● آشنایی
برنامه قدرتمند ارتقاء و امنیت شبكه مایكروسافت ISA Server نام دارد. این برنامه با استفاده از سرویسها، سیاستها و امكاناتی كه در اختیار كاربران قرار میدهد قادر است به عنوان راهحلی در ایجاد شبكههای مجازی
(VPN) و یا برپا كردن فضای حایل به عنوان cache جهت دسترسی سریعتر به صفحات وب، مورد استفاده قرار گیرد. همچنین این برنامه قادر است با ایجاد یك دیواره آتش در لایه Application شبكه، فعالیت سرویسهای مختلف یك شبكه ویندوزی مثل وب سرور IIS، سرویسهای دسترسی از راهدور (Routing and Remote Access) را از طریق فیلترگذاری و كنترل پورتها، تحت نظر گرفته و فضای امنی را برای آنها فراهم كند. این برنامه با استفاده از نظارت دایمی خود بر پروتكل امنیتی SSL و فیلتر كردن درخواستهای Http كه به سرور میرسد، وب سرور و ایمیل سرور را از خطر حمله هكرها دور نگه میدارد. به همین ترتیب، كلیه ارتباطات شبكهای كه با یك سرور برقرار میشود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و یا IIS، باید از سد محكم ISA عبور كنند تا درخواستها و ارتباطات مشكوك با سرور مسدود گردد.
سایت مایكروسافت برای بررسی اهمیت وجود ISA در یك شبكه، كلیه راهحلهای این برنامه را كه با استفاده از سرویسها و امكانات ویژه موجود در آن، ارایه گشته است به هفت سناریو یا وضعیت مختلف تقسیم كرده كه به آنها میپردازیم. (تصاویر مقاله از سایت مایکروسافت برداشته شده اند)
● سناریوی اول
 |
شكل 1 |
از ISA برای تأمین امنیت ایمیلها استفاده میشود. ISA Server با استفاده از دو روش استاندارد یعنی SSL decryption وهمچنین Http Filtering اولاً از ورود كدهای مشهور به malicious كه عمدتاً بدنه انواع كرمها و ویروسها را میسازند جلوگیری به عمل میآورد و ثانیاً محتوای درخواستهای Http را برای بررسی مجوز دسترسی آنها و صلاحیت دریافت و ارسال اطلاعات مورد كنكاش قرار میدهد. در این حالت، ISA همچنین از هر نوع اتصال افراد با اسم كاربری anonymous كه میتواند منشأ شكستن رمزعبورهای مجاز یك سرویسدهنده ایمیل شود، جلوگیری میكند. به هر حال با وجود این كه یك ایمیل سرور مثل Exchange راهحلهای امنیتی مخصوص به خود را دارد، اما وجود ISA بهعنوان دیواره آتش یك نقطه قوت برای شبكه به حساب میآید. ضمن اینكه در نسخههای جدید ISA امكان ایجاد زنجیرهای از سرورهای ISA كه بتوانند با یك سرورExchange در تماس بوده و درخواستهای كاربران را با سرعت چند برابر مورد بررسی قرار دهد باعث شده تا اكنون به ISA عنوان فایروالی كه با قدرت انجام توازن بار ترافیكی، سرعت بیشتری را در اختیار كاربران قرار میدهد در نظر گرفته شود. (شكل 1)
● سناریوی دوم
 |
شكل 2 |
ISA میتواند در تأمین امنیت و دسترسی از راه دور نیز مورد استفاده قرار گیرد. در این سناریو، یك شركت برخی از اطلاعات سازمان خود را برای استفاده عموم در معرض دید و یا استفاده كاربران خارج از سازمان قرار میدهد. به عنوان مثال بسیاری از شركتها مسایل تبلیغاتی و گاهی اوقات سیستم سفارشدهی خود را در قالب اینترنت و یا اینترانت برای كاربران باز میگذارند تا آنها بتوانند از این طریق با شركت ارتباط برقرار نمایند. در این صورتISA میتواند به صورت واسط بین كاربران و سرویسهای ارایه شده توسط وب سرور یا بانكاطلاعاتیSQLServer كه مشغول ارایه سرویس به محیط خارج است، قرار گرفته و بدینوسیله امنیت دسترسی كاربران به سرویسهای مجاز و حفاظت از منابع محرمانه موجود در سیستم را فراهم آورد.
(شكل 2)
● سناریوی سوم
 |
شكل 3
|
در این سناریو، دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخی موارد همكاری اطلاعاتی دارند، توسط فضای اینترنت و از طریق سرورها و دروازههای VPN با یكدیگر در ارتباط هستند. به عنوان مثال یكی از شركای یك شركت تجاری، محصولات آن شركت را به فروش رسانده و درصدی از سود آن را از آن خود میكند. در این روش به صورت مداوم و یا در ساعات معینی از شبانهروز، امكان ردوبدل اطلاعات بین دو شركت مذكور وجود دارد. در این زمان ISA میتواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالی و دریافتی در حین مبادله جلوگیری كند، در حالی كه هیچكدام از دو طرف احساس نمیكنند كه فضای حایلی در این VPN مشغول كنترل ارتباط بین آنهاست. به علاوه اینكه با وجود ISA، كاربران برای اتصال به سایت یكدیگر باید از دو مرحله Authentication (احراز هویت) یكی برای سرور یا دروازه VPN طرف مقابل و دیگری برای ISA عبور كنند كه این حالت یكی از بهترین شیوههای برقراری امنیت در شبكههای VPN است. در این سناریو، وجود یك ISA Server تنها در طرف سایت اصلی یك شركت میتواند، مدیریت برقراری امنیت در كل فضای VPN هر دو طرف را بهعهده گیرد و با استفاده از دیواره آتش لایه Application از عبور كدهای مشكوك جلوگیری كند. (شكل 3)
● سناریوی چهارم
 |
شكل 4 |
در سناریوی چهارم، یك شركت قصد دارد به عنوان مثال تعدادی از كارمندان خود را قادر به كار كردن با سیستمهای درونی شركت از طریق یك ارتباط VPN اختصاصی بنماید. در این حالت برای دسترسی این قبیل كارمندان به سرور شركت و عدم دسترسی به سرورهای دیگر یا جلوگیری از ارسال ویروس و چیزهای مشابه آن، یك سد محكم به نام ISA ترافیك اطلاعات ارسالی و یا درخواستی را بررسی نموده و درصورت عدم وجود مجوز دسترسی یا ارسال اطلاعات مخرب آن ارتباط را مسدود میكند. (شكل 4)
● سناریوی پنجم
 |
شكل 5
|
سناریوی بعدی زمانی مطرح میشود كه یك شركت قصد دارد با برپایی یك سیستم مركزی در محل اصلی شركت، سایر شعبات خود را تحت پوشش یك سیستم (مثلاً یك بانكاطلاعاتی) متمركز درآورد. از این رو باز هم در اینجا مسأله اتصال شعبات شركت از طریق VPN مطرح میشود. در این صورت ISA با قرار داشتن در سمت هر شعبه و همچنین دفتر مركزی به صورت آرایهای از دیوارههای آتش (Array of Firewall) میتواند نقل و انتقال اطلاعات از سوی شعبات به دفتر مركزی شركت و بالعكس را زیرنظر داشته باشد. این مسأله باعث میشود تا هر كدام از شعبات و دفتر مركزی به منابع محدودی از یكدیگر دسترسی داشته باشند. در ضمن با وجود امكان مدیریت و پیكربندی متمركز كلیه سرورهای ISA نیازی به مسؤولین امنیتی برای هر شعبه نیست و تنها یك مدیر امنیت، از طریق ISA سرور موجود در دفتر مركزی میتواند كلیه ISA سرورهای شعبات را تنظیم و پیكربندی كند. (شكل 5)
● سناریوی ششم
 |
شکل 6 |
كنترل دسترسی كاربران داخل دفتر مركزی به سایتهای اینترنتی، سناریوی ششم كاربرد ISA محسوب میشود. در این جا ISA میتواند به كمك مدیر سیستم آمده، سایتها، لینكهای URL و یا انواع فایلهایی كه از نظر وی نامناسب تشخیص داده شده، را مسدود كند. در همین هنگام فایروال نیز كار خود را انجام میدهد و با استفاده از سازگاری مناسبی كه بین ISA و Active Directory ویندوز وجود دارد، اولاً از دسترسی افراد غیرمجاز یا افراد مجاز در زمانهای غیرمجاز به اینترنت جلوگیری شده و ثانیاً میتوان از اجراشدن برنامههایی كه پورتهای خاصی از سرور را مثلاً جهت استفاده برنامههای Instant Messaging مورد استفاده قرار میدهند، جلوگیری نمود تا بدینوسیله ریسك ورود انواع فایلهای آلوده به ویروس كاهش یابد.
(شكل 6)
● سناریوی هفتم
در تمام سناریوهای قبلی كه ISA در برقراری ارتباط مناسب و امن بین سایتهای اینترنت، كاربران یا شعبات شركت نقش مهمی را ایفا میكرد، یك سناریوی دیگر نیز نهفته است و آن افزایش سرعت انتقال اطلاعات بین تمام موارد فوق از سایتهای اینترنتی گرفته تا اطلاعات سازمانی است. سیستم cache Array موجود در این برنامه باعث میشود تا هر كدام از كاربران چه در محل اصلی شركت و چه از محل شعبات بتوانند برای دیدن اطلاعات یا سایتهای مشابه راه میانبر را رفته و آن را از هر كدام از ISAهای موجود در شبكه VPN یا LAN دریافت كنند و بدینوسیله حجم انتقال اطلاعات با محیط خارج را تا حدود زیادی در سیستم متوازن نمایند.
● عملكرد
ISA Server كلیه سناریوهای تعیین شده را براساس سه قاعده مختلف یعنی سیستم، شبكه و دیواره آتش محقق میسازد كه در اینجا به این سه قاعده اشاره میكنیم.
1- Network Rule
ISA Server با استفاده از قوانین شبكهای موجود و تعریفشده در بانكاطلاعاتی خودش نحوه ارتباط دو یا چند شبكه را به یكدیگر در یك فضای معین، مشخص میسازد. در این قاعده كه توسط مدیر سیستم قابل تنظیم است مشخص میگردد كه شبكههای موردنظر طبق كدام یك از دو روش قابلطرح، به یكدیگر متصل میشوند. این دو روش عبارتند از:
الف- Network Address Translation) NAT)
این روش، یك ارتباط یك طرفه منحصربهفرد است. بدین معنی كه همیشه یكی از شبكهها نقش شبكه اصلی و داخلی (Internal) و بقیه شبكهها نقش شبكههای خارجی (External) را بازی میكنند. در این روش شبكه داخلی میتواند قوانین و شیوه دسترسی به اطلاعات و ردوبدل شدن آنها در فضای بین شبكهها را تعیین كند ولی این امكان از سایر شبكههای خارجی سلب گردیده و آنها تابع قوانین تعریف شده در شبكه داخلی هستند. در این روش همچنین ISA آدرس IP كامپیوترهای مبدا یك ارتباطNAT را به وسیله عوض كردن آنها درIP خارجی خودش، از دید كامپیوترهای یك شبكه (چه كامپیوترهای متصل از طریق LAN و چه كامپیوترهای خارجی) مخفی میكند. به عنوان مثال، مدیر یك شبكه میتواند از ارتباط بین كامپیوترهای متصل شده از طریق VPN را با فضای اینترنت از نوع یك رابطه NAT تعریف كند تا ضریب امنیت را در این ارتباطات بالا ببرد.
ب - Rout
این نوع ارتباط یك ارتباط، دو طرفه است. بدین معنی كه هر دو طرف میتوانند قواعد امنیتی خاصی را برای دسترسی شبكههای دیگر به شبكه محلی خود تعریف كنند. بهعنوان مثال ارتباط بین شبكههای متصل شده به یكدیگر در فضای VPN میتواند یك ارتباط از نوع Rout باشد.
با توجه به این مسایل ارتباطات قابل اطمینان یك شبكه با شبكههای مجاور (مثل شعبات شركت) میتواند از نوع Rout و ارتباطات محتاطانه شبكه با كاربران خارجی و كسانی كه از طریق RADIUS یا وب به شبكه دسترسی دارند میتواند از نوع NAT تعریف شود.
2- Firewall Rule
 |
|
علاوه بر نقش مستقیمی كه سیاستهای تعریفشده در قواعد دیواره آتش در نحوه ارتباط بین شبكهها بازی میكند و میتواند موجب مسدود شدن ارتباطات خارج از قواعد تعریف شده درNetwork Rule شود، این قواعد همچنین میتوانند با تعریف دقیقی كه از پروتكلهای Http ،FTP، DNS،RPC و ... انجام دهند، كلیه درخواستها از انواع مذكور را زیرنظر گرفته و به عبارتی فیلتر نمایند. در این روش مدیر امنیت شبكه میتواند امكان دسترسی تعدادی از كاربران را در ساعات خاص و به محتوای مشخص مجاز یا غیرمجاز كند. به عنوان مثال وی میتواند نمایش تصاویر موجود برروی صفحات وب را از طریق فیلتركردن فهرستی از پسوندهای انواع فایلهای گرافیكی در یك قاعده از نوع Http ، مسدود كند در حالی كه كاربران همچنان بتوانند آن فایلها را از طریق پروتكل دیگری مثلFTP دریافت یا ارسال كنند.
همچنین در قواعد مربوط به فایروال میتوان دسترسی كاربران و یا گروههای كاربری را به تعدادی از آدرسهای URL یا IPهای مشخص مسدود كرد. ضمن آنكه قواعد مربوط به نحوه دسترسی كاربران برای انجام اموری مثل انتشار صفحات وب (Web Publishing) و امثال آن هم در همین جا تعریف میگردد.
3- System Rule
در این قسمت بیش از سی قاعده مربوط به دسترسی وجود دارد كه قابل انتساب به شبكه محلی میباشند. این قواعد نحوه ارتباط سرویسهای یك شبكه را با یكدیگر و همچنین با ISA مشخص مینماید. به عنوان مثال سرویسDHCP كه كلیه درخواستها و پاسخهای مربوط به انتساب دینامیك آدرسIP به كامپیوترهای یك شبكه را مدیریت میكند، یا سرویس DSN كه وظیفه ترجمه اسامی و آدرسهای شبكه را انجام میدهد، مورد استفاده ISA قرار گرفته تا بتواند هم موقعیت خود در شبكه و با سرورهایی كه سرویسهای فوق را ارایه میدهند تشخیص دهد و هم با اطلاع از نحوه پیكربندی شبكه و ارتباط آن با محیط خارج اقدام به كنترل آن از طریق قواعد مربوط به شبكه و دیواره آتش بنماید. به طور كلی سیاستهای موجود در قواعد سیستمی روابط میان ISA و سایر منابع و سرورهای موجود در شبكه را مشخص مینمایند (با تشکر از سایت ictna.ir)
با تشکر از سایت
این وبلاگ به دور از هر گونه حاشیه تنها به مباحث فناوری اطلاعات و ارتباطات می پردازد. برخی مطالب به عنوان نکات قابل توجه از سایتهای دیگر در این وبلاگ درج میشود که حتما از نویسنده اصلی با ذکر منبع تقدیر و تشکر خواهد شد.