شرکت مایکروسافت نرمافزارهای متعددی را تحت عنوان Microsoft Server Systems در کنار سیستمعامل اصلی سرور خود یعنی ویندوز 2000 تا 2003 عرضه کرده که وظیفه ارایه سرویسهای متعددی را از انواع ارتباطات شبکه ای گرفته تا امنیت و غیره به عهده دارند. در این شماره قصد داریم به معرفی سرور کنترل ارتباط شبکهای یعنی ISA Server بپردازیم.
● آشنایی
برنامه قدرتمند ارتقاء و امنیت شبکه مایکروسافت ISA Server نام دارد. این برنامه با استفاده از سرویسها، سیاستها و امکاناتی که در اختیار کاربران قرار میدهد قادر است به عنوان راهحلی در ایجاد شبکههای مجازی
(VPN) و یا برپا کردن فضای حایل به عنوان cache جهت دسترسی سریعتر به صفحات وب، مورد استفاده قرار گیرد. همچنین این برنامه قادر است با ایجاد یک دیواره آتش در لایه Application شبکه، فعالیت سرویسهای مختلف یک شبکه ویندوزی مثل وب سرور IIS، سرویسهای دسترسی از راهدور (Routing and Remote Access) را از طریق فیلترگذاری و کنترل پورتها، تحت نظر گرفته و فضای امنی را برای آنها فراهم کند. این برنامه با استفاده از نظارت دایمی خود بر پروتکل امنیتی SSL و فیلتر کردن درخواستهای Http که به سرور میرسد، وب سرور و ایمیل سرور را از خطر حمله هکرها دور نگه میدارد. به همین ترتیب، کلیه ارتباطات شبکهای که با یک سرور برقرار میشود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و یا IIS، باید از سد محکم ISA عبور کنند تا درخواستها و ارتباطات مشکوک با سرور مسدود گردد.
سایت مایکروسافت برای بررسی اهمیت وجود ISA در یک شبکه، کلیه راهحلهای این برنامه را که با استفاده از سرویسها و امکانات ویژه موجود در آن، ارایه گشته است به هفت سناریو یا وضعیت مختلف تقسیم کرده که به آنها میپردازیم. (تصاویر مقاله از سایت مایکروسافت برداشته شده اند)
● سناریوی اول
(تصاویر در فایل اصلی موجود است)
از ISA برای تأمین امنیت ایمیلها استفاده میشود. ISA Server با استفاده از دو روش استاندارد یعنی SSL decryption وهمچنین Http Filtering اولاً از ورود کدهای مشهور به malicious که عمدتاً بدنه انواع کرمها و ویروسها را میسازند جلوگیری به عمل میآورد و ثانیاً محتوای درخواستهای Http را برای بررسی مجوز دسترسی آنها و صلاحیت دریافت و ارسال اطلاعات مورد کنکاش قرار میدهد. در این حالت، ISA همچنین از هر نوع اتصال افراد با اسم کاربری anonymous که میتواند منشأ شکستن رمزعبورهای مجاز یک سرویسدهنده ایمیل شود، جلوگیری میکند. به هر حال با وجود این که یک ایمیل سرور مثل Exchange راهحلهای امنیتی مخصوص به خود را دارد، اما وجود ISA بهعنوان دیواره آتش یک نقطه قوت برای شبکه به حساب میآید. ضمن اینکه در نسخههای جدید ISA امکان ایجاد زنجیرهای از سرورهای ISA که بتوانند با یک سرورExchange در تماس بوده و درخواستهای کاربران را با سرعت چند برابر مورد بررسی قرار دهد باعث شده تا اکنون به ISA عنوان فایروالی که با قدرت انجام توازن بار ترافیکی، سرعت بیشتری را در اختیار کاربران قرار میدهد در نظر گرفته شود.
● سناریوی دوم
ISA میتواند در تأمین امنیت و دسترسی از راه دور نیز مورد استفاده قرار گیرد. در این سناریو، یک شرکت برخی از اطلاعات سازمان خود را برای استفاده عموم در معرض دید و یا استفاده کاربران خارج از سازمان قرار میدهد. به عنوان مثال بسیاری از شرکتها مسایل تبلیغاتی و گاهی اوقات سیستم سفارشدهی خود را در قالب اینترنت و یا اینترانت برای کاربران باز میگذارند تا آنها بتوانند از این طریق با شرکت ارتباط برقرار نمایند. در این صورتISA میتواند به صورت واسط بین کاربران و سرویسهای ارایه شده توسط وب سرور یا بانکاطلاعاتیSQLServer که مشغول ارایه سرویس به محیط خارج است، قرار گرفته و بدینوسیله امنیت دسترسی کاربران به سرویسهای مجاز و حفاظت از منابع محرمانه موجود در سیستم را فراهم آورد.
● سناریوی سوم
در این سناریو، دو شبکه LAN مجزا متعلق به دو شرکت مختلف که در برخی موارد همکاری اطلاعاتی دارند، توسط فضای اینترنت و از طریق سرورها و دروازههای VPN با یکدیگر در ارتباط هستند. به عنوان مثال یکی از شرکای یک شرکت تجاری، محصولات آن شرکت را به فروش رسانده و درصدی از سود آن را از آن خود میکند. در این روش به صورت مداوم و یا در ساعات معینی از شبانهروز، امکان ردوبدل اطلاعات بین دو شرکت مذکور وجود دارد. در این زمان ISA میتواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالی و دریافتی در حین مبادله جلوگیری کند، در حالی که هیچکدام از دو طرف احساس نمیکنند که فضای حایلی در این VPN مشغول کنترل ارتباط بین آنهاست. به علاوه اینکه با وجود ISA، کاربران برای اتصال به سایت یکدیگر باید از دو مرحله Authentication (احراز هویت) یکی برای سرور یا دروازه VPN طرف مقابل و دیگری برای ISA عبور کنند که این حالت یکی از بهترین شیوههای برقراری امنیت در شبکههای VPN است. در این سناریو، وجود یک ISA Server تنها در طرف سایت اصلی یک شرکت میتواند، مدیریت برقراری امنیت در کل فضای VPN هر دو طرف را بهعهده گیرد و با استفاده از دیواره آتش لایه Application از عبور کدهای مشکوک جلوگیری کند.