Intelligenter Türsteher

Microsofts neuer Firewall-, VPN- und Cache-Server bietet keine echten Innovationen, aber eine Vielzahl von nützlichen Detailverbesserungen.

Artikel erschienen in Swiss IT Magazine 2006/21

     

Auf den ersten Blick hat sich zwischen den ISA Servern 2004 und 2006 kaum etwas verändert – beide sind in jeweils zwei Editionen erhältlich, Standard und Enterprise. Die grafische Ober­fläche beider Versionen ähnelt sich sehr, und auch ansonsten fällt beim ersten Stöbern kaum etwas Neues auf. Doch die Unterschiede stecken im Detail, und viele Verbesserungen werden erst bei genauerem Hinsehen sichtbar. Insbesondere die Bereiche Server- und Webveröffentlichung sowie die Authentifizierungsverfahren wurden deutlich erweitert.


Support für Exchange- und SharePoint-Server

Eine Veröffentlichung (Secure Publishing) stellt im ISA Server einen Regelsatz dar, der den Zugriff aus dem Internet auf interne Ressourcen, die sich hinter der Firewall befinden, beschreibt. So finden sich im ISA Server beispielsweise vorbereitete Veröffentlichungen für Exchange Server. Neu sind im ISA Server 2006 Regelsätze für SharePoint Server, so dass sich dessen Kollaborationsfunktionen auch von aussen nutzen lassen, was inbesondere bei Teams mit externen Mitarbeitern eine wichtige Voraussetzung ist.




Zudem wird für SharePoint automatisch eine Technik namens Link Translation aktiviert, mit deren Hilfe interne Links auch ausserhalb der Firewall aufgelöst werden können. Angenommen, in einem öffentlich verfügbaren Webdokument befindet sich ein Link auf ein Dokument, das auf einem Intranet-Server bereitgestellt wird. So lange dieser Link von intern verfolgt wird, funktioniert alles einwandfrei. Wird aber versucht, diesem Link von aussen zu folgen, führt dies zu einem Fehler, da der Intranetserver nach aussen nicht bekannt ist. Link Translation ersetzt den internen Link bei seiner Veröffentlichung durch einen virtuellen Link, der vom ISA Server 2006 automatisch aufgelöst und weitergeleitet wird, so dass auch intern verlinkte Dokumente von aussen zugreifbar sind.





Die Veröffentlichung von
Exchange-Servern ist im Gegensatz dazu nicht neu, sie wurde allerdings im Vergleich zum Vorgänger verbessert und ausgebaut. So lässt sich im ISA Server 2006 definieren, welche Version von Exchange Server eingesetzt wird, wobei Exchange 5.5, 2000, 2003 und die kommende 2007er Version unterstützt werden. Durch die Auswahl der passenden Version werden die verfügbaren Konfigurationseinstellungen des ISA Server 2006 verändert, so dass gezielter als bisher auf die Veröffentlichung Einfluss genommen werden kann.


Load Balancing und HTTP-Compression

Auch bei den Webveröffent­lichungen bietet ISA Server 2006 neue Features, an erster Stelle ist hier mit Sicherheit das Web Pub­lishing Load Balancing zu nennen. Diese Funktion ermöglicht es, Webanfragen auf mehrere Webserver umzulenken, so dass sich diese die Last teilen können. ISA Server 2006 stellt dabei entweder Cookie- oder IP-basiert sicher, dass die Session eines Clients immer auf den gleichen Server geroutet wird.
Ausserdem können Webserver im laufenden Betrieb ausgetauscht werden, indem diese im ISA Server 2006 als «Draining» markiert werden, so dass diese nur noch bestehende Sessions abarbeiten, ihnen aber keine neuen mehr zugewiesen werden. Ausserdem erkennt der neue ISA Server, wenn ein Server ausfällt, und entfernt diesen aus der Liste verfügbarer Webserver, so dass dieser im Hintergrund ausgetauscht werden kann, ohne dass die Clients davon etwas mitbekommen.
Neben dem Web Publishing Load Balancing bietet der ISA Server 2006 auch HTTP Compression, wodurch Webseiten vor ihrer Auslieferung an den Client mittels GZip komprimiert werden. Voraussetzung dafür ist, dass der Client HTTP in Version 1.1 und komprimierte Inhalte akzeptiert, was beispielsweise im Internet Explorer seit Version 4 der Fall ist.


Single-Sign-On

Der ISA Server 2006 ermöglicht es, Zugriffe auf interne Ressourcen zu authentifizieren. Dabei kann der ISA Server quasi als Single-Sign-On-Lösung fungieren, so dass sich Benutzer nur einmal Authentifizieren müssen, um auf verschiedene veröffentlichte Webseiten und Dienste zugreifen zu können. Die Anzahl der möglichen Authentifizierungsverfahren hat dabei im Vergleich zur 2004er-Version deutlich zugenommen. So bietet der ISA Server 2006 neben der Windows-Authentifizierung die klassische HTTP-Authentifizierung, SSL-Zertifikate, formbasierte Authentifizierung, Active Directory, LDAP, RADIUS, RADIUS OTP, RSA SecurID und Kerberos. Für Kerberos wird zudem noch die Möglichkeit angeboten, die Authentifizierung mittels Kerberos Protocol Transition and Constrained Delegation an externe Kerberos-Server weiterzureichen.


Quality of Service und intelligentes Caching

Auch im Bereich der Serververfügbarkeit und -leistung hat der ISA Server 2006 zugelegt. Zunächst ist in diesem Bereich der neue DiffServ-Filter zu nennen, der mit hoher Priorität läuft und alle Anfragen anhand ihrer URL oder der entsprechenden Domain auf Wichtigkeit überprüft und anschliessend priorisiert. Damit können beispielsweise für gewisse Webseiten verbesserte Antwortzeiten garantiert werden.
Ausserdem bietet der ISA Server 2006 umfangreiches Caching an. Zum einen wird klassisches Content Caching geboten, was insbesondere im Zusammenhang mit hierarchisch gestaffelten ISA Servern beispielsweise in einem Firmennetzwerk mit Filialen interessant ist. Hier können Clients zunächst beim ISA Server der Filiale nachfragen, der die gewünschten Daten dann entweder aus dem Cache liefert oder sie beim übergeordneten ISA Server erfragt. Dadurch entsteht im Laufe der Zeit auf dem obersten ISA Server ein sehr umfassender und vielseitiger Cache für die gesamte Firmenstruktur. Zum anderen unterstützt der ISA Server 2006 das sogenannte Background Intelligent Transfer Service Caching (BITS). Dieses ermöglicht, dass die Update-Dienste von Windows, Office und den übrigen Microsoft-Anwendungen nicht jeweils ihre Aktualisierungen direkt aus dem Internet herunterladen, sondern dass dies nur einmal vom ISA Server ausgeführt wird und dieser dann die Aktualisierungen im lokalen Netzwerk bereitstellt, so dass die externe Netzwerklast deutlich gesenkt werden kann.


Schutz vor Denial-of-Service-Attacken

Schliesslich bietet der ISA Server 2006 auch einen verbesserten Schutz vor DoS-Angriffen, indem nicht wie beim Vorgänger lediglich die verfügbare Bandbreite für Verbindungen eingeschränkt wird, sondern indem die IP-Adresse analysiert wird, welche die hohe Last verursacht. Auf Basis dieser Analyse entscheidet der ISA Server 2006 dann beispielsweise, die Anzahl der gleichzeitig geöffneten Verbindungen, die Anzahl der HTTP-Anfragen oder die Anzahl von Nicht-TCP-Sessions mit dieser IP-Adresse zu beschränken.
Ausserdem wird beispielsweise das Logging herabgestuft, so dass nicht mehr alle Zugriffsverweigerungen protokolliert werden, wobei im schlimmsten Fall dieses Logging sogar komplett abgeschaltet wird, um Ressourcen zu sparen. Zudem wird die Anzahl von DNS-Anfragen kontrolliert, so dass auch diese im Bedarfsfall limitiert werden kann.
Insgesamt bietet der ISA Server 2006 also deutlich granularer greifende Regeln, um DoS-Angriffe abzuwehren und diese auch analysieren zu können.


Private Netzwerke

Auch im Bereich des VPN gibt es beim ISA Server 2006 Verbesserungen. Insbesondere für Firmen interessant ist hier die Möglichkeit, eine Konfigurationsdatei für das VPN zu erstellen und diese von zentraler Stelle aus an alle untergeordneten ISA Server zu veröffentlichen, so dass diese sich automatisch konfigurieren.
Ein weiteres interessantes Feature des ISA Server 2006 ist VPN Quarantine, das anhand von Richtlinien überprüft, welche Zugriffsberechtigungen ein per VPN eingewählter Computer auf das Netzwerk erhält. Solche Richtlinien können beispielsweise bewirken, dass sich Mitarbeiter mit ihrem privaten Computer nur dann in ihr Unternehmensnetzwerk einwählen können, wenn der Computer über aktuelle Virensignaturen verfügt und alle Sicherheitsupdates eingespielt sind.
Computer, die diesen Richtlinien nicht entsprechen, werden in der Verwaltung vom ISA Server 2006 in einem gesonderten Bereich dargestellt, so dass sie leicht identifiziert werden können und der Administrator entsprechend eingreifen kann.


Fazit

Insgesamt stellt der ISA Server 2006 eine interessante Weiterentwicklung des ISA Server 2004 dar, wobei der Sprung zwischen diesen beiden Versionen bei weitem nicht so gross ist wie der zwischen den Versionen 2000 und 2004. Dennoch ist der ISA Server 2006 ein sehr empfehlenswertes Produkt, wobei er seine Stärke in einem reinen Microsoft-Umfeld sicherlich am besten ausspielen kann.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER