Zu den Hauptbestandteilen der Microsoft Produktfamilie Forefront gehören der Internet Security and Acceleration Server (ISA), diverse Sicherheits-Suiten für Desktops, Exchange, SharePoint und den Office Communications Server (OCS) sowie das Intelligent Application Gateway (IAG).
ISA als Schutzwall an der Unternehmensgrenze
Den ISA-Server (Internet Security and Acceleration Server) hat Microsoft vor knapp drei Jahren mit der Version ISA 2006 grundlegend erneuert. Das zugehörige Servicepack 1 hat zudem weitere Funktionen ergänzt. Bei dem ISA-Server handelt es sich, anders als häufig dargestellt, nicht um eine herkömmliche Firewall. Dafür eignet sich eine leistungsfähige Appliance weitaus besser. Neben Firewall-Eigenschaften übernimmt der ISA weitere Aufgaben und Funktionen. Dazu gehören
-
die Funktion eines Reverse Proxy sowie die Möglichkeit, firmeninterne Server-Dienste im Web verfügbar zu machen;
-
die Verwaltung von Virtual Private Networks (VPN), um Zweigstellen über einen gesicherten Kommunikationstunnel an das Firmennetz anzubinden;
-
die Überwachung des ein- und ausgehenden Internet-Traffics. Dies umfasst den Zugriff der Nutzer aus dem Internet auf die veröffentlichten Web-Server, aber umgekehrt auch den Zugriff der internen Nutzer auf das Internet;
-
die Absicherung des Zugriffs von Mail-Clients wie Outlook Web Access aus dem Internet auf den Exchange-Server im Firmennetz sowie die Absicherung des Web-Zugriffs auf den SharePoint Portal Server.
Um die Verwaltung zu vereinfachen, hat Microsoft dem ISA-Server etliche Assistenten zur Seite gestellt. Sie helfen bei der Konfiguration und stehen beispielsweise für den Exchange Web Client Access, Outlook Web Access, allgemeinen Mail-Zugriff oder den Zugriff auf SharePoint-Sites zur Verfügung.
Ein weiterer Funktionsbereich des Tools ist die Anbindung von Filialen via VPNs. Als Sicherheitsprotokolle werden der IPsec-Tunnel-Mode und das "Layer Two Tunneling Protocol" (L2TP) unterstützt. Zur Authentifizierung der Benutzer lässt sich auf einen Radius-Server zurückgreifen. Ferner ist eine Quarantäne-Funktion für RAS-Zugänge (Remote Access Services) implementiert.
Sicherer Internet-Zugang durch das IAG
Bei Microsofts Intelligent Application Gateway (IAG) handelt es sich im Kern um ein SSL-VPN-Gateway. Es ermöglicht und kontrolliert den Zugriff beliebiger Endgeräte auf die Applikationen oder Verzeichnisse im Firmennetz. Dazu werden Zugangsportale eingerichtet, an denen sich der Benutzer anmeldet. Je nach Ergebnis von Authentifizierung und Autorisierung wird ihm ein spezifischer Zugang zum Netz mit den Anwendungen zugewiesen.
Die Grundlage für den Zugriff liefert eine ausgefeilte Berechtigungslogik – eine Stärke des IAG. Zu den geprüften Zugangskriterien der Policy-basierenden Authentifizierung und Autorisierung zählen neben dem Benutzernamen unter anderem der Ort, an dem sich der Anwender zu dem jeweiligen Zeitpunkt aufhält, die Uhrzeit sowie der Sicherheitszustand des Geräts, das er verwendet. Aus all diesen Kriterien leitet das IAG die Rechte für den jeweiligen Benutzer oder sein Gerät ab.
Durch Endpoint-Policies wird ferner bestimmt, welche Bedingungen der Client erfüllen muss, damit er eine Applikation aufrufen kann. So kann beispielsweise ein mobiler Mitarbeiter, der sich mit einem als sicher erkannten Firmen-Notebook anmeldet, den vollen Zugriff auf die ihm zugewiesenen Ressourcen erhalten. Ist dieses Gerät jedoch mit Viren verseucht, so wird sein Nutzer vermutlich nur eingeschränkten Zugriff bekommen.
Noch weniger Rechte werden dem Benutzer eingeräumt, wenn er sich von einem öffentlichen PC im Internet-Cafe einwählt. Ferner lässt sich festlegen, dass ein prinzipiell berechtigter Benutzer auf fremden Geräten generell keinen Download vornehmen darf. Um die Sicherheit zu erhöhen, kann das Portal zudem die Nutzung von HTTPS erzwingen.
Um den Aufbau des Portals zu vereinfachen, hat Microsoft die wichtigsten Anwendungen – etwa Domino-, Notes- und Outlook-Zugriffe, Microsoft CRM, SAP, Peoplesoft, Websphere, Sametime, Sharepoint und Citrix sowie die Zugriffe auf Terminal Services, File-Shares und FTP-Dienste – bereits vorbereitet.
Das IAG ist nur als Appliance von Microsoft-Partnern verfügbar, die auch die Konfiguration und die Verknüpfung mit einer dedizierten Hardware vornehmen. Diese Dritthersteller erweitern die Basisfunktionen des IAG meist um bessere Verwaltungsfunktionen. Ein Modul dieser Appliance ist auch der ISA, der allerdings nicht eigenständig in Erscheinung tritt: Er schützt das Gateway vor Angriffen.
Absicherung von Exchange und SharePoint
Der dritte Forefront-Block widmet sich der Absicherung von Microsofts Kommunikations-Servern: "Forefront Security für Exchange" schützt den Mail-Server Exchange, während "Forefront Security für Sharepoint" den Sharepoint Server und "Forefront Security für Office Communications" den Office Communications Server (OCS) absichert.
Diese ursprünglich von Sybari ("Antigen") stammenden und von Microsoft übernommenen Forefront-Module lassen sich funktional zusammenfassen. Der Grund: Die beiden Server-Systeme Exchange und SharePoint stellen, wenn auch unterschiedlich implementiert, eine Plattform für den Informationsaustausch dar. Da beide einen Informations-Upload ermöglichen, sind sie den gleichen Risiken durch Malware ausgesetzt. Folglich sind die Sicherheitsprinzipien in den Forefront-Modulen für beide Systeme vergleichbar. Die Implementierung in das jeweilige Gastsystem, also Exchange oder SharePoint, ist jedoch naturgemäß unterschiedlich umgesetzt.
Forefront für Exchange beziehungsweise SharePoint sind Frameworks, in die die Drittanbieter ihre Sicherheitsprodukte einklinken können. Forefront fungiert hierbei lediglich als Vermittler zwischen den Sicherheits-Tools der Partner und den eigenen Kommunikations-Servern.
Bei diesen Sicherheitssystemen handelt es sich meist um Scanner für Malware oder sonstige Bedrohungen, denen SharePoint oder Exchange ausgesetzt sind. Die eigentliche Logik zur Erkennung der Angreifer, die Scan Engines samt den Signaturdateien zur Erkennung von Malware, stammt nicht von Microsoft selbst, sondern von den Partnern. Sie bestimmen die Qualität der Sicherheitsprüfungen. Um die Sicherheit zu erhöhen, lassen sich bis zu fünf separat konfigurierbare Scan Engines parallel betreiben.
Schutz vor Viren, Trojanern und Co.
Das Modul "Forefront Client Security" soll Windows-basierende Clients vor Viren, Trojanern, Spyware oder Rootkits schützen, aber auch Server-Systeme ab der Version Windows 2000 vor Malware-Angriffen bewahren.
Die Verwaltung dieser Schutzeinrichtung ist allerdings zentralisiert. Dazu baut Forefront Client Security auf einem zentralen Management-Server auf, der auch das Reporting und die Benachrichtigung der Administratoren bei Sicherheitsereignissen übernimmt.
Auf dem zentralen Management-Server werden Security-Policies definiert, die dann auf die zu schützenden Geräte zu verteilen sind. Die Sicherheitseinstellungen umfassen Konfigurationen für den Echtzeitschutz samt Zeitplänen, Maßnahmen für spezifische Bedrohungen sowie Angaben zu Warnmeldungen und für das Reporting. Parallel dazu werden die Vorfälle auf den Clients an den Reporting- und Benachrichtigungs-Server geschickt, der die gesammelten Statusmeldungen dann auswertet und Berichte zum Sicherheitszustand der Systeme generiert.
Die Verteilung der Sicherheits-Policies kann durch die Active Directory Group Policy (Gruppenrichtlinien) oder ein Tool zur Softwareverteilung erfolgen. Malware-Definitionen lassen sich ferner über Microsofts "Windows Server Update Services" verteilen. Mobile Benutzer wiederum können angewiesen werden, ihre Signatur-Updates direkt über das Microsoft Update zu beziehen.
Integration der Sicherheitsfunktionen in Stirling
Die Forefront-Tools stehen heute überwiegend separat nebeneinander - nicht zuletzt, weil sich die Sicherheitsfunktionen funktional kaum berühren. So hat beispielsweise eine Perimeter-"Firewall" wie der ISA-Server mit einem Schutz für das Endgerät kaum etwas gemeinsam: In dem einen Fall geht es um die Überwachung der Protokolle, des Kommunikationsverhaltens der Benutzer und der Dateninhalte. Beim Endpoint-Schutz der Client Security wiederum stehen die Abwehr von Spyware und Viren oder auch das Patchmanagement im Fokus.
Zwar ließe sich die Untersuchung auf Viren und Trojaner auch direkt in die Perimeter-Firewall verlagern. Dies erfordert dort jedoch erheblich mehr Rechenleistung und Intelligenz, als bislang üblich. Darüber hinaus muss der Schutz des Clients vor Konfigurationsfehlern und seine Prüfung auf Updates und Sicherheits-Patches nach wie vor beim Client verbleiben.
Die Integration der unterschiedlichen Security-Komponenten kann daher nicht in der Management-Konsole erfolgen sondern muss bedeutend tiefer - in der Interaktion der Tools untereinander - ansetzen. Unter dem Codenamen "Stirling" plant Microsoft die stärkere Integration der Produkte, was den heute getrennt operierenden Security-Tools ermöglichen soll, untereinander Daten und Statusmeldungen auszutauschen.
Konzentrierte Tool-Interaktion geplant
Die Interaktion der Werkzeuge in einem Dynamic Response System soll die Sicherheit der gesamten Infrastruktur erhöhen. Microsoft will diese in der Umsetzung komplexe Interaktion mit der kommenden Version von Forefront (Codename "Stirling") realisieren und dann schrittweise erweitern.
Und so könnte das aussehen: Hält beispielsweise ein Client-Rechner eine große Anzahl von TCP-Verbindungen, oder führt er periodisch einen Verbindungsaufbau über Bereiche von IP-Adressen durch (Port Scan), deutet das auf einen Befall des Geräts mit Schadsoftware hin. Wird dies erkannt, kann der Client blockiert werden, oder die Firewall unterbindet den Datenverkehr.
Die bereits in der zweiten Betaversion vorliegende Stirling-Konsole soll Anfang 2010 auf den Markt kommen. In die kommende Version 2010 von Forefront soll ferner der "Identity Lifecycle Manager" integriert werden. (ala)
Diesen Beitrag haben wir von unserer Schwesterpublikation Computerwoche übernommen.