Marc Grote, Christian Gröbner, Dieter Rauscher Microsoft ISA Server 2006 Das Handbuch Microsoft
Inhaltsverzeichnis Einleitung 19 Das Buch 20 Die Zielgruppe des Buchs 20 Die Autoren 21 Die Beispielfirma Fabrikam Ine 21 Der Inhalt im Überblick 23 Teil A: Grundlagen und Installation 23 Teil B: Allgemeine Konfiguration und Administration 23 Teil C: Firewallrichtlinien (Zugriffsregeln) 23 Teil D: Virtuelle private Netzwerke (VPN) 23 Teil E: ISA Server 2006 Enterprise Edition 24 Teil F: Überwachung und Fehlersuche 24 Teil G: Anhang 24 Die Website zum Buch 24 Unser Dank 24 Sprechen Sie mit uns 25 TeMA Grundlagen und Installation 27 1 Einführung in ISA Server 2006 29 Was ist Microsoft ISA Server 2006? 30 Historie 30 Versionen 32 Lizenzierung und Beschaffung 32 Appliance 34 Systemanforderungen 35 Grundsätze zur Planung 36 IPv6 36 Anzahl der Netzwerkkarten 37 Ausgehende IP-Adresse 37 Mehrere Internet Service Provider 39 64-Bit-Technologie 39 Zusammenfassung 39 2 Neuerungen in ISA Server 2006 41 Neuerungen in ISA Server 2006 42 Fehlende Funktion im Vergleich zu ISA Server 2004 44 7
Ml Inhaltsverzeichnis Generell fehlende Funktionen in ISA Server 2006 45 SIP-Unterstützung 45 Mehrfache ISP-Anbindung 45 1:1-NAT 46 Zusammenfassung 46 3 Firewallgrundlagen 47 Was ist eine Firewall? 48 Firewallarten 49 Firewallkonfigurationen 52 Umgebungssicherheit 55 Zusammenfassung 56 4 Absichern von Windows Server 2003 57 Warum Windows Server 2003 absichern? 58 Wie sollten Sie Windows Server 2003 absichern? 58 Neuerungen in Service Pack 2 für Windows Server 2003 68 Patchmanagement für ISA Server 2006 71 Manuelle Installation 71 Installation über Microsoft-Update 72 Windows Server Update Services (WSUS) 73 Zusammenfassung 74 5 Installieren von ISA Server 2006 75 Vorbereiten der Netzwerkumgebung 76 Verbindungsreihenfolge und Protokollbindung 76 TCP/IP-Eigenschaften 78 Update-Möglichkeiten 81 Direkte Aktualisierung 81 Export und Import der Konfiguration 82 Gründe für den Export einer Konfiguration 83 Aufgaben vor der Migration 84 Durchführen der direkten Aktualisierung 85 Abschließende Arbeiten 89 Export und Import der Konfiguration 90 Neuinstallation 94 Evaluierungsversion 98 Zusammenfassung 99 6 Internetanbindung 101 Standleitung mit Router 102 Konfigurieren von ISA Server 2006 für die Internetanbindung mit einer Standleitung... 105 DSL mit dynamischer IP-Adresse 106 DFÜ-Wählverbindung 108 Failover und Loadbalancing 111
miiaiisveixeilimia Das Konzept der DNS-Auflösung 114 DNS-Namensauflösung für interne Clients 115 Split-DNS-Konfiguration 117 Zusammenfassung 118 7 Installieren und Konfigurieren von ISA Server-Clients 119 Der Firewallclient 120 Konfigurieren des Firewallclients 121 Unbeaufsichtigte Deinstallation 132 Einstellungen auf dem Windows-Client 132 Der SecureNAT-Client 136 Der Webproxyclient 138 Konfiguration des Browsers durch eine Gruppenrichtlinie 141 Automatische Konfiguration durch WPAD 142 Zusammenfassung 147 TeilB Allgemeine Konfiguration und Administration 14g 8 Konfigurieren von ISA Server 151 Konfigurieren der Toolbox-Elemente 152 Protokolle 153 Benutzer 159 Inhaltstypen 160 Zeitpläne 161 Netzwerkobjekte 162 Netzwerkvorlagen 164 Edgefirewall 165 3-Abschnitt-Umkreisnetzwerk 166 Frontfirewall 167 Backfirewall 167 Einzelner Netzwerkadapter 167 Netzwerkvorlagen-Assistent 168 Netzwerkeinrichtung 172 Mehrfachnetzwerke mit ISA Server 2006 172 Webverkettung 174 Erstellen von Netzwerken und Netzwerkregeln 175 Netzwerktypen 177 Besonderheiten der Netzwerkeinrichtung 184 Systemrichtlinien 187 Grundlagen zu Firewallrichtlinien 192 Cachekonfiguration 196 Inhaltsdownloadaufträge 202 BITS-Caching 206 HTTP-Komprimierung 209
Inhaltsverzeichnis Webverkettung 212 Anwendungs- und Webfilter 218 Unterschied zwischen Paketfilter und Anwendungsfilter 219 Add-Ins 219 Anwendungsfilter 220 Webfilter 228 DiffServ 231 Eindringversuchserkennung 234 DNS-Angriffe 236 Kundenfeedback 237 Zusammenfassung 238 9 Spezielle Konfigurationen 239 ISA Server 2006 mit nur einer Netzwerkkarte 240 Besonderheiten von ISA Server 2006 mit nur einer Netzwerkkarte 240 ISA Server 2006 mit einer DMZ 241 Festlegen des DMZ-Designs 242 Entscheidung, welches Netzwerkverhältnis verwendet werden soll 242 Verwendung von privaten oder öffentlichen IP-Adressen für Ressourcen in der DMZ... 243 Festlegen der Firewallrichtlinien zwischen den Netzwerken 243 ISA Server 2006 mit mehr als drei Netzwerkkarten 243 ISA Server 2006 in einer virtuellen Umgebung 247 ISA Server 2006 auf einem Domänencontroller/Small Business Server 250 Zugriff auf Active Directory durch ISA Server 2006 hindurch erlauben 251 ISA Server auf einem Small Business Server 255 Automatic Proxy Discovery for Co-Located ISA Server and IIS 255 Zusammenfassung 257 io Administration 259 Verwaltung mit Remotedesktop 260 Verwaltung mit der ISA Server 2006-Verwaltungskonsole 262 Administrative Rollen zuweisen 264 Exportieren und Importieren der Konfiguration 266 Exportieren der Konfiguration 266 Importieren (Wiederherstellen) der Konfiguration 271 Sichern und Wiederherstellen der Konfiguration 273 Zusätzliche Sicherheitsrichtlinien 277 IP-Routing 280 Flutabwehreinstellungen konfigurieren 281 ISA Server Best Practices Analyzer Tool 284 Ändern der IP-Adresse des ISA Server-Computers 287 Zusammenfassung 288
Inhaltsverzeichnis TeilC Firewallrichtlinien 289 11 Eingeschränkter Zugriff für Server 291 Designfragen für Infrastrukturserver 292 Zeitsynchronisation 292 Grundlagen 292 Erstellen einer Zugriffsregel für die Zeitsynchronisation 293 Konfiguration von Windows Server für den Zeitabgleich 297 Windows Update 298 Windows-Produktaktivierung 300 Zusammenfassung 300 12 Serververöffentlichungen 301 Veröffentlichen eines internen Terminalservers 302 Grundlagen 302 Erstellen einer Serververöffentlichung 303 Veröffentlichen von Microsoft SQL Server 308 Vorbereitungen 308 Erstellen einer Serververöffentlichung 308 ISA Server 2006 als DNS-Server 314 ISA Server 2006 als DNS-Server für das interne Netzwerk 314 ISA Server 2006 als externer DNS-Server 318 ISA Server 2006 als DHCP-Server 321 FTP-Server veröffentlichen 323 Zusammenfassung 327 13 Webserververöffentlichung 329 Authentifizierungsverfahren 330 Standard-Authentifizierung 330 Digest- und WDigest-Authentifizierung 331 Integrierte Windows-Authentifizierung (NTLM und Kerberos) 331 RSA SecurlD 331 Formularbasierte Authentifizierung 332 Single Sign-On (SSO) 332 SSL-Zertifikate 332 RADIUS (Remote Access Dial In User Service) 333 RADIUS-OTP (One Time Password) 333 LDAP (Lightweight Directory Authentication Protocol) 333 Anpassbare formularbasierte Authentifizierung 333 Eingeschränkte Kerberos-Delegierung 334 Möglichkeit zur Blockierung der Delegierung der Authentifizierung 335 Veröffentlichung von Webservern 335 Absicherung der Webserververöffentlichung durch die HTTP-Filterung 345 Aktivieren der Authentifizierung für HTTP 347 11
I Inhaltsverzeichnis Veröffentlichen einer Webfarm mit ISA Server 2006 349 Veröffentlichen mehrerer Websites 351 Sicheres Veröffentlichen von Webservern über SSL 352 Zertifikatverwaltung 365 Zertifikatgrundlagen 365 SSL-Zertifikatgrundlagen 367 Public Key Infrastruktur 368 Zertifizierungsstellen 369 Installation einer Zertifizierungsstelle 371 Zertifikatbeantragung 372 Zertifikat-Export und -Import 375 Verwenden von Zertifikaten in Webserververöffentlichungen 376 Anfordern von Zertifikaten direkt an ISA Server 2006 377 Konfigurieren der Zertifikatsperrung in ISA Server 2006 378 Weitere Einsatzgebiete von Zertifikaten 379 Veröffentlichen der Zertifikatssperrliste 379 Hinzufügen eines Sperrlistenverteilungspunkts 379 Veröffentlichen einer Zertifikatssperrliste über ISA Server 2006 380 Veröffentlichen von WebDAV 382 Einrichtung eines WebDAV-Ordners 382 Erstellen einer Veröffentlichungsregel für den WebDAV-Ordner 384 Konfiguration der Delegierungsberechtigung 388 Beantragen eines Benutzerzertifikats und Testen des Zugriffs 390 Beheben von Authentifizierungsproblemen 391 Absichern mithilfe der HTTP-Filterung 392 Anpassen der Fehlerseiten 393 Veröffentlichen von Windows SharePoint Services/SharePoint Server 396 Linkübersetzung 400 Globale Konfiguration der Linkübersetzung 400 Konfiguration der Linkübersetzung in den Webserververöffentlichungen 402 WSUS auf ISA Server 2006 veröffentlichen 403 Installation von WSUS 403 Erstellen der Firewallrichtlinien 406 Zusammenfassung 407 14 Absichern von Exchange Server 409 SMTP-Serververöffentlichung 410 Veröffentlichung von Outlook Web Access 414 Absicherung mithilfe der HTTP-Filterung 418 Veröffentlichung von RPC über HTTPS 422 Installieren und Konfigurieren des RPC-Proxy 423 Erstellen einer Veröffentlichung für RPC-über-HTTPS 424 Absicherung durch die HTTP-Filterung 426 Konfiguration von Outlook 2003 428 Veröffentlichung von Exchange-RPC 430 Veröffentlichen von Outlook Mobile Access 434 Absicherung durch die HTTP-Filterung 435
Veröffentlichen von Exchange-ActiveSync 437 Vorbereiten von Exchange Server 437 Erstellen einer Webveröffentlichung 438 Absicherung durch die HTTP-Filterung 439 Konfigurieren von ActiveSync auf dem Endgerät 441 Blackberry Enterprise Server veröffentlichen 442 Viren- und Spamschutz mit Microsoft Antigen 443 Intelligent Message Filter (IMF) 443 Outlook Junk-E-Mail-Ordner 444 Scheinsicherheit 449 SMTP-Server auf einem anderen Port als TCP 25 veröffentlichen 449 SMTP-Banner ändern 449 Outlook Web Access auf einem Nicht-Standard-Port veröffentlichen 451 Zusammenfassung 451 15 Eingeschränkter Zugriff für Clients 453 Designfragen 454 Festlegen von Richtlinien für den Webzugriff 454 Erstellen einer Zugriffsregel für Webprotokolle 455 Zugriff auf bestimmte Websites sperren 457 HTTP-Filterkonfiguration 460 Was ist ein Webfilter bzw. HTTP-Filter? 460 Webfilter-Aufgaben 461 Wie funktioniert ein Webfilter? 461 HTTP-Filter und Webserververöffentlichungen 461 Erklärung der HTTP-Filterkonfiguration 462 Methoden 463 Erweiterungen 464 Header 466 Signaturen 467 FTP-Filterkonfiguration 472 Zugriff für weitere Anwendungen 474 E-Mail-Client 474 Newsreader 475 Zusammenfassung 476 TeilD Virtuelle private Netzwerke 477 16 VPN-Grundlagen 479 Einführung in VPN-Netzwerke 480 PPTP 480 L2TP/IPSec 481 IPSec 482 Zusammenfassung 484 13
I Inhaltsverzeichnis 17 Clientanbindung mit VPN 485 Konfigurieren von ISA Server 2006 für eingehende VPN-Verbindungen 486 ISA Server 2006-Konfiguration 487 Vergeben von EinWahlberechtigungen 489 Authentifizierungseinstellungen 493 Erstellen von Firewallrichtlinien 493 Netzwerkregeln 494 Clientkonfiguration für PPTP 494 Überwachen der VPN-Verbindung am ISA Server 2006 497 Clientkonfiguration für L2TP/IPSec 498 Konfiguration von ISA Server 2006 für die Verwendung von L2TP/IPSec 498 Konfiguration des Clients für L2TP/IPSec 500 Einrichtung der VPN-Verbindung 501 WPAD-Konfiguration für VPN-Verbindungen 502 Zusammenfassung 503 18 VPN-Quarantäne 505 Einrichten von VPN-Quarantäne 506 Was ist die VPN-Quarantänenfunktion? 506 Konfiguration der VPN-Quarantänenfunktion 507 Aktivieren der VPN-Quarantänenfunktion von ISA Server 2006 509 Überprüfung des Clients 510 Verbindungs-Manager-Verwaltungskit 512 Konfiguration des Clients 516 VPN-Quarantäne-Suite 516 Voraussetzung zur Installation der VPN-Quarantäne-Suite 516 Zusammenfassung 520 19 Standortverbindungen 521 Ist-Zustand von Fabrikam Ine 522 Überblick über Standort-zu-Standort-VPN-Verbindungen 523 Unterstützte VPN-Protokolle in ISA Server 2006 523 Point-to-Point Tunneling-Protocol 523 Layer 2 Tunneling-Protocol 523 IPSec-Tunnelmodus 524 Einrichten einer Standort-zu-Standort-VPN-Verbindung mit L2TP über IPSec mit Preshared Key 524 Standort München: Erstellen des Remotestandorts 525 Aktivieren des VPN-Clientzugriffs 532 Konfigurieren der VPN-Verbindung zur Verwendung eines vorinstallierten Schlüssels.. 533 Standort Zürich: Erstellen des Remotestandorts 534 Aktivieren des VPN-Clientzugriffs 537 Konfigurieren der VPN-Verbindung zur Verwendung eines vorinstallierten Schlüssels.. 537 Testen der Standort-zu-Standort-VPN-Verbindung 537 Fehlerbehandlung 538 Einrichten einer Standort-zu-Standort-VPN-Verbindung mit PPTP 540
Inhaltsverzeichnis Einrichten einer Standort-zu-Standort-VPN-Verbindung mit IPSec 541 Konfigurieren von ISA Server 2006 für eine Standortverbindung mit IPSec 541 Konfiguration einer Sonicwall TZ 150 für die Standortanbindung mit IPSec 547 Konfiguration einer Watchguard Firebox X Edge für die Standortanbindung mit IPSec 552 Konfiguration einer Cisco PIX 501 für die Standortanbindung mit IPSec 555 Zusammenfassung 560 20 RADIUS/IAS-Integration 561 RADIUS-Grundlagen 562 Was ist RADIUS? 562 Sicherheitsaspekte beim Einsatz von RADIUS 562 Internetauthentifizierungsdienst 563 Registrierung des RADIUS-Servers in Active Directory 564 Hinzufugen von ISA Server 2006 als RADIUS-Client im Internetauthentifizierungsdienst 565 RADIUS-Unterstützung in ISA Server 2006 567 Erstellen einer Zugriffsregel zur Verwendung von RADIUS 572 Veröffentlichen eines RADIUS-Servers 574 Sichern von RADIUS-Datenverkehr mit IPSec 574 Zusammenfassung 576 TeilE ISA Server 2006 Enterprise Edition 577 21 Neuerungen in der Enterprise Edition 579 Neuerungen in ISA Server 2006 Enterprise Edition 580 Mehrere VIP für NLB 580 Linkübersetzungseinstellungen sind im ganzen ISA Server-Unternehmen und -Array verfügbar 581 Zweigstellen-VPN-Konnektivitäts-Assistent 582 Merkmale der ISA Server 2006 Enterprise Edition 583 Vergleich von ISA Server 2006 Standard mit ISA Server 2006 Enterprise Edition 586 Zusammenfassung 587 22 Installieren und Konfigurieren der Enterprise Edition 589 Installation und Konfiguration 590 ISA Server 2006 Enterprise Edition auf einem DC 590 Systemanforderungen 590 Installieren von ISA Server 2006 Enterprise Edition auf DC-MUC 591 Installieren von ISA Server 2006 Enterprise Edition auf FW2-MUC 596 Konfigurationsspeicher 603 ISA Server 2006-Array umbenennen 604 Kommunikation 605 Hostkennung 606 ADAMSites-Tool 607 15
I Inhaltsverzeichnis Verbindung mit einem Konfigurationsspeicherserver herstellen 609 Unternehmensnetzwerke 610 Berechtigungsdelegation und ISA Server 2006-Rollen 611 Zentrale Protokollierung 614 VPN-Besonderheiten 616 Konfiguration des Netzwerklastenausgleichs 616 Einrichtung von NLB am ISA Server 2006 619 Windows-Netzwerkkonfiguration für NLB 625 Konfigurieren des Cache Array Routing Protocol 628 Einrichten von CARP 629 Firewallrichtlinien auf Unternehmens- und Arrayebene 633 Migrieren von ISA Server 2004 Enterprise Edition auf ISA Server 2006 Enterprise Edition... 637 Updateprozess 638 Zusammenfassung 639 TeilF Überwachung und Fehlersuche 64i 23 Überwachung und Protokollierung 643 Übersicht (Dashboard) 644 Alarme 645 Sitzungen 656 Dienste 656 Berichte 658 Erstellen eines neuen Berichts 658 Anpassen von Berichten 661 Wiederkehrende Berichte 663 Konnektivitätsüberprüfungen 664 Protokollierungsmöglichkeiten von ISA Server 2006 667 Wofür soll protokolliert werden? 667 Protokollformate 668 Konfigurieren der Protokollierung 670 Festlegen des Protokollierungsumfangs 674 Erweiterte Firewallprotokollierung 675 Besonderheit im Microsoft SQL Server Service-Manager 677 Protokollieren in eine Microsoft SQL-Datenbank 678 Produktversion herausfinden 683 Zusammenfassung 684 24 Überwachen von ISA Server 2006 mit MOM 2005 685 Download und Installation des Management-Pack für ISA Server 686 Estellen von Firewallregeln für den MOM-Agenten 688 Installation des MOM-Agenten auf ISA Server 2006 689 Überwachen von ISA Server mit MOM 692 Zusammenfassung 692
Inhaltsverzeichnis 25 Fehlersuche 693 Auswerten der Protokolle 694 Netzwerktools 702 Ping 702 Telnet 703 Netstat 704 Nslookup 705 Zusatztools 706 ADAMSites 706 ISA Server 2006 Software Development Kit (SDK) 707 Firewall Client Tool für ISA Server 2006 709 Firewall Kernel Mode Tool für ISA Server 2006 710 ISAInfo 711 DNS Cache Tool für ISA Server 2006 712 Security Configuration Wizard (SCW) Update für ISA Server 2006 Standard und Enterprise 712 ISA Server Cache Directory Tool 713 MSDEToText Tool ISA Server 2006 713 Remote Access Quarantine Tool for ISA Server 2006 713 RSA Test Authentication Utility für ISA Server 2006 713 Automatic Proxy Discovery Package für ISA Server 2006 und Internet Information Services (IIS) 714 GFI WebMonitor 714 Produktdokumentation 715 Zusammenfassung 716 26 Weiterführende Hilfe für Administratoren 717 Microsoft TechNet 718 Microsoft TechNet-Versionen 718 Microsoft Knowledge Base 720 Durchsuchen der Knowledge Base 720 Newsgroups 723 Wichtige Websites 726 www.microsoft.com/germany/isaserver 726 www.microsoft.com/isaserver 726 www.isaserver.org 726 www.msisafaq.de 727 www.isatools.org 727 www.isascripts.org 727 Veranstaltungen 727 Zusammenfassung 727 17
I Inhaltsverzeichnis TeilG Anhang 729 A MOC-Kurs und MCP-Prüfung 731 MOC-Kurs 732 Inhalte des MOC-Kurses 2824 732 MCP-Prüfung 732 Wie kann man Betatester werden? 733 Vorbereitung auf die Prüfung 733 B Tabellen und RFCs 735 Private Adressbereiche 736 Auszug aus RFC 1918 - Address Allocation for Private Internets 736 Häufig verwendete Subnetzmasken 741 HTTP-Statuscodes 746 Weitere wichtige RFCs 748 c Die Autoren 749 Marc Grote 750 Christian Gröbner 751 Dieter Rauscher 752 Stichwortverzeichnis 753