Microsoft ISA Server 2004 Leitfaden für Installation, Einrichtung und Wartung von Marcel Zehner 2., erweiterte Auflage Hanser München 2006 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 446 40597 4 Zu Leseprobe schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG
Microsoft ISA Server 2004 Marcel Zehner Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40597-6 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40597-6 sowie im Buchhandel
Inhalt Teil I Einführung, Konzepte und Design 1 Einführung... 4 1.1 Warum ein Buch zu ISA Server 2004?...4 1.2 Was ist ein ISA Server?...5 1.2.1 Internet Security Server (Sicherheit)...5 1.2.2 Internet Acceleration Server (Beschleunigung)...9 1.3 Eine Software-Firewall?...9 1.4 Die wichtigsten Gründe für einen Einsatz von ISA Server 2004...11 1.5 Was ein ISA Server nicht kann...13 1.6 Die CD zum Buch...14 1.7 Die Webseite zum Buch...15 1.8 Weitere Informationen...15 1.9 Danksagung...16 1.10 Das Kapitel im Schnelldurchlauf...17 2 Konzepte und Design... 20 2.1 ISA Server-Konzepte...20 2.1.1 Defense in Depth...20 2.1.2 Versionen...26 2.1.3 Lizenzierung...27 2.1.4 Hardware...27 2.1.5 Software...33 2.1.6 Unterschiede zum Vorgänger ISA Server 2000...34 2.1.7 Kommunikationsmodelle...36 2.2 ISA Server-Design...41 2.2.1 Single-NIC-Variante...41 2.2.2 Edge Firewall...42 2.2.3 3-Leged Firewall (3-Abschnitt-Umkreisnetzwerk)...43 2.2.4 Multi-Network Firewall...45 2.2.5 Back-to-Back-Szenario...46 2.2.6 ISA Server in einer DMZ...47 2.2.7 Branch Office Firewall...48 2.2.8 Domäne oder Arbeitsgruppe?...49 2.3 Das Kapitel im Schnelldurchlauf...56
VI Inhalt Teil II Grundlagen und Standard Edition 3 Installation... 62 3.1 Vorbereitung der Installation...62 3.1.1 Netzwerkkarten und Bindungen...62 3.1.2 Abschluss der Vorbereitung...66 3.2 Manuelle Installation...67 3.3 Unbeaufsichtigte Installation...73 3.4 Aktualisieren von ISA Server 2000...76 3.4.1 Neuinstallation von ISA Server 2004...78 3.4.2 Direktaktualisierung auf ISA Server 2004...78 3.4.3 Migrieren der Konfiguration auf ISA Server 2004...82 3.5 Überprüfen der Installation...84 3.5.1 Ereignisanzeige...85 3.5.2 Datei- und Ordnerstruktur...85 3.5.3 Hinzugefügte Dienste...85 3.5.4 Installierte Verwaltungswerkzeuge...86 3.5.5 Prüfen der Installationsprotokolle...87 3.6 Aufgaben nach der Installation...87 3.6.1 Installation Service Packs und Updates für ISA Server 2004...87 3.6.2 Härten des Betriebssystems (System Hardening)...89 3.6.3 Routen hinzufügen...105 3.6.4 Portscan...109 3.7 Das Kapitel im Schnelldurchlauf...110 4 ISA Server-Basiskonfiguration... 114 4.1 Die ISA Server-Verwaltungswerkzeuge...114 4.1.1 ISA Server-Leistungsmonitor...115 4.1.2 ISA Server-Verwaltung...115 4.1.3 Übernehmen...119 4.1.4 Lockdown-Modus...120 4.2 ISA Server-Remoteadministration...120 4.2.1 Anpassen der Systemrichtlinie...120 4.2.2 Remoteverwaltungscomputer festlegen...122 4.2.3 Administration mit ISA Server-Verwaltungswerkzeugen...123 4.2.4 Administration mit Remotedesktop...126 4.3 Delegation von Verwaltungsrechten...129 4.3.1 Durchführen der Delegation...130 4.3.2 Testen der Delegation...131 4.3.3 Hintergrundinformationen zur Delegation...132 4.4 Sicherung und Wiederherstellung...133 4.4.1 Durchführen der Sicherung...134 4.4.2 Durchführen der Wiederherstellung...135 4.5 Export und Import...136 4.5.1 Durchführen des Exports...137
Inhalt VII 4.5.2 Durchführen des Imports...138 4.6 Die Toolbox...139 4.6.1 Protokolle...140 4.6.2 Benutzer...144 4.6.3 Inhaltstypen...145 4.6.4 Zeitpläne...146 4.6.5 Netzwerkobjekte...147 4.7 Die Systemrichtlinie...163 4.8 ISA Server-Clients...166 4.8.1 SecureNAT-Clients...167 4.8.2 Firewall-Clients...168 4.8.3 Webproxy-Clients...182 4.8.4 Automatische Clienterkennung und -konfiguration...189 4.8.5 Zusammenfassung ISA Server-Clients...194 4.9 Das Kapitel im Schnelldurchlauf...194 5 Ausgehende Zugriffe... 198 5.1 Wie laufen ausgehende Zugriffe ab?...198 5.2 Netzwerke und Netzwerkregeln...199 5.3 Zugriffsregeln...199 5.3.1 Zugriffsregeln erstellen...200 5.3.2 Zugriffsregeln konfigurieren...204 5.4 Benutzerauthentifizierung...208 5.4.1 Grundlagen zur Benutzerauthentifizierung...209 5.4.2 ISA Server-Sitzungen...209 5.4.3 Konfiguration der Benutzerauthentifizierung...210 5.4.4 Sonderfall Server...214 5.5 Webverkettung...215 5.6 Firewall-Verkettung...220 5.7 Einwähleinstellungen festlegen...221 5.7.1 Einwählverbindung konfigurieren...221 5.7.2 ISA Server für automatische Einwahl konfigurieren...223 5.8 Das Kapitel im Schnelldurchlauf...224 6 Eingehende Zugriffe... 228 6.1 Regeltypen verstehen...228 6.1.1 Veröffentlichungsregeln...228 6.1.2 Zugriffsregeln...229 6.1.3 Unterschiede der Regeltypen...230 6.1.4 Platzierung der Server mit zu veröffentlichenden Diensten...231 6.2 Veröffentlichungsregeln...232 6.2.1 Webserververöffentlichung...232 6.2.2 Sichere Webveröffentlichung...240 6.2.3 Mailserver-Veröffentlichung...253 6.2.4 Serververöffentlichung...265 6.2.5 Dienstveröffentlichung auf dem ISA Server...266
VIII Inhalt 6.2.6 Authentifizierung...271 6.3 Zugriffsregeln...291 6.4 Eindringversuchserkennung (Intrusion Detection)...292 6.5 Verschiedene Einstellungen...294 6.5.1 IP-Optionen...295 6.5.2 IP-Fragmente...295 6.5.3 IP-Routing...295 6.5.4 Verbindungslimits...295 6.6 Das Kapitel im Schnelldurchlauf...297 7 Anwendungsfilterung... 300 7.1 Filtertypen...300 7.2 Verfügbare Anwendungsfilter...301 7.2.1 DNS-Filter...301 7.2.2 FTP-Zugriffsfilter...302 7.2.3 H.323-Filter...304 7.2.4 MMS-Filter...304 7.2.5 PNM-Filter...305 7.2.6 POP3-Eindringversuchs-Erkennungsfilter...305 7.2.7 PPTP-Filter...305 7.2.8 RPC-Filter...305 7.2.9 RTSP-Filter...306 7.2.10 SMTP-Filter...306 7.2.11 SOCKS V4-Filter...311 7.2.12 Webproxy-Filter...311 7.3 Verfügbare Webfilter...311 7.3.1 Formularbasierter OWA-Authentifizierungsfilter...311 7.3.2 SecurID-Filter...311 7.3.3 RADIUS-Authentifizierungsfilter...312 7.3.4 Linkübersetzungsfilter...312 7.3.5 HTTP-Filter...312 7.4 Andere Anwendungs- und Webfilter...319 7.5 Das Kapitel im Schnelldurchlauf...319 8 Virtuelle private Netzwerke... 324 8.1 VPN-Einführung...324 8.1.1 Tunneling-Protokolle...324 8.1.2 PPTP...325 8.1.3 L2TP/IPSec...325 8.1.4 IPSec...326 8.1.5 PPTP oder L2TP...326 8.2 VPN-Funktionen von ISA Server 2004...327 8.3 Remote-VPN-Clients...327 8.3.1 Konfigurieren von eingehenden VPN-Verbindungen...328 8.3.2 Weitere Konfigurationsschritte...339 8.3.3 Clientverbindungen...342
Inhalt IX 8.3.4 VPN-Server veröffentlichen...352 8.4 Standort-zu-Standort-VPNs...353 8.4.1 Remote-Standort erstellen und Basiskonfiguration...353 8.4.2 Netzwerkregeln konfigurieren...360 8.4.3 Zugriffsregel konfigurieren...361 8.5 VPN-Quarantäne...362 8.5.1 Vorbereitung ISA Server...363 8.5.2 Vorbereiten des RQS-Listeners...365 8.5.3 Clientskripte...370 8.5.4 Verbindungs-Manager-Verwaltungskit...371 8.5.5 VPN-Quarantäneclients...375 8.6 Ausgehende VPN-Verbindungen...376 8.6.1 Ausgehende PPTP-Verbindungen...376 8.6.2 Ausgehende L2TP-Verbindungen...377 8.6.3 Ausgehende Verbindungen überwachen...378 8.7 Das Kapitel im Schnelldurchlauf...378 9 Zwischenspeicherung... 382 9.1 Lokale Zwischenspeicherung...382 9.2 Zwischenspeicherung mit ISA Server 2004...382 9.2.1 Forward-Caching...383 9.2.2 Reverse-Caching...384 9.2.3 Hierarchisches Caching...384 9.2.4 Verteiltes Caching...385 9.2.5 Geplante Inhalts-Download-Aufträge...385 9.3 Funktionen der Zwischenspeicherung...385 9.4 Konfiguration der Zwischenspeicherung...386 9.4.1 Cachelaufwerke festlegen...386 9.4.2 Cacheregeln...388 9.4.3 Erweiterte Cacheeinstellungen...394 9.4.4 Geplante Inhalts-Download-Aufträge...397 9.4.5 Cache deaktivieren und löschen...400 9.4.6 Cacheinhalte mit CacheDir.exe anzeigen...401 9.5 Das Kapitel im Schnelldurchlauf...402 10 Überwachung... 406 10.1 Übersicht (Dashboard)...406 10.2 Alarme...407 10.3 Sitzungen...412 10.4 Dienste...414 10.5 Berichte...415 10.6 Konnektivität...421 10.7 Protokollierung...424 10.7.1 MSDE-Datenbank...424 10.7.2 Textdatei...424 10.7.3 SQL-Server-Datenbank...425
X Inhalt 10.7.4 Protokolle konfigurieren...425 10.7.5 SQL-Server-Protokollierung einrichten...432 10.8 Leistungsmonitor...440 10.8.1 Daten in Echtzeit...440 10.8.2 Aufzeichnung in Datenbank...441 10.8.3 Warnungen...444 10.8.4 Leistungsindikatoren...445 10.9 Portscanner...447 10.10 Das Kapitel im Schnelldurchlauf...448 Teil III Enterprise Edition 11 Einführung in die Enterprise Edition... 454 11.1 Die Hauptunterschiede der Editionen...454 11.2 Konfigurationsspeicherserver...456 11.2.1 Basisschema...458 11.2.2 Active Directory Application Mode (ADAM)...458 11.2.3 Platzierung von Konfigurationsspeicherservern...459 11.3 Domäne oder Arbeitsgruppe?...463 11.4 Netzwerklastenausgleich (NLB)...463 11.5 Verteilte Zwischenspeicherung mit CARP...466 11.6 Richtlinien...468 11.7 Das Kapitel im Schnelldurchlauf...468 12 Installation der Enterprise Edition... 472 12.1 Vorbereitung der Installation...472 12.1.1 Hardware-/Softwarevoraussetzungen und Lizenzierung...472 12.1.2 Netzwerkkarten und Bindungen...472 12.1.3 Abschluss der Vorbereitung...474 12.2 Manuelle Installation...475 12.2.1 Beispiel 1 Konfigurationsspeicherserver und Array-Mitglieder in gleicher Domäne...475 12.2.2 Beispiel 2 Konfigurationsspeicherserver in Domäne, Array-Mitglieder in einer Arbeitsgruppe...497 12.3 Unbeaufsichtigte Installation...515 12.3.1 Beispiel 1 InstallStandaloneServer.ini...519 12.3.2 Beispiel 2 InstallJoinedServer.ini...520 12.4 Aktualisierung von ISA Server 2000 Enterprise Edition...521 12.4.1 Voraussetzungen...521 12.4.2 Vorbereiten des Konfigurationsspeicherservers...521 12.4.3 Array-Mitglieder aktualisieren...522 12.5 Das Kapitel im Schnelldurchlauf...522 13 Konfiguration der Enterprise Edition... 526 13.1 Redundanz, Replikation und Aktualisierung der Konfiguration...526
Inhalt XI 13.2 Konfigurationsspeicherserverzugriffe auf Array-Mitglieder...531 13.3 Intra-Array-Kommunikation...533 13.4 Komplettsicherung und -wiederherstellung...535 13.5 Unternehmenskonfiguration...538 13.5.1 Verwaltungsdelegation...538 13.5.2 Unternehmensrichtlinien...541 13.5.3 Unternehmensnetzwerke...544 13.5.4 Netzwerksätze...546 13.5.5 Unternehmensnetzwerkregeln...547 13.5.6 Unternehmens-Add-Ins...547 13.6 Array-Konfiguration...548 13.7 Netzwerklastenausgleich...551 13.7.1 Netzwerk für die Intra-Array-Kommunikation erfassen...551 13.7.2 Konfiguration der Array-Mitglieder...552 13.7.3 Netzwerklastenausgleich konfigurieren...553 13.8 Cache Array Routing Protocol (CARP)...556 13.9 Überwachen einer ISA Server Enterprise-Umgebung...558 13.10 Spezialitäten der Enterprise Edition...560 13.10.1 Array-Regelelemente zur Unternehmensebene kopieren...560 13.10.2 Adresszuweisung für VPN-Clients ohne DHCP...561 13.10.3 Veröffentlichungsregeln mittels virtueller IP-Adresse...561 13.10.4 Die Systemrichtlinie (erweitert)...562 13.11 Das Kapitel im Schnelldurchlauf...563 Teil IV Anhang 14 Anhang... 568 14.1 ISA Server 2004-Dienste...568 14.2 Private IP-Adressbereiche...568 14.3 Wichtige TCP/UDP-Ports und IP-Protokollnummern...569 14.4 Automatisierte Verwaltung mit Skripten...570 14.4.1 Beispiel 1 Löschen sämtlicher Cache-Dateien auf allen Cache-Laufwerken...570 14.4.2 Beispiel 2 Importieren von URLs in einen existierenden URL-Satz...571 14.4.3 Beispiel 3 Alarmkonfiguration...572 14.5 ISA Server 2004 Software Development Kit...573 14.6 Microsoft-Partner...573 14.7 ISA Server 2004 und Small Business Server 2003...574 Register...575