доступа, то есть связь по асинхронным (телефонным) линиям. Такая связь может устанавливается по заданному расписанию.

X.400 коннектор соответствует стандартам X.400 Международного комитета по телефонии и телеграфии (МКТТ), опубликованным в 1984 и 1988 году. Обычно используется, когда необходима передача сообщений в общественные X.400 системы.

Internet Mail Connector позволяет пользователям обмениваться сообщениями с пользователями Internet. Internet Mail Connector поддерживает протоколы SMTP, POP3, IMAP4. Newsfeed - служба, поддерживающая протокол обмена новостями с сетью USENET по протоколу NNTP.

Internet Mail Connector также поддерживает стандарт Internet, известный как MIME (Multipurpose Internet Mail Extension), для передачи мультимедийных объектов, включая текстовые документы, PostScript* и бинарные файлы, графику, видео, голосовые сообщения и др. Кроме того, Internet Mail Connector поддерживает стандарты для передачи бинарных файлов вложений (Аttachments), использующих UUENCODE.

Internet Mail Connector можно настроить как SMTP клиент, как SMTP сервер или как и клиент, и сервер одновременно. Как сервер, он ожидает соединения с хостом SMTP для принятия сообщений. А как клиент, он инициирует связь с хостом SMTP для отправки исходящих сообщений.

Internet Mail Connector может функционировать как SMTP хост, выполняя маршрутизацию передачи сообщений. Он обращается к серверу имен домена (Domain Name Server) или локальному хосту для того, чтобы определить, куда сообщение должно быть доставлено. Если получатель находится в другой SMTP системе, то Internet Mail Connector или доставит сообщение на искомый SMTP хост, или перешлет на другой SMTP хост для дальнейшей маршрутизации.

Настройка MS Exchange Server 5.5

Интернет-сервер (Internet Information Server, US) обеспечивает доступ по сети к файловым и вычислительным ресурсам компьютера с операционной системой Windows NT по протоколам HTTP, FTP, Gopher.

При подключении к Интернету информационные ресурсы становятся доступны огромному неконтролируемому сообществу, поэтому здесь администратор должен найти способ жестко ограничить спектр допустимых для пользователя действий.

Введение в IIS

Рассмотрим вкратце назначение каждого из трех протоколов Интернет-сервера.

Проще всего передать информацию с одного компьютера на другой в виде файла данных, т.е. по протоколу передачи файлов (File Transfer Protocol, FTP). В этом протоколе используются обычные категории файловых систем: в каталогах, образующих древовидную структуру, находятся файлы данных.

Протокол Gopher предназначен для распределенных систем поиска и извлечения документов. Система Gopher использует концепцию каталога, содержащего отдельные документы. Каталоги Gopher можно расположить на разных компьютерах, при этом связав их в единую сетевую структуру. В последнее время протокол Gopher практически полностью вытеснен протоколом HTTP, поэтому в дальнейшем мы его рассматривать не будем.

Протокол передачи гипертекста (Hypertext Transfer Protocol, HTTP) служит для передачи информации вместе с признаком, указывающим тип данных. Изначальная цель его разработки -- создание распределенных информационной систем, построенных по принципу гипертекста. Свидетельство успеха этого проекта -- «Всемирная паутина» WWW (World Wide Web), основой которой как раз и является HTTP.

Анонимный и авторизованный доступ