Portal Zarządzających Bezpieczeństwem

Przyglądnijmy się zupełnie nowej funkcji w TMG, którą jest Kreator Polityki Dostępu do Sieci (Web Access Policy Wizard).

W dwóch poprzednich częściach omówiliśmy niektóre z funkcji anty-malware oraz sieci proxy i buforowania, jakie są zawarte w wersji Beta 1 bramy Forefront TMG. W części trzeciej – i ostatniej – przyglądniemy się zupełnie nowej funkcji w TMG, którą jest Kreator Polityki Dostępu do Sieci (Web Access Policy Wizard).

Przegląd Kreatora Polityki Dostępu do Sieci

Przejdźmy do sedna sprawy, którym jest Kreator Polityki Dostępu do Sieci. Jest to nowy kreator, który nie występował w poprzednich wersjach ISA Firewall. Możesz używać tego kreatora do tworzenia wszystkich zasad dostępu wychodzącego HTTP i HTTPS. Kreator następnie stworzy Grupę Polityki Dostępu do Sieci (Web Access Policy Group), która automatycznie zostanie umieszczona w polityce Firewall. Choć podoba mi się pomysł tworzenia grupy, zobaczymy, że są pewne ograniczenia przy tworzeniu Zasad Dostępu. Miejmy nadzieję, że problem, który opiszę na końcu tego artykułu, zostanie rozwiązany zanim TMG będzie gotowy do wypuszczenia na rynek.

Kliknij na link Configure Web Access Policy w zakładce Tasks pola zadań. Pojawi się strona Welcome to the Web Access Policy Wizard. Kliknij Next.

Na stronie Web Protection dostępne są dwie opcje:

• Yes, enable the malware inspection feature (Tak, włącz funkcję inspekcji złośliwego oprogramowania)
• No, do not enable the malware inspection feature (Nie, nie włączaj funkcji inspekcji złośliwego oprogramowania).

Wcześniej można było włączyć inspekcję złośliwego oprogramowania przez kliknięcie na link Configure Malware Inspection w zakładce Tasks w węźle Web Access Policy. Jednak kreator próbuje ułatwić sprawę i daje tutaj tę opcję.

Zauważ, że strona informuje, że inspekcja złośliwego oprogramowania działa przez 90 dni bez licencji. Nie mam pewności czy to dotyczy produktu Beta 1. Nie wiem także czy będzie nadal działać bez licencji. Kliknij Next.

Na stronie Web Access Policy Type masz dwie opcje:

• Create a simple Web access policy for all the clients in my organization (Stwórz prostą politykę dostępu do sieci dla wszystkich klientów w mojej organizacji). Umożliwi to stworzenie prostej, globalnej zasady dostępu do sieci, która będzie dotyczyła wszystkich użytkowników, więc jeśli wybierzesz tę opcję, uwierzytelnienie nie będzie wymagane i obsługiwane
• Create customized Web access policies for users, group and computer (Stwórz niestandardowe polityki dostępu do sieci dla użytkowników, grupy i komputera). Opcja ta umożliwi stworzenie bardziej złożonej polityki dostępu do sieci, co doprowadzi do utworzenia grupy polityki dostępu do sieci. Możesz stworzyć zasady, które będą się odnosiły zarówno do połączeń uwierzytelnionych, jak i anonimowych.

W tym przykładzie wybierzemy Create customized Web access policies for users, groups and computer, aby zobaczyć jakie opcje są dostępne. Kliknij Next.

Na stronie Access Policy Groups masz 3 opcje do wyboru:

• Users and user group only (Jedynie użytkownicy i grupa użytkowników). Opcja ta umożliwi stworzenie Zasad Dostępu dla uwierzytelnionych użytkowników. Jeżeli użytkownicy nie mogą być uwierzytelnieni, a to są jedyne zasady jakie posiadasz, zapora TMG domyślnie ustawi bardziej bezpieczną konfigurację i odrzuci prośbę.
• Computers, IP address, and subnets (Komputery, adres IP oraz podsieci). Opcja ta stworzy grupę polityki dostępu do sieci, która będzie się odnosić do klientów, którzy nie mogą zostać uwierzytelnieni i umożliwia skonfigurowanie dostępu w oparciu o adres IP klienta wnoszącego prośbę.
• Any of the above (Którekolwiek z powyższych). Opcja ta umożliwia stworzenie zasad, które odnoszą się zarówno do anonimowych (połączenia, które nie mogą być uwierzytelnione), jak i do uwierzytelnionych połączeń.

W tym przykładzie wybierzemy opcję Any of the above, ponieważ wydaje się być najbardziej złożoną i da nam najwięcej opcji do wyboru.

Na stronie Default Web Access Policy podejmujesz decyzję na temat tego, co chcesz, aby robiła zapora TMG, jeśli prośba o połączenie nie odpowiada żadnej zasadzie z grupy zasad dostępu do sieci. W większości przypadków wybiera się opcję Deny the Web request (odrzuć prośbę sieci), ponieważ w gruncie rzeczy będzie to Twoja własna prośba o połączenie HTTP „wyczyść zasadę”. Jednak w czasie testowania możesz zechcieć przyjąć bardziej liberalne podejście, bo możesz nie być pewien, że TMG działa w czasie wczesnego testowania. Zawsze jest czas, aby uściślić to później.

W tym przykładzie wybieramy opcję Allow the Web request (Zezwól na prośbę sieci) i kliknij Next.

Na stronie Anonymous Web Access Policies definiujesz polityki, odnoszące się do anonimowych połączeń poprzez zapoę TMG. Aby stworzyć tę politykę, kliknij przycisk Add, co wywoła okno dialogowe Add Access Policy.

W oknie dialogowym Add Access Policy najpierw dodajesz źródło prośby w ramce Access Groups. Używasz przycisku Add, aby dodać jedną lub więcej możliwości z poniższych:

• Sieci
• Zestawy sieci
• Zakresy adresów
• Komputery
• Zestawy komputerów
• Podsieci

Powodem, dlaczego jedynie te opcje są dostępne, jest fakt, że każda z nich zawiera tylko adres IP. Nie zawierają one użytkowników lub grup, co wymagałoby połączeń uwierzytelnionych.

Gdy już zdecydujesz jakie jest źródło dla tej polityki, zdecyduj jakie będzie miejsce przeznaczenia. Jest to sprawa bardziej intuicyjna i dopasowana do zwykłej konfiguracji zasady dostępu (nie nazywa miejsca przeznaczenia „grupą serwerów” czy czymś w tym rodzaju). Dodatkowo musisz określić czy przy danym źródle oraz miejscu przeznaczenia, połączenie ma być dopuszczone czy odrzucone.

W tym przykładzie stworzyłem politykę dostępu, która odrzuca dostęp ze wszystkich hostów w wewnętrznej sieci domyślnej do miejsca przeznaczenia i jest to zestaw URL nazwany przeze mnie Forbidden Web Sites (Zabronione strony WWW). Stworzyłem także zasadę zezwalającą wszystkim adresom IP w wewnętrznej sieci domyślnej przechodzić do wszystkich stron WWW w sieci. Następnie przeniosłem zasadę „Deny” (Odrzuć) ponad zasady „Allow” (Zezwól) przy użyciu strzałek na stronie Anonymous Web Access Policies.

Po stworzeniu swoich polityk dostępu anonimowego, kliknij Next.

Na stronie Authenticated Web Access Policies tworzysz Polityki Dostępu, które odnoszą się do użytkowników, którzy mogą być uwierzytelnieni. W tym przypadku będą to użytkownicy skonfigurowani jako sieć proxy lub klienci Firewall. Gdy klikniesz na przycisk Add na stronie Authenticated Web Access Policies pojawi się okno dialogowe Add Access Policy.

Gdy klikniesz przycisk Add, aby dodać Access Groups do tej strony, zobaczysz Grupy Użytkowników (User Groups). W tym przykładzie źródło zostało dokładniej pomyślane jako grupa. Zauważ, że będzie to działało tylko, gdy zapora TMG jest częścią domeny Active Directory. Jeżeli wybierzesz użycie RADIUS, będziesz musiał później skonfigurować zaporę TMG w taki sposób, aby korzystała z serwera RADIUS, a następnie skonfigurować zasady ręcznie, aby korzystały z serwera RADIUS.

W przykładzie poniżej możesz zobaczyć, że stworzyłem Politykę Dostępu, która odnosi się do grupy Administrators i umożliwia tej grupie połączenie z zestawem adresów URL Forbidden Web Sites. Celem tej polityki jest umożliwienie użytkownikom, którzy są członkami grupy Administrators, dostępu do grupy Forbidden Web sites, co stanowi wyjątek zasady anonimowej, jaką stworzyłem wcześniej. Oczywiście, aby to wszystko działało, będę musiał zamieścić tę zasadę ponad zasadą „odrzuć anonimowe” (anonymous deny), ale możemy to zrobić później.

(Pomimo że użytkownik może uwierzytelniać, zasada anonimowa dotyczy tak naprawdę „wszystkich użytkowników”, tych co mogą uwierzytelniać i tych co nie mogą – i dlatego w tym przykładzie musimy przesunąć zasadę dostępu uwierzytelnionego ponad zasadę anonimową).

Na stronie Malware Inspection Setting dostępne są następujące opcje:

• Do not inspect Web content requested from the Internet (Nie sprawdzaj zawartości Sieci wywoływanej z Internetu). Wyłącza to inspekcję złośliwego oprogramowania dla wszystkich zasad stworzonych w zestawie zasad polityki dostępu do sieci.
• Inspect Web content requested from the Internet (Sprawdzaj zawartość Sieci wywoływanej z Internetu). Włącza to funkcję inspekcji złośliwego oprogramowania dla zestawu zasad polityki dostępu do sieci.
• Allow partial file delivery (Zezwól na częściowe dostarczenie plików). Umożliwia to „ograniczenie” pliku, jak to już wcześniej omawialiśmy. W tym przypadku użytkownik widzi tylko, że plik się ściąga, a nie widzi paska postępu na stronie WWW.
• Block encrypted archives (Blokuj zaszyfrowane archiwa). Umożliwia to blokowanie plików .zip i innych archiwów (.rar, .tar, itd.), które nie mogą zostać sprawdzone przez mechanizm inspekcji złośliwego oprogramowania.

Wybierzemy opcję inspekcji i zezwolimy na częściowe dostarczenie plików. Nie wiem jednak, co to będzie znaczyło dla naszej konfiguracji, która umożliwia zawiadomienie o postępie. Kliknij Next.

Na stronie Web Cache Configuration masz możliwość skonfigurowania zapory TMG w taki sposób, aby przeprowadzała buforowanie sieci. Funkcja ta nie jest aktywowana domyślnie, więc jeśli chcesz włączyć buforowanie sieci, musisz skonfigurować tutaj pamięć cache. Nawet jeśli tego nie zrobisz w tym momencie, możesz go stworzyć, klikając w link Configure Web Caching w zakładce Tasks pola zadań.

Aby włączyć buforowanie, zaznacz pole wyboru Enable Web caching. Następnie kliknij przycisk Cache Drives. Pamięć podręczna przechowywana jest w pojedynczym pliku na dysku, jaki wybierzesz. Maksymalny rozmiar pamięci podręcznej na wolumin to 64 GB. Najlepszym sposobem jest umieszczenie pliku pamięci podręcznej na partycji innej od tej, gdzie znajduje się system operacyjny i pliki programowe TMG.

Szacowanie optymalnego rozmiaru pamięci podręcznej nie są jednoznaczne, ale uważam, że 5-10MB na użytkownika to rozsądna wartość. Jednak jeśli masz małą liczbę użytkowników (mniej niż 100), możesz zwiększyć tę wartość. Należy być jednak ostrożnym i nie dopuścić, aby pamięć podręczna była za duża. Istnieje ryzyko, że przeszukanie bardzo dużego pliku pamięci podręcznej zajmie dużo czasu, niż miałoby to miejsce przy ściąganiu zawartości bezpośrednio z serwera-odbiorcy.

Po stworzeniu skonfigurowaniu pamięci podręcznej, kliknij Next.

I to wszystko! Wypróbuj swoje ustawienia na stronie Completing the Web Access Policy i kliknij Finish.

A teraz przyglądnijmy się Web Access Policy. Widać tutaj, że Web Access Default Rule jest umiejscowiona na dole, ponieważ ta zasada zostaje uruchomiona, jeżeli żadna inna, jaką stworzyłeś, nie odpowiada żądanemu połączeniu.

Zauważ, że kreator automatycznie umiejscawia anonimowe zasady przed zasadami dostępu uwierzytelnionego. Ogólnie rzecz biorąc, jest to dobra polityka, ponieważ jeśli umiejscowić zasady dostępu uwierzytelnionego ponad zasadami anonimowymi, te drugie nigdy nie będą uruchomione, ponieważ klient nie jest w stanie ich uwierzytelnić. Gdy tak się stanie, połączenie zostaje odrzucone. Umiejscawiając zasady anonimowego dostępu ponad zasadami dostępu uwierzytelnionego, masz pewność, że połączenia, które udostępniasz anonimowym użytkownikom nie zostaną odrzucone przez zasady dostępu anonimowego.

Jednak w tym scenariuszu kolejność zasad nie jest taka, jaką chcemy. W rzeczywistości chcemy mieć zasadę Web Access Authenticated Policy: Allow Forbidden na samej górze listy. Dlaczego? Ponieważ chcemy, aby Administrator miał dostęp do zabronionych stron, a wszyscy inni użytkownicy nie. Jeśli nie umiejscowimy tej zasady na górze listy, uruchomiona zostanie zasada Web Access Anonymous Policy: Deny Forbidden przed zasadą „allow” i w ten sposób administratorzy nie będą mieli dostępu.

Jednakże zanim jakakolwiek zasada zostanie uruchomiona, musisz kliknąć przycisk Apply. Zobaczysz okno dialogowe Forefront TMG Warning. Są tu opcje: Save the changes, but don’t restart the services (Zachowaj zmiany, ale nie restartuj usług) oraz Save the changes and restart the services (Zachowaj zmiany i zrestartuj usługi). Chcemy zachować zmiany i zrestartować usługi, aby pamięć podręczna mogła zostać włączona. Nie musisz restartować usługi Microsoft Firewall, aby zastosować te zasady.

Gdy klikniesz dwukrotnie na jedną z zasad Polityki Dostępu do Sieci, aby zobaczyć właściwości tej zasady, przekonasz się, że wygląda jak typowa Zasada Dostępu. Jednak, jeśli klikniesz na zakładkę Malware Inspection, zobaczysz, że opcja Inspect content downloaded from Web servers to clients (Sprawdzaj zawartość ściąganą z serwerów sieciowych do klientów) jest włączona. Tak nie będzie w przypadku zasad nie odnoszących się do HTTP.

Zauważ również, że Polityka Dostępu do Sieci jest umiejscowiona w grupie, która może zostać rozszerzona, gdy na nią popatrzysz w polu All Firewall Policy.

Teraz ostatnia rzecz, jaką musimy zrobić: przenieść Politykę Uwierzytelnionego Dostępu (Authenticated Access Policy) dla zakazanych stron na górę listy, aby Administratorzy mieli dostęp do tych stron. Są dwa sposoby, aby przenieść typową Zasadę Dostępu: kliknij prawym przyciskiem myszy na zasadę i kliknij na komendę „Move Up” lub kliknij przycisk komendy „Move Up” na pasku przycisków.

Rysunek poniżej pokazuje dostępne opcje, jakie się pojawiają po kliknięciu zasady. Hm, nie ma tu komendy „Move Up”… Może ktoś zapomniał o dodaniu w wersji Beta 1 tego produktu. Przyjrzyjmy się na pasek przycisków i zobaczmy czy tu dodali przycisk „Move Up”.

Co jest grane? I tutaj nie ma przycisku „Move Up”! Wygląda na to, że w tym momencie nie da się zmienić kolejności zasad przy tworzeniu Polityki Dostępu do Sieci. Może to być poważnym problemem w naszym przykładzie, gdzie chcemy dać grupie uwierzytelnionych użytkowników dostęp do strony, do której nie mają dostępu wszyscy inni użytkownicy, uwierzytelnieni czy nie. Przypuszczam, że jest to błąd w wersji beta. Jednak, jeżeli tak ma być na stałe, rozwiązaniem jest usunięcie zasady Web Access Authenticated Policy: Allow Forbidden oraz odtworzenie tej zasady przy użyciu kreatora Zasad Dostępu. Następnie należy umieścić tę nową zasadę powyżej zasady „Deny”.

W trzeciej części serii artykułów na temat węzła Web Access Policy w wersji Beta 1 Bramy Forefront Threat Management Gateway (TMG) przyglądnęliśmy się zestawowi funkcji anty-malware, nowemu zbiorowi Sieci Proxy i narzędziom buforowania sieci w zakładce Tasks pola zadań Polityki Dostępu do Sieci, a zakończyliśmy przeglądem nowego kreatora Web Access Policy Wizard.

Jak zawsze przy pisaniu artykułów na temat wersji Beta 1 bramy Forefront TMG, chcę przypomnieć, że zapora TMG jest daleka od wersji ostatecznej. Wiem, że wiele osób, przeglądających TMG, sądzi, że Microsoft nie słucha próśb, dotyczących nowych funkcji, które mogą okazać się istotne dla przyszłych wersji ISA Firewall (Forefront TMG jest kolejną wersją ISA Firewall). Tak więc polecam trochę cierpliwości w oczekiwaniu na przyszłe wersje beta i jestem pewien, że gdy TMG zostanie wypuszczony na rynek, każdy będzie zadowolony. Dzięki! –Tom.