Одна из неупомянутых заморочек, касающихся безопасности
брандмауэров ISA Firewall для размещенных интернет веб-сайтов,
связана с потенциалом атак с целью нарушения обычного
обслуживания юзеров на учетных записях юзеров
из-за подготовительной аутентификации на брандмауэрах ISA. Как
это может произойти? Если ваша компания применила политику
блокировки учетных записей для юзеров, которые не могут
предоставить верный пароль, атакующие юзеры,
обнаружившие имя юзера, могут использовать функцию
подготовительной аутентификации, предоставляемую брандмауэром
ISA, чтоб перекрыть учетные записи юзера.
Например, представим, вы выпустили собственный OWA веб-сайт и
используете аутентификацию на базе форм на ISA Firewall.
Атакующий юзер мог поглядеть ваш корпоративный интернет
веб-сайт и вычислить имя какого-нибудь юзера при помощи e-mail
адресов, включенных в ваш общественный интернет веб-сайт. Сейчас атакующий
юзер может попробовать войти в систему, используя имя
этого юзера. Естественно, ему навряд ли получится вычислить
верный пароль в рамках установленного вами ограничения
количества неудачных попыток. Итак, хотя атакующий не сумел
войти в почтовый ящик юзера, он сумел удачно
заблокировать учетную запись этого юзера на время
деяния данной политики, установленной в вашей Active
Directory.
Было бы здорово, если б вы могли устанавливать количество
неудачных попыток ввода пароля на интернет приемнике (Web
Listener), которое было бы меньше, чем количество попыток,
установленное в Active Directory. В данном случае у вас была бы
«мягкая» блокировка для этой пользовательской учетной записи
на ISA Firewall. В то время как эта учетная запись не могла бы
заходить в сеть через правила интернет публикации на ISA Firewall,
она не блокировалась бы во внутренней сети и все еще могла бы
иметь доступ к сети через удаленное VPN соединение.
Не плохая новость состоит в том, что сейчас у нас есть
такая функциональность! Компания Collective Software собрала
хороший фильтр интернет аутентификации, который дает нам конкретно
такую возможность. Продукт, узнаваемый под именованием LockoutGuard,
включает последующие свойства:
LockoutGuard можно настроить на отказ попыток
аутентификации от наружных юзеров до того, как
предел Active Directory достигнут
Хотя учетная запись заблокирована от наружных соединений,
она все еще доступна во внутренней сети и через удаленный
доступ VPN соединений
Атакующие юзеры не сумеют производить жесткие
атаки при наличии «мягкой» блокировки на ISA Firewall,
так как пробы аутентификации автоматом отвергаются,
как установленное ограничение достигнуто
LockoutGuard прост в установке и настройке, и у него есть
только немногие требования. Все, что вам необходимо, это:
ISA 2006
Аутентификация в Active Directory, для которой необходимо
просто сделать ISA Firewall членом домена, либо если ISA
Firewall не является членом домена, вы сможете использовать
LDAP аутентификацию
Правила интернет публикации должны использовать интернет приемник,
который настроен на внедрение или базисной (Basic)
аутентификации, или аутентификации на базе формы
(Forms-based)
Нужно установить Microsoft .NET Framework 2.0 на
ISA Firewall
В этой статье мы разглядим процесс установки и опции,
чтоб показать, как просто вынудить систему работать с
LockoutGuard.
Установка
1-ое, что вам необходимо сделать, это скачать LockoutGuard
App. Вы сможете использовать LockoutGuard
в качестве demo версии в течение некого времени, до этого
чем решите приобрести это приложение. Удостоверьтесь, что вы скачали
его на свою рабочую станцию. Помните, что вы ни в коем
случае не должны использовать ISA Firewall в качестве
рабочей станции, что значит, что вы никогда не используете
интернет браузер на ISA Firewall. После скачки приложения на
свою рабочую станцию, скопируйте его на USB либо CD и потом
скопируйте его на жесткий диск вашего ISA Firewall.
Сейчас, когда LockoutGuard находится на ISA Firewall,
два раза нажмите на файле LockoutGuard.msi. Удостоверьтесь в
том, что консоль ISA Firewall не открытка! На страничке мастера
Welcome to the LockoutGuard Setup Wizard удостоверьтесь в
том, что напротив строчки Останавливать/запускать службу
автоматом стоит флаг, чтоб служба брандмауэра
перезапускалась автоматом. Нажмите Дальше.
Набросок 1
На страничке Лицензионное соглашение поставьте флаг
напротив строчки Я принимаю условия лицензионного
соглашения и нажмите Дальше.
Набросок 2
На страничке Изберите тип установки нажмите кнопку
Полная, чтоб установить все свойства
продукта.
Набросок 3
На страничке Готов к установке нажмите кнопку
Установить.
Набросок 4
Упс! Я, будучи обычным админом ISA Firewall, запамятовал
о системных требованиях. Никаких заморочек! Программка установки
проверила систему за меня и нашла, что я запамятовал установить
.NET Framework 2.0. На данном шаге я прерву установку и
установлю .NET framework.
Набросок 5
Мастер дает мне возможность выйти из процесса установки с
тем, чтоб я сумел установить .NET framework.
Набросок 6
Сейчас, когда я установил .NET Framework, я перезапущу
приложение LockoutGuard опять. Сейчас все идет более
гладко.
Набросок 7
Установка успешна!
Набросок 8
Настройка характеристик LDAP сервера на ISA Firewall
Хотя LockoutGuard прост в установке и настройке, самой
сложной частью установки является настройка ISA Firewall на
внедрение LDAP аутентификации. Даже если ISA Firewall
является членом домена, нам все равно нужно настроить
характеристики LDAP. Причина тому кроется в том, что фильтр должен
знать текущий счетчик неудачных попыток введения пароля для
юзера, который пробует аутентифицироваться, а для
этого требуется просмотр LDAP.
В консоли ISA Firewall перейдите по вкладке
Конфигурация/Общие в левой панели. Во вкладке
Общие в средней панели консоли перейдите по ссылке
Указать RADIUS и LDAP серверы.
Набросок 9
В диалоговом окне Серверы аутентификации нажмите по
вкладке LDAP серверы. Как вы видите тут, я уже
добавил свои LDAP серверы. Нажмите кнопку Добавить,
чтоб добавить новый набор LDAP сервера.
Набросок 10
У вас появится диалоговое окно, схожее этому. 1-ое, что
вам необходимо сделать, это добавить LDAP сервер, который является
контроллером домена, содержащего юзеров, которые будут
аутентифицироваться с ISA Firewall. Нажмите кнопку
Добавить и добавьте имя сервера LDAP. В примере,
приведенном ниже, я добавил сервер
win2008rc0-dc.msfirewall.org. Это имя ОЧЕНЬ принципиальное.
Необходимо установить сертификат сервера LDAP в хранилище
сертификатов машины, который будет соответствовать
имени, которое вы введете тут. Если имя, которые вы указали
тут, не будет соответствовать общему/субъектному имени на
сертификате, аутентификация сертификата для LDAPS соединения
работать не будет.
К тому же ISA Firewall обязан иметь CA сертификат издателя,
который выпустил сертификат, установленный на контроллере
домена. CA сертификат необходимо установить в хранилище
сертификатов машины Доверенный корневой центр сертификации
(Trusted Root Certification Authorities) на ISA Firewall.
Если CA сертификат не установлен на ISA Firewall, то ISA
Firewall не будет доверять сертификату сервера,
представленному контроллером домена, в итоге чего LDAPS
соединения работать не будут.
По способности следует добавлять в перечень более 1-го
контроллера домена. В данном случае если контроллер домена дает
сбой, LockoutGuard может использовать другой.
Удостоверьтесь в том, что ввели имя домена в текстовое окно
Введите имя домена Active Directory. Введите
только имя домена. Не вводите FQDN контроллера
домена.
Также стоит отметить галочкой опцию Подключать LDAP
серверы через неопасное соединение. Это уязвимая
информация, и вам нельзя подключаться к контроллеру домена
через незащищенное соединение!
В конце концов, введите имя юзера, которое ISA Firewall
сумеет использовать для подключения к LDAP серверу. Это может
быть учетная запись обыденного юзера, потому не
непременно использовать учетную запись админа
предприятия либо домена. Но, удостоверьтесь в том, что это не
учетная запись, которая имеет доступ из наружного расположения,
так как ISA уже имеет верный пароль, который вы указали
в диалоговом окне. Из-за этого LDAP юзер, которого вы
указали тут, никогда не может быть блокирован (всякий раз,
когда ISA подключается к LDAP, его счетчик некорректных
паролей будет сбрасываться на ноль!)
Набросок 11
Последнее, что вам необходимо сделать, это настроить
Выражение регистрации (Login Expression). Нажмите
кнопку Новое и введите * для выражения, также
изберите Набор сервера LDAP, который вы сделали.
Набросок 12
Настройка блокировки учетных записей в групповой
политике
Если вы не настроили политику блокировки учетных записей в
групповой политике, то вам необходимо сделать это на данный момент. Вы сможете
открыть консоль управления групповой политикой на
контроллере домена (я использую Windows Server 2008 DC в этом
примере), а потом надавить на Политика домена по
умолчанию, как показано на рисунке ниже. Потом надавить на
ней правой кнопкой и избрать опцию Редактировать.
Набросок 13
Это откроет Редактор управления групповой политикой
для стандартной политики домена. Перейдите по вкладке
Конфигурация компьютера/Характеристики Windows/Характеристики
безопасности/Политики учетных записей/Политика блокировки
учетных записей. Два раза нажмите по записи Пороговая
величина блокировки учетной записи в правой панели и
поставьте флаг напротив функции Определять этот параметр
политики. В этом примере мы установим порог со значением в
5. Когда вы нажмете OK, система автоматом
задаст характеристики продолжительность блокировки учетной записи
и сбрасывание счетчика блокировки учетной записи после,
хотя вы сможете изменять эти стандартные значения.
Набросок 14
Создание интернет приемника и активация LockoutGuard
Сейчас LockoutGuard установлен на ISA Firewall, и беря во внимание
что политика блокировки настроена, мы сделаем интернет приемник,
для которого будет активирован LockoutGuard.
В консоли ISA Firewall перейдите по вкладке Политика
брандмауэра в левой панели, а потом нажмите по вкладке
Инструменты в панели задач. Нажмите по заголовку
Сетевые объекты, потом Новый, а потом Интернет
приемник.
Набросок 15
На приветственной страничке мастера Welcome to the New
Web Listener Wizard введите имя интернет приемника. В этом
примере мы сделаем SSL приемник и назовем его SSL
приемник. Нажмите Дальше.
Набросок 16
На страничке Безопасность соединения клиента изберите
опцию Добиваться SSL защищенных соединений с клиентами и
нажмите Дальше.
Набросок 17
На страничке IP адреса интернет приемника я избрал
определенный адресок на наружном интерфейсе ISA Firewall, чтоб
этот интернет приемник воспринимал входящие соединения. Нажмите
Дальше.
Набросок 18
Так как для этого приемника требуются SSL соединения, нам
необходимо присвоить сертификат этому приемнику. Нажмите на кнопку
Выбор сертификата и изберите действительный сертификат.
Я вижу, что у меня есть сертификат с заглавием
sstp.msfirewall.org на этой машине, потому я буду
использовать его.
Набросок 19
Нажмите Дальше на страничке Сертификаты SSL
приемника после предназначения сертификата интернет приемнику.
Набросок 20
LockoutGuard работает только для аутентификации на базе
форм либо для базисной аутентификации. Потому в данном примере
мы выберем Аутентификация HTML форм. Так как этот ISA
Firewall является членом домена (я всегда включаю свои ISA
Firewalls в домен, чтоб иметь возможность пользоваться
преимуществом завышенной безопасности на машинах, входящих в
домен), мы используем опцию Windows (Active Directory).
Нажмите Дальше.
Набросок 21
Нам не надо включать функцию Single Sign в этом примере,
потому мы убираем флаг с функции Активировать SSO для интернет
веб-сайта, размещенного с этим интернет приемником. Нажмите
Дальше на страничке Характеристики Single Sign On.
Набросок 22
Нажмите Окончить на страничке мастера Completing
the New Web Listener Wizard.
Набросок 23
Нажмите Применить, чтоб сохранить и обновить
политику брандмауэра. Нажмите OK в диалоговом окне
Сохранение конфигураций конфигурации.
В панели задач нажмите по вкладке Инструменты.
Нажмите заголовок раздела Сетевые объекты и нажмите по
папке Интернет приемник. Два раза нажмите по SSL
Приемнику в интернет приемнике.
У вас появится новенькая вкладка в диалоговом окне Характеристики
приемника SSL. Это вкладка LockoutGuard. Тут вы ставите
галочку напротив строчки Активировать LockoutGuard.
Потом указываете значение в текстовом окне для Мягенькая
блокировка, когда счетчик неудачных паролей достигнул
значения. В этом примере мы сделали значение счетчика
мягенькой блокировки меньше, чем значение счетчика жесткой
блокировки в Active Directory, которое составило 4. Значение
жесткой блокировки в Active Directory составило 5.
Набросок 24
Не забудьте применить конфигурации после их внесения в
значение мягенькой блокировки.
Просто для наслаждения вы сможете использовать инструмент
ldp.exe, чтоб инспектировать характеристики блокировки и статус
учетной записи юзера. В примере, обозначенном ниже, видно,
что счетчик попыток ввести неверный пароль имеет значение
5, и время блокировки учетной записи тоже обозначено.
Направьте внимание, что для учетной записи, защищенной
LockoutGuard, значение счетчика некорректных паролей не должно
превосходить лимита, который вы ввели выше, независимо от того,
сколько раз форма регистрации подписана.
Набросок 25
На данном шаге LockoutGuard активен и даст вам знать, если
появится учетная запись, подвергнутая мягенькой блокировке,
средством записей во вкладке Предупреждения в консоли
ISA Firewall.
Набросок 26
Заключение
В этой статье мы представили вам делему возможных
атак с целью нарушения обычного обслуживания юзера,
которые могут иметь место во время аутентификации правил интернет
публикации. Чтоб решить эту делему, нам нужен был способ,
который позволил бы нам устанавливать политику мягенькой
блокировки, которая в свою очередь позволила бы ISA Firewall
предотвращать пробы аутентификации для пользовательских
учетных записей еще до того, как достигнуто значение жесткой
блокировки в Active Directory. Это не позволило бы атакующим
перекрыть пользовательские учетные записи и позволило бы
учетным записям все еще иметь доступ во внутренней сети и
через RAS соединения, и сразу предотвращая последующие
жесткие пробы атак этой учетной записи через ISA Firewall.
Мы нашли, что фильтр LockoutGuard от компании Collective
Software был безупречным решением этой препядствия. Потом мы
разглядели процесс установки и опции ПО, включая короткое
обсуждение того, как настраивать характеристики LDAPS для поддержки
LDAP просмотра, который требуется для фильтра аутентификации
LockoutGuard.
Ссылки
Скачать
LockoutGuard