Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

15.10.2004

Runderneuerung für Microsofts Firewall

Der von Microsoft weitgehend überarbeitete "ISA Server 2004" zeigte im Test vor allem Fortschritte als Application Firewall und bei der Bedienerführung des Admin-Frontends.

Von Michael Pietroforte*

Als Microsoft vor gut drei Jahren mit dem ISA Server 2000 in den Firewall-Markt einstieg, peilte der Hersteller vornehmlich kleine und mittelgroße Unternehmen an. Der kürzlich erschienene Nachfolger, der ISA Server 2004, dürfte nun zusehends auch Großunternehmen als Ergänzung für bereits vorhandene Firewall-Systeme interessieren. Das gilt insbesondere für die Enterprise-Edition, die aber wahrscheinlich erst gegen Ende des Jahres verfügbar sein wird. Sie erweitert die Standard-Ausgabe hauptsächlich um die Möglichkeit, unternehmensweite Richtlinien zu definieren, und erlaubt außerdem den Aufbau von Firewall-Clustern.

Fast wie ein neues Produkt

Der ISA Server 2004 unterscheidet sich von seinem Vorgänger in vielerlei Hinsicht wesentlich. Stellenweise hat man den Eindruck, es mit einem anderen Produkt zu tun zu haben. Schon bei der Installation fällt auf, dass die Trennung zwischen Web-Proxy und Firewall aufgehoben wurde. Beim ISA Server 2000 ließen sich noch beide Komponenten getrennt voneinander installieren. Anwender, die den ISA Server nur als Caching-System für Web-Seiten betreiben wollen, werden dies als Nachteil empfinden.

Die auffälligsten Änderungen betreffen aber das neue Frontend. Administratoren, die sich an das recht umständlich zu handhabende Benutzer-Interface der alten Version gewöhnt haben, müssen umdenken. Dafür ist die Bedienung trotz der vielen neuen Features nun deutlich einfacher. Die Benutzeroberfläche ist sehr gut durchdacht und unterstützt auch den weniger versierten Administrator durch zahlreiche Assistenten bei der Konfiguration.

Aber auch aus technischer Sicht hat sich einiges getan. Während der ISA Server 2000 im Prinzip nur mit Network Adress Translation (NAT) arbeitet, lässt die neue Version jetzt auch öffentliche IP-Adressen im internen Netz zu. Der Administrator kann zudem mehrere Subnetze einrichten, die sich durch Firewall-Richtlinien voneinander trennen lassen. Man trägt hier der Erkenntnis Rechnung, dass Angriffe immer häufiger aus dem internen Netz kommen. Einzelne Abteilungen und deren Server können mit Hilfe der Mehrfachnetzfunktion sauber getrennt werden, ohne dass es der Einrichtung einer weiteren Firewall bedarf.

Wesentlich erweitert wurden die Fähigkeiten des ISA Server als Application-Firewall. Die Version 2004 verfügt unter anderem über Filter für FTP, SMTP, SOCKS, DNS, POP 3, RPC und HTTP. Mit Hilfe des Software Development Kit (SDK) ist es außerdem möglich, eigene Filter zu erstellen. Eine Reihe von Drittherstellern bietet auch für die neue Version des ISA Server interessante Erweiterungen an. Darunter befinden sich ein Soap-Filter, Virenscanner und ein Filter für Instant-Messaging-Anwendungen.

Der RPC-Filter ist vor allem dann nützlich, wenn Outlook-Anwender über das Internet auf den Exchange-Server im Unternehmensnetz zugreifen sollen. Der Filter öffnet dynamisch den vom RPC-Dienst ausgehandelten Port und kann bei Bedarf die MAPI-Clients zur Verschlüsselung von Verbindungsanforderungen zwingen. Die derzeit bekannten Würmer, die Sicherheitslücken im RPC-Dienst ausnutzen, sollte der Filter ebenfalls abwehren können.

Ausgefeilter HTTP-Filter

Von besonderer Bedeutung ist sicher der HTTP-Filter. Bei den meisten Firewalls muss Port 80 geöffnet werden, um Anwendern Zugriff auf das Web zu gewähren oder weil der eigene Web-Server von außen erreichbar sein soll. Hacker, Würmer und Spyware machen sich diesen Umstand zunutze, so dass unerwünschter Datenverkehr häufig über diesen Port läuft. Auch die Programme der Online-Tauschbörsen und Instant-Messaging-Clients verwenden häufig diese Methode, um Firewall-Richtlinien zu umgehen. Klassische Paketfilter haben dem nichts entgegenzusetzen. Der HTTP-Filter des ISA Server verfügt hingegen über eine Reihe von Methoden, um den Verkehr über das Web-Protokoll zu kontrollieren. So kann man etwa mittels HTTP-Signaturen verhindern, dass unerwünschte Anwendungen Daten im Tunnelmodus über HTTP transportieren. Hilfreich ist auch die Möglichkeit, bestimmte Dateiendungen zu blockieren. Damit kann man es Anwendern erschweren, ausführbare Dateien herunterzuladen.

Verbesserte VPN-Fähigkeiten

Durch Aufbau einer VPN-Verbindung wäre ein Anwender theoretisch in der Lage, die Regeln der Firewall zu umgehen. Werden VPNs benötigt, dann ist es wichtig, dass die Firewall über entsprechende Kontrollmöglichkeiten verfügt. Deshalb erweiterte Microsoft die VPN-Fähigkeiten des ISA Server 2004 deutlich. Für Site-to-Site-Verbindungen ist nun auch IPsec einsetzbar. Des Weiteren unterstützt der ISA Server die VPN-Protokolle PTTP und L2TP.

Clients, die von außerhalb per VPN auf das Firmennetz zugreifen, können zunächst in Quarantäne genommen werden. Mit der Quarantänesteuerung von Windows lassen sich Richtlinien festlegen, die auf dem Anwender-PC erfüllt sein müssen, damit der Zugriff auf die gewünschten Dienste freigegeben wird. Zum Beispiel ist es möglich, zu überprüfen, ob die aktuellste Version der Antivirensoftware installiert ist. Bis zum Abschluss dieser Untersuchung wird der entsprechende Rechner zunächst einem virtuellen Quarantänenetz zugeordnet, für das spezielle Firewall-Richtlinien zu definieren sind. Sinnvoll wäre es zum Beispiel, im Quarantänemodus die Aktualisierung der Antivirensoftware zu ermöglichen. Sind alle Bedingungen der Quarantänensteuerung erfüllt, wird der VPN-Client in ein weiteres virtuelles Netz verschoben, für das wiederum eigene Firewall-Regeln gelten. Denkbar wäre etwa, VPN-Clients nur den Zugriff per POP 3 auf den Mail-Server zu erlauben.

Viele Einstellungen für VPN-Verbindungen können in der Konsole des ISA Server vorgenommen werden, für einige muss man jedoch das RAS-Frontend (Routing and Remote Access) von Windows bemühen. Manche Konfigurationen sind sowohl im ISA Server als auch im RAS zu erledigen, was zu widersprüchlichen Einstellungen führen kann.

Die Authentifizierung erfolgt wahlweise über einen Radius-Server oder an einer Windows-Domäne. Für jeden Benutzer wird im Active Directory einzeln festgelegt, ob der Verbindungsaufbau per VPN erlaubt ist. Um diese Einstellung für ganze Benutzergruppen vorzunehmen, muss der Administrator jedoch auf das Frontend für den ISA Server zurückgreifen. Die Tatsache, dass wichtige sicherheitsrelevante Konfigurationen an mehreren Stellen vorzunehmen sind, geht zu Lasten der Übersichtlichkeit und damit auch der Sicherheit. Hilfreich sind indes benutzerspezifische Firewall-Richtlinien, so dass man etwa der Administration den Zugriff auf das gesamte interne Netz gewähren kann und Anwendern nur Zugang zu jenen Servern erlaubt, die sie tatsächlich benötigen.

Eingeschränkte Übersicht

Die Definition benutzerbezogener Firewall-Regeln ist auch ohne VPN möglich. Das erfordert aber auf dem Arbeitsplatzrechner den Firewall-Client des ISA Server. Der ist leider nur für Windows verfügbar. Er schiebt sich zwischen das jeweilige Windows-Programm und Winsock, die Applikations-Schnittstelle für TCP/IP-Anwendungen. Zugriffe auf das externe Netz erreichen dann nicht mehr das unter Windows definierte Standard-Gateway, sondern direkt den ISA Server. So kann man sich unter Umständen das Umkonfigurieren von Routern ersparen.

Ein weiterer Vorteil des Firewall-Client besteht darin, dass komplexere Protokolle, die sekundäre Verbindungen öffnen, auch ohne entsprechende Firewall-Filter in der Regel problemlos funktionieren. Dazu gehören zum Beispiel die Protokolle einiger Instant-Messaging-Systeme. Der Administrator kann zudem verfolgen, welche Anwender Verbindungen aufbauen und welche Applikationen sie dafür verwenden. Dies kann im Falle eines Angriffs sehr nützlich sein, um Schwachstellen aufzuspüren.

Die Überwachungsfunktionen des ISA Server wurden gegenüber der Vorgängerversion ebenfalls verbessert. Die aktuellen Sitzungen lassen sich mit Hilfe von Filtern auf die Anzeige relevanter Verbindungen einschränken. Ähnlich funktioniert das für die Protokollierung. Über 40 verschiedene Parameter erlauben eine differenzierte Konfiguration des Filters. Außerdem dient ein eigener Assistent der Erstellung von Berichten. In zahlreichen Grafiken kann man sich hier über die Verteilung des Datenverkehrs informieren.

Die vielen Verbesserungen im Detail, aber vor allem auch die hervorragende Integration in Windows-Umgebungen machen den ISA Server 2004 zum ernsthaften Konkurrenten für etablierte Firewall-Anbieter. (ws)

*Michael Pietroforte

ist auf IT-Administration spezialisierter Autor in München.

Sicherheitsprodukte von Microsoft?

Das größte Handicap des ISA Server könnte darin bestehen, dass er von Microsoft stammt. Nach zahlreichen schwerwiegenden Wurmattacken und immer wieder neuen Sicherheitslöchern in Microsoft-Produkten ist das Image der Gates-Company trotz der seit zweieinhalb Jahren betriebenen Trustworthy-Computing-Initiative in Sachen Sicherheit schwer angeschlagen. Es muss sich jetzt zeigen, inwieweit die von vielen Sicherheitsexperten kritisierte Strategie, die Sicherheit durch immer komplexere Abwehrsysteme zu verbessern, tatsächlich aufgehen wird. Immerhin haben einige namhafte Hardwarehersteller wie Hewlett- Packard, Celestix, Network Engines, Rimapp Technologies und in Deutschland Pyramid und Wortmann auf dem ISA Server 2004 basierende Firewall Appliances entwickelt. So konnte man schon im Vorfeld Erfahrungen sammeln und für Vertrauen werben.

Features

- Neue Benutzerschnittstelle zur Konfiguration der Firewall;

- verbesserte Unterstützung für Virtual Private Networks;

- Quarantäne für VPN-Zugriffe;

- Berücksichtigung zusätzlicher Protokolle;

- Radius-Authentifizierung für Web-Proxy-Clients;

- Möglichkeit zur Einrichtung eigener Benutzergruppen für die Firewall;

- verbesserte Filter für SMTP und HTTP;

- Übersetzung von UNC-Pfaden und URLs für interne Ressourcen;

- Erzeugung von HTML-Formularen zur Benutzeranmeldung;

- verbesserte Überwachungs- und Print-Funktionen.