Installazione e hardening di ISA Server 2006 Standard

di Ermanno Goletto - SysAdmin.it

Quando si deve preservare da attacchi informatici un sistema che deve essere necessariamente connesso a Internet come nel caso di ISA Server la regola da tenere presente è che la sicurezza si ottiene andando ad operare a più livelli. L'installazione di ISA Server comporta inevitabilmente un'attenta configurazione del sistema operativo sottostante per ridurre al minimo la superficie di attacco e aumentare le prestazioni, inoltre è necessario anche operare alcune scelte sulla base delle esigenze aziendali necessarie e della infrastruttura di rete esistente.

In questa pagina

Installazione e configurazione del sistema operativo
Installazione ISA Server 2006 Standard
Installazione aggiornamenti e tools per ISA Server 2006
Hardening di ISA Server tramite Security Configuration Wizard
Esecuzione di Microsoft Update
Conclusioni

Installazione e configurazione del sistema operativo

Installazione del sistema operativo

Le considerazioni che verranno fatte nel corso dell'articolo si riferiscono all'installazione di ISA Server 2006 su Windows Server 2003 R2 Standard con Service Pack 2 su un computer con 2 schede di rete: una per la connessione a Internet e una per la connessione alla Lan.

Per quanto riguarda l'installazione del sistema operativo conviene operare le seguenti scelte:

• Evitare di collegare la scheda di rete esterna a Internet fino a quando ISA non è stato installato, nel caso  non si disponga di un router/firewall hardware è possibile collegarla ad un hub/switch isolato o ad un Loopback plug per simularne la connettività durante l'installazione.

• Installare ISA e il sistema operativo in lingua inglese in quanto eventuali hotfix vengono rilasciate prima in lingua inglese.

• Installare i seguenti Componenti di Windows:

• Security Configuration Wizard

• Domain Name System (DNS) se si intende configurare ISA per il DNS caching

• Disabilitare gli Aggiornamenti Automatici dal momento che il computer assume un ruolo critico nell’infrastruttura aziendale gli aggiornamenti vanno prima collaudati in ambiente di test e poi installati tramite WSUS, Windows Update manuale o installazione diretta.

• Evitare di installare applicazioni o servizi aggiuntivi per motivi di sicurezza e prestazioni, In particolare ISA Server non dovrebbe assolvere nessuno dei seguenti ruoli:

• Domain controller

• Web Server

• FTP Server

• Certificate Server

• NNTP Server

• Exchange Server

• Sharepoint Server

• Nel caso si utilizzi un computer multiprocessore a causa della funzionalità Lazy Interrupt Request Level (IRQL) inclusa in Windows Server 2003 SP2 si possono verificare problemi di performance. Per risolvere il problema si faccia riferimento al seguente articolo Throughput for an ISA Server that is running on a Windows Server 2003 Service Pack 2 (SP2)-based multiprocessor computer may be greatly reduced or completely blocked

Per quanto riguarda i requisiti di installazione necessari si faccia riferimento ai seguenti link:

• ISA Server 2006 Standard Edition Capacity Planning

• Best Practices for Performance in ISA Server 2006

• Capacity Planner Tool for ISA Server 2006

Impostazione del server ISA come membro del dominio aziendale o di un Workgroup

La scelta di inserire il server ISA come nel dominio aziendale o all'interno di un Workgroup deve essere fatta alla luce delle seguenti considerazioni:

• Vantaggi della configurazione di ISA come membro del dominio aziendale:

• Controllo granulare a livello utente/gruppo del dominio sui protocolli di comunicazione senza la necessità di configurare l’autenticazione tramite RADIUS. In ISA 2006 sarebbe anche possibile utilizzare l’autenticazione tramite LDAP ma solo per le Web Publishing Rules, ma va tenuto presente che tale autenticazione aumenta il rischio di DoS di blocco account.

• Pieno supporto per l’autenticazione utente tramite certificato digitale a pubblicazioni web senza dover creare domini separati nella stessa foresta con trust monodirezionale.

• Pieno supporto per Microsoft Operations Manager (MOM) evitando di dover risolvere problematiche dovute al monitoraggio di un server non appartenete al domino azienda.

• Pieno supporto per il Firewall Client che consente acceso trasparente alle connessioni eseguite da applicazioni che utilizzano Winsock. L’appartenenza al dominio consente una gestione dei log ed un controllo granulare basato a livello utente/gruppo sui protocolli di comunicazione.

• Pieno supporto alle Group Policy consentendo la centralizzazione dell’amministrazione della sicurezza.

• Vantaggi dell'inserimento in Workgroup:

• Nel caso in cui un’attaccante comprometta il server ISA avrebbe maggiori difficoltà a prendere il possesso dell’Active Directory aziendale anche se utilizzando un network sniffing su ISA si potrebbe riuscire a violare una credenziale di dominio operazione che sarebbe comunque necessaria anche nel caso in cui ISA sia membro del dominio in quanto l’accesso al protocollo intradominio verso il Domain Controller non concede automaticamente all’attaccante l’accesso all’Active Directory. In ogni caso se ISA è stato compromesso ovviamente l’attaccante può eseguire modifiche sul firewall e questo rischio esiste indipendentemente dal fatto che che ISA sia o meno configurato come membro del dominio. Inoltre di solito lo scopo primario dei criminali informatici è quello di attirare il meno possibile l’attenzione su di se e quindi difficilmente sceglierà ISA come bersaglio in quanto è sicuramente uno dei server più monitorati, a meno che l’intento non sia il furto di dati aziendali, ma la generazione di DoS. Occorre comunque tenere presente che fino ad ora non c’è mai stato in tutto il mondo una caso di compromissione di un firewall ISA correttamente configurato, quindi l’importante è la corretta installazione che prescinde dall’appartenenza o meno al dominio.

• Nel caso in cui un’attaccante prenda il possesso dell’Active Directory aziendale il server ISA non verrebbe compromesso, va comunque tenuto presente che in una tale situazione il rischio che l’attaccante possa anche prendere il controllo di ISA passa in secondo piano in quanto sono certamente più critici i file server, web server, database server e gli Exchange Server. Inoltre in questo caso l’attacco è stato probabilmente condotto scaricando un software di controllo remoto che lavora su HTTP su ogni server attaccato e quindi non è necessario prendere anche il controllo del server ISA in quanto l’intrusione è già stata portata a termine.

Per una panoramica completa sull'argomento si veda: Debunking the Myth that the ISA Firewall Should Not be a Domain Member.

Disabilitazione del Receive Side Scaling e TCP Acceleration

Se una scheda di rete installata su ISA Server supporta il Receive Side Scaling (RSS ) e/o la TCP Acceleration (TCPA), ISA Server potrebbe non funzionare correttamente. Per disabilitare tali feature utilizzare la seguente procedura:

1. Selezionare Start / Run

2. Digitare Regedt32.exe

3. Selezionare la chiave di registro HKLM\SYSTEM\CurrentControlSet\Services\TCPIP\Parameters

4. Impostare il valore EnableRSS a 0.

5. Impostare il valore EnableTCPA a 0.

6. Chiudere il Registry Editor.

7. Riavviare il computer.

Per maggiori informazioni si vedano i seguenti link:

• You cannot host TCP connections when Receive Side Scaling is enabled in Windows Server 2003 with Service Pack 2

• ISA 2006 clients are repeatedly prompted for credentials when they try to access Outlook Web Access

Configurazione dei servizi e delle schede di rete

Prima di installare ISA occorre configurare correttamente le impostazioni di rete in quanto i servizio firewall di ISA lavora in kernel mode e quindi allo stesso livello dei driver TCP/IP di conseguenza errate impostazioni possono bloccare il funzionamento del server. Inoltre occorre configurare i servizi di rete per operare in sicurezza creando così un ulteriore livello di protezione.

Per maggiori informazioni si vedano i seguenti link:

• HOW TO: Securely Configure the External Interface on an ISA Server Computer

• Configuring ISA Server Interface Settings

• How can I configure TCP/IP networking while NetBIOS is disabled in Windows 2000/XP/2003?

Impostazione dell’ordine delle schede di rete

La risoluzione dei nomi dipende da questa impostazione, per avere un’efficiente risoluzione occorre che la scheda di rete interna sia la prima nell’ordine di ascolto tramite la seguente procedura:

1. Selezionare Start / All programs / Accessories / Communications.

2. Selezionare Network Connections.

3. Selezionare Advanced / Advanced Settings.

4. Impostare il seguente ordine:

5. Scheda interna connessa alla Lan.

6. Scheda esterna connessa a Internet.

7. Remote Access connections.

8. Selezionare OK

Configurazione della scheda di rete connessa a Internet

La scheda di rete connessa ad Internet deve essere messa in sicurezza disabilitando i servizi non necessari (Client per reti Microsoft, condivisione file e stampanti e NetBIOS) e configurata per poter accedere ad Internet tramite la seguente procedura:

1. Selezionare Start / All programs / Accessories / Communications.

2. Selezionare Network Connections.

3. Selezionare la Scheda esterna connessa a Internet.

4. Selezionare File / Properties.

5. Deselezionare Client for Microsoft Networks.

6. Deselezionare File and Printer Sharing for Microsoft Networks.
   

7. Selezionare Internet Protocol (TCP/IP).

8. Selezionare Properties

9. Impostare IP address (fornito dall’ISP).

10. Impostare Subnet mask (fornito dall’ISP).

11. Impostare Default gateway (fornito dall’ISP).

12. Non impostare i DNS.

13. Selezionare Advanced.

14. Selezionare il tab DNS.

15. Deselezionare Append parent suffixes of the primary DNS suffix.

16. Deselezionare Register this connection's address in DNS.
    

17. Selezionare il tab WINS

18. Deselezionare Enable LMHOSTS Lookup (questa è un’impostazione globale valida per tutte le schede di rete).

19. Selezionare Disable NetBIOS over TCP/IP.
    

20. Selezionare OK.

21. Selezionare OK.

22. Selezionare Close.

Risoluzione query DNS in una rete con DNS per dominio interno

Per qualunque scenario valgono sempre due regole per la configurazione del DNS:

1. A prescindere dal numero di schede di rete occorre assegnare il server DNS solo una sola scheda di rete (non importa quale).

2. Configurare il DNS a puntare su server interni o esterni mai a entrambi.

Vi sono due scenari di configurazione per la risoluzione delle query DNS in una rete in cui sia presente un dominio interno con relativo DNS:

1. Configurare su ISA un sever DNS di solo caching per la risoluzione dei nomi DNS esterni impostando i DNS dell’ISP come forwarder e/o utilizzando i Root Hints tramite l’abilitazione/disabilitazione della ricorsione per la zona All other DNS domains. Per sicurezza sul DNS di ISA si eviti di configurare forwarder relativi al dominio interno per evitare di avere informazioni relative alla rete interna. Configurare quindi il DNS del dominio per la risoluzione dei nomi DNS esterni impostando il DNS di ISA come forwarder, disabilitando la ricorsione per zona All other DNS domains ed eliminando i Root Hints. Questa configurazione isola il DNS interno evitando comunicazioni con DNS esterni.

2. Configurare il DNS del dominio per la risoluzione dei nomi DNS esterni impostando il DNS dell’ISP come forwarder e/o utilizzando i Root Hints tramite l’abilitazione/disabilitazione della ricorsione per la zona All other DNS domains. Ciò evita l’installazione del DNS su ISA eliminando una possibile fonte di vulnerabilità, ma consente la comunicazione tra il DNS del dominio e i DNS esterni.

Per ulteriori informazioni si vedano i seguenti link:

• Configuring DNS Servers for ISA Server 2004

• HOWTO: Remove the Root Zone (Dot Zone)

Configurazione server DNS di caching

Per configurare su ISA Server un DNS caching utilizzare la seguente procedura:

1. Selezionare Start/Administrative Tools/DNS.

2. Selezionare il server con il tasto destro quindi View e Advanced.

3. Selezionare il server con il tasto destro quindi Properties.

4. Selezionare il Tab Interfaces.

5. Selezionare Only the following IP adresses.

6. Selezionare l’indirizzo IP relativo alla scheda di rete esterna e quindi Remove (in questo modo si impediscono gli accessi al DNS da parte di client esterni anche se perchè ciò avvenga sarebbe necessaria una policy di accesso su ISA).

7. Selezionare Apply.
   

8. Selezionare il Tab Forwarders.

9. Selezionare All other DNS domains.

10. Digitare gli indirizzi dei server DNS forniti dall'ISP e quindi Add.

11. Nel caso non si intenda utilizzare i Root Hints deselezionare Do not use recursion for this domain.

12. Selezionare Apply.
    

13. Selezionare il Tab Advaced.

14. Controllare che l’opzione Secure cache against pollution sia abilitata (dovrebbe esserelo per default).

15. Selezionare From Registry in Load zone data on startup in quanto questo DNS non dovrebbe contenere informazioni relative all’Active Directory e quindi all’avvio i dati devono solo essere caricati dal Registry.
    

16. Selezionare OK per confermare.

17. Selezionare il server con il tasto destro quindi All Task e Restart.

Dopo l'installazione di ISA Server occorrerà creare una rule per l’accesso al DNS da parte della Lan.

Per ulteriori informazioni si vedano i seguenti link:

• Configurazione di DNS per l'accesso a Internet in Windows Server 2003

• Impostazione del DNS

• Funzionamento delle query DNS

• Checklist: Securing your DNS infrastructure

• Change the boot method used by the DNS server

Configurazione scheda di rete esterna connessa a Lan

La scheda di rete connessa alla Lan deve essere configurata per accedere alla rete interna e per gestire la risoluzione delle query DNS tramite la seguente procedura:

1.  Selezionare Start / All programs / Accessories / Communications.

2. Selezionare Network Connections.

3. Selezionare la Scheda esterna connessa a Internet.

4. Selezionare File / Properties.

5. Selezionare Internet Protocol (TCP/IP).

6. Selezionare Properties.

7. Impostare IP address (un indirizzo IP della la rete interna che sarà il gateway internet).

8. Impostare Subnet mask (subnet della rete interna).

9. Non impostare un default gateway.

10. Impostare i DNS.

11. Se ISA è membro del dominio aziendale configurare specificare il DNS del dominio che dovrà essere in grado di risolvere anche i nomi esterni mediante l’utilizzo del DNS caching di ISA Server o tramite i DNS dell’ISP o tramite i Root Hints.

12. Se ISA non appartiene al dominio aziendale specificare l'indirizzo di loopback 127.0.0.1 se si implementa il DNS caching su ISA Server, in caso contrario specificare i DNS dell’ISP.

13. Selezionare Advanced.

14. Selezionare il tab DNS.

    • Deselezionare Register this connection's address in DNS nel caso ISA non sia membro del dominio

1. Selezionare il tab WINS.

   • Selezionare Enable NetBIOS over TCP/IP (a meno che non si sia deciso di non utilizzare NetBIOS sulla rete interna in tal caso selezionare Disable NetBIOS over TCP/IP).
     

1. Selezionare OK.

2. Selezionare OK.

3. Selezionare Close.

Configurazione Remote Desktop

Prima di configurare l'accesso a ISA Server tramite Remote Desktop valutare attentamente le possibili implicazioni di sicurezza. Utilizzare la seguente procedura per abilitare tale funzionalità e configurarla per accettare le connessioni solo dalla scheda dalla di rete connessa alla rete interna per motivi di sicurezza e per evitare malfunzionamenti qualora fosse necessario pubblicare un server Terminal:

1. Selezionare Start / Control Panel / System.

2. Selezionare il Tab Remote.

3. Selezionare il checkbox Enable Remote Desktop on this computer.

4. Confermare l’avviso che gli utenti con cui si intende accedere tramite Remote Desktop dovranno avere una password e che per consentire il traffico RDP bisognerà abilitare la porta TCP relativa su eventuali firewall.

5. Selezionare Apply.

6. Selezionare OK.

7. Selezionare Start / Amministrative Tools / Terminal Services Configuration.

8. Selezionare Terminal Services Configuration / Connections / RDP-Tcp.

9. Selezionare Action / Properties.

10. Selezionare il Tab Network Adapter.

11. Selezionare nel combobox Network Adapter la scheda di rete connessa alla rete interna.

12. Selezionare Apply.

13. Selezionare OK.

Dopo l'installazione di ISA Server occorrerà creare una rule per l’accesso tramite Remote Desktop da parte della Lan.

Per ulteriori informazioni si veda il seguente articolo You can not establish a Remote Desktop session to a computer running one of the affected products.

Installazione ISA Server 2006 Standard

Non installare ISA Server tramite una connesione RDP (Remote Desktop Protocol) su una connessione che usa NAT (Network Address Translation) perché al termina del processo d'installazione la connessione RDP sarà disconnessa e non sarà possibile stabilire una nuova connessione RDP. Poichè l’installazione di ISA Server disabilita ICF (Internet Connection Firewall) è possibile ignorare il messaggio Windows Firewall - Windows Firewall is not installed or configured properly, or is not available on this version of Windows visualizzato se si esegue Microsoft Baseline Security Analyzer.

Per installare ISA Server utilizzare la seguente procedura:

• Inserire il CD di ISA Server 2006 Standard e se l'installazione non si avvia automaticamente eseguire ISAAutorun.exe.

• Selezionare Install ISA Server 2006.

• Nella pagina di Welcome selezionare Next.

• Nella pagina License Agreement accettare il contratto di licenza.

• Nella pagina Customer Information digitare User Name, Organization e Product Serial Number.

• Nella pagina Setup Type selezionare la modalità di installazione Custom.

• Nella pagina Component Selection selezionare i componenti da installare:

• Deselezionare Isa Server / Advanced Logging per evitare l’installazione della gestione dei log tramite MSDE.

• Nella pagina Internal Network definire la rete interna (LAT):

• Selezionare Add.

• Selezionare Add Adapter.

•  Selezionare la scheda di rete connessa alla rete interna.

• Selezionare OK.

• Selezionare OK.

• Selezionare Next.

• Nella pagina Firewall Client Connections è possibile impostare se il traffico tra ISA Server e i client deve o meno essere criptato. Per default ISA Server 2006 cripta il traffico tra il Firewall Client versione 4.0 o successive e ISA Server (il traffico non viene criptato per Firewall Client con versioni precedenti alla 4.0 o installati su Windows 98 SE, . Windows ME, Windows NT 4.0)
  Accettare l’opzione proposta Allow non-encrypted Firewall client connections non selezionata ovvero connessioni criptate.

• Nella pagina Services Warning viengono indicato i servizi riavviati durante l'installazione e quelli che verranno disabilitati al termine dell'installazione:

• i seguenti servizi saranno riavviati se attivi: SMTP, NNTP, IIS Admin Service e World Wide Publishing Service.

• I seguenti servizi saranno disabilitati se attivi: ICF (Internet Connection Firewall) / ICS (Internet Connection Sharing) e IP Network Address Translation.

• Nella pagina Ready to Install the Program selezionare Install.

• Selezionare Finish al termine dell’installazione.

L’installazione di ISA Server modificherà il range dinamico delle porte del driver TCP/IP impostandolo a 65.535, per ulteriori informazioni si vedano i seguenti link:

• ISA Server 2006 Standard Edition Installation Guide

• ISA Server SE Installation Procedures

• Appendix A: Adding Addresses to the Internal Network

• ISA Server Setup Log File

Installazione aggiornamenti e tools per ISA Server 2006

Dopo l'installazione di ISA Server è importante installare gli aggiornamenti rilasciati per il prodotto e i tool per l'analisi della configurazione e la gestione della cache oltre a quelli che possono essere di particolarità utilità. L'elenco dei download per ISA Server 2006 è disponibile al seguente link: https://www.microsoft.com/technet/isa/2006/downloads/default.mspx.

ISA Server 2006 Supportability Update

ISA Server 2006 Supportability Update include:

• Tutti gli aggiornamenti software pubblicati dopo il rilascio di ISA Server 2006.

• Una migliore visualizzazione dei logs tramite colorazione del testo e nuove funzionalità di filtro.

• Più di 200 nuovi eventi relativi a log diagnostici.

• Un aggiornamento della ISA Server Microsoft Management Console tramite l'aggiunta di un nuovo nodo Troubleshooting.

• L'integrazione con ISA Server Best Practices Analyzer Tool.

Per installare ISA Server Supportability Update utilizzare la seguente procedura:

• Eseguire il file ISA2006-KB939455-X86-ENU.msp.

• Nella pagina di Welcome selezionare Next.

• Accettare il contratto di licenza.

• Selezionare Install nella pagina di avvio installazione.

• Selezionare Finish al termine dell’installazione.

• Confermare il messaggio che è necessario riavviare il sistema.

ISA Server Best Practices Analyzer Tool

ISA Server Best Practices Analyzer Tool è un tool diagnostico che esegue test su dati di configurazione raccolti tramite gli oggetti COM di ISA, Windows Management Instrumentation (WMI), registro di sistema, file e impostazioni del DNS. Il report risultante riporta le configurazioni critiche, i problemi potenziali e informazioni sul computer locale. Poichè il tool fornisce raccomandazioni su come risolvere i problemi rilevati è importante utilizzare l’ultima versione e mantenerlo aggiornato. ISA Server Best Practices Analyzer contiene altri due tool supplementari:

• ISA Data Packager che consente di creare un file cab contenente le informazioni diagnostiche può essere inviato al Microsoft Product Support Services per essere analizzato in caso di necessità.

• BPA2Visio che consente di generare un diagramma Microsoft Office Visio 2003 o Visio 2007 della tipologia di rete dal punto di vista di ISA Server tramite l’output generato dall’ ISA Server Best Practices Analyzer.

Per installare ISA Server Best Practices Analyzer utilizzare la seguente procedura:

• Eseguire il file IsaBPA.msi.

• Nella pagina di Welcome selezionare Next.

• Accettare il contratto di licenza.

• Selezionare Install nella pagina di avvio installazione.

• Selezionare Finish al termine dell’installazione.

Cache Directory Tool for ISA Server 2006

ISA Server Cache Directory Tool permette di accedere alla cache di ISA Server 2006 per visualizzarne il contenuto in tempo reale e se necessario contrassegnare gli item come obsoleti in modo che non vengano più letti dalla cache se richiesti

Per installare ISA Server Cache Directory Tool utilizzare la seguente procedura:

• Eseguire il file CacheDirPack.EXE.

• Accettare il contratto di licenza.

• Estrarre i file nella directory %ProgramFiles%\Microsoft ISA Server.

Per utilizzare il tool eseguire %ProgramFiles%\Microsoft ISA Server\CACHEDIR.exe.

DNS Cache Tool for ISA Server 2006

Il DNS Cache Tool è un tool a riga di comando che consente di visualizzare il contenuto della cache DNS e se necessario di cancellarla. Per ulteriori informazioni si veda il file %ProgramFiles%\Microsoft ISA Server\DNSTools.doc.

Per installare il DNS Cache Tool utilizzare la seguente procedura:

• Eseguire il file DNSToolsPack.EXE.

• Accettare il contratto di licenza.

• Estrarre i file nella directory %ProgramFiles%\Microsoft ISA Server.

Per utilizzare il tool eseguire “%ProgramFiles%\Microsoft ISA Server\DNSTools.exe” dal prompt dei comandi.

Hardening di ISA Server tramite Security Configuration Wizard

Il Security Configuration Wizard (SCW) è disponibile a partire da Windows Server 2003 SP1 e fa parte degli Amministrative Tools, ma per essere utilizzato con ISA 2006 deve essere aggiornato tramite la seguente procedura:

1. Scaricare il package Security Configuration Wizard (SCW) Update for ISA Server 2006 Standard Edition and Enterprise Edition.

2. Eseguire IsaScwHlpPack.exe per estrarne il contenuto.

3. Rinominare i seguenti file:

4. %WinDir%\security\msscw\kbs\ISA.xml

5. %WinDir%\security\msscw\kbs\ ISAloc.xml

6. Aggiornare l’SCW copiando i seguenti file del package:

7. ISA.xml e ISAloc.xml in %WinDir%\security\msscw\kbs

8. IsaScwHlp.dll in %WinDir%\security\msscw\bin

Per creare e applicare una security policy tramite SWC utilizzare la seguente procedura:

1. Selezionare Start / Amministrative Tools / Security Configuration Wizard.

2. Nella pagina di Welcome selezionare Next.

3. Nella pagina Configuration Action selezionare Create a new security policy.

4. Nella pagina Select Server digitare il nome del server ISA.

5. Nella pagina Processing Security Configuration Database è possibile selezionare View Configuration Database per visualizzare le informazioni sui ruoli server e client, sulle opzioni amministrative, sui servizi, sulle porte e altre impostazioni configurabili tramite SCW.
   Selezionare Next.

6. Nella sezione Role-Based Service Configuration selezionare Next.

7. Nella pagina Select Server Roles selezionare i seguenti Server Roles:

8. Microsoft Internet Security and Acceleration Server 2006.

9. DNS Server nel caso sia stato installato il server DNS di caching.

10. Remote Access/VPN Server se si utilizzerà ISA Server per configurare VPN.
    

11. Nella pagina Select Client Features è possibile selezionare i client role necessari, per la maggior parte dei casi è possibile accettare quelli selezionati di default, nel caso non si intenda utilizzare servizi DDNS è possibile deselezionare DNS registration client, se di intende consentire ai client VPN di eseguire il browsing della rete occorrerà impostare sulla scheda di rete interna l’indirizzo di un server WINS e selezionare il client role WINS client.
    

12. Nella pagina Select Administration and Other Options aggiungere le seguenti opzioni:

13. Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition: MSDE Logging se è stata selezionata l’opzione ISA Server advanced logging durate l’installazione di ISA.

14. Remote Access Quarantine Agent se è stato selezionato il server role Remote Access/VPN Server e se si intende abilitare la Remote Access Quarantine di ISA Server.

15. Nella pagina Select Additional Services, che compare solo se sul sistema sono installati servizi aggiuntivi, valutare i servizi necessari.

16. Nella pagina Handling Unspecified Services è possibile specificare come configurare i servizi non contemplati nella policy nel caso in cui questa venisse applicata su server diversi dall’attuale. Accettare l’impostazione di default Do not change the startup mode of the service.

17. Nella pagina Confirm Service Changes vengono mostrate le modifiche che SCW eseguirà sui servizi. Controllare la correttezza delle modiche e se necessario rivedere le impostazioni precedentemente configurate.

18. Nella sezione Network Security è possibile configurare le modifiche che SWC opererà sulle impostazioni del Windows Firewall e IPSec, ma dal momento che sul sistema si sta eseguendo firewall stateful packet e application layer inspection non è possibile eseguire tali configurazioni. Accettare quindi l’impostazione proposta Skip this section e selezionare Next.

19. Nella sezione Registry Settings è possibile configurare modifiche ai protocolli supportati da ISA come ad esempio RPC e altre comunicazioni intradominio. Selezionare Next.

20. Nella pagina Require SMB Security Signatures è possibile configurare le opzioni proposte relative alla firma SMB (per maggiori informazioni si veda Panoramica della funzionalità di firma SMB (Server Message Block).

21. Accettare l’opzione All computer that connect to it satisfy the following minimum operating system requirements.

22. Deselezionare l'opzione It has surplus processor capacity that can be used to sign file and print traffic nel caso non si distribuisca il Firewall Client tramite una share su ISA Server (scelta consigliata).

23. Nella pagina Outbound Authentication Methods è possibile configurare il supporto di autenticazione LAN Manager quando ISA deve autenticarsi ad un altro computer:

24. Selezionare l’opzione Domain Accounts se ISA è membro del dominio aziendale.

25. Selezionare l’opzione Local Accounts on the remote computers se ISA deve autenticarsi a computer che non sono membri del dominio.

26. Nella pagina Outbound Authentication using Domain Accounts è possibile configurare il livello di autenticazione LAN Manager relativo all’utilizzo di account di dominio.
    Accettare le opzioni proposte in quanto ISA viene installato su un Windows Server 2003 e selezionare Next.

27. Nella pagina Outbound Authentication using Local Accounts è possibile configurare il livello di autenticazione LAN Manager relativo all’utilizzo di account locali.
    Accettare le opzioni proposte in quanto ISA viene installato su un Windows Server 2003 e selezionare Next.

28. Nella pagina Registry Settings Summary vengono mostrate le modifiche che SCW eseguirà sul Registry. Controllare la correttezza delle modiche e se necessario rivedere le impostazioni precedentemente configurate.

29. Nella sezione Audit Policy è possibile configurare le opzioni di Auditing. Selezionare Next.

30. Nella pagina System Audit Policy è possibile impostare le audit policy per ISA Server, per default è selezionata l’opzione Audit successful activities, ma se si desidera registrare anche le attività non riuscite selezionare Audit successful and unsuccessful activities.

31. Nella pagina Audit Policy Summary vengono mostrate le configurazioni di Audit che SCW eseguirà. Controllare la correttezza delle modiche e se necessario rivedere le impostazioni precedentemente configurate. Per default è selezionata l’opzione di includere il security template SCWAUdit.inf che imposterà le System Access Controls (SACLs) che abiliteranno l’audit del file system (le impostazioni configurate da questo template sulle SACLs non potranno essere rimosse tramite la feature di rollback di SCW, inoltre occorre tenere presente che l’auditing del file system riduce le prestazioni e aumenta in modo considerevole gli eventi generati).
    

32. Tramite la sezione sezione Save Security Policy sarà possibile salvare le modifiche su un security policy template, ma in questa fase non verranno apportate modiche alle configurazioni di ISA Server. Selezionare Next.

33. Nella pagina Security Policy File Name è possibile selezionare il path del Security policy file digitandolo nel textbox Security policy file name (per esempio: C:\WINDOWS\security\msscw\Policies\Isa2006SESecPol), l’estensione xml verrà aggiunta automaticamente.
    Prima di salvare il template è possibile analizzarlo tramite View Security Policy o includere altri Secutity templates tramite Include Security Templates.
    

34. Nella pagina Apply Security Policy selezionare Apply now per applicare immediatamente la policy, in ogni caso tramite SWC sarà anche possibile fare il rollback della policy escluse le modifiche eseguite sulle ACLs del file system. L’opzione di default Apply later consente di salvare solamente la policy in modo da poterla modificare successivamente o applicarla ad un altro ISA Server

35. Nella pagina Applying Security Policy selezionare Next dopo la comparsa del messaggio Application complete.

36. Nella pagina Completing the Security Configuration Wizard selezionare Finish.

Per ulteriori informazioni si vedano i seguenti link:

• Lockdown mode of operation in ISA Server 2006 or in ISA Server 2004

• ISA Server 2006 Security Guide

• Using the Windows Server 2003 Security Configuration Wizard to Harden the ISA Firewall

• Security Configuration Wizard in Windows Server 2003 Service Pack 1

• Hardening dei sistemi Windows Server 2003 con il Security Configuration Wizard

Esecuzione di Microsoft Update

Per terminare la messa in sicurezza del sistema occorre installare tramite Microsoft Update gli aggiornamenti di ISA Server e del sistema operativo necessari.

Al termine dell’installazione di ISA Server le impostazioni di default delle System Policy consentono l’accesso ai siti *.microsoft.com, *.windows.com e *.windowsupdate.com. E’ possibile visualizzare o modificare le System Policy relative agli Allowed Sites tramite la seguente procedura:

1. Aprire la ISA Server Management console.

2. Selezionare Firewall Policy.

3. Selezionare Tasks / System Policy Tasks / Edit.

4. Selezionare Varius/ Allowed Sites.

5. Selezionare il Tab To / System Policy Allowed Sites.
   

6. Selezionare Edit.
   

Le System Policy relative agli Allowed Sites permettono l’accesso a Microsoft Update, ma non consentono l’analisi del sistema esecuzione di Microsoft Update per installare gli aggiornamenti del sistema operativo necessari. Affichè ISA Server possa accedere a Windows Update senza creare una rule di accesso è necessario abilitare il Web Proxy sulla Network Local Host tramite la seguente procedura:

1. Selezionare NomeServerISA / Configuration / Networks / Local Host.

2. Selezionare Tasks / Edit Selected Network.

3. Selezionare il Tab Web Proxy.

4. Selezionare il chek Enable Web Proxy client connections for this network (per default verrà abilitato il web proxy su HTTP sulla porta 8080).
   

5. Selezionare Apply.

6. Selezionare OK.

7. Selezionare Apply per confermare la mofifica.

Per utilizzare il Web Proxy occorrerà impostare Internet Explorer per l’utilizzo tramite la seguente procedura:

1. Selezionare Tools / Internet Options.

2. Selezionare il Tab Connections.

3. Selezionare Lan Settings.

4. Selezionare il checkbox User a proxy server for your Lan.

5. Digitare in Address l’indirizzo IP della scheda di rete connessa alla rete locale.

6. Digitare in Port la porta su cui è stato impostati il Web Proxy (per default 8080).

7. Selezionare OK.

8. Selezionare Apply.

9. Selezionare OK.

Per ulteriori informazioni si veda ISA Firewall Quick Tip : Allowing Internet Access From ISA Server Machine.

Nel caso in cui si intenda utilizzare un sever WSUS per gestire gli aggiornamenti su ISA Server occorre creare una rule che consenta alla network Local Host l’accesso tramite i protocolli HTTP, HTTPS e Kerberos-sec UDP al server WSUS. Per ulteriori informazioni si veda • Allowing the ISA 2004 Firewall to use Windows Update Services.

Conclusioni

Sebbene esista la possibilità di utilizzare degli ISA Server appliance per evitare di sobbarcarsi l'onere della configurazione, dell'installazione e dell'hardening di ISA Server è comunque importante sapere come mettere in sicurezza il sistema. Inoltre poichè le potenzialità di ISA Server aumentano quando viene impostato come membro del dominio aziendale una corretta configurazione diventa fondamentale. L'hardening di ISA Server non si esaurisce con gli aspetti trattati per un'overview di tutte le problematiche di cui tenere presente si vedano i seguenti tutorial:

• Hardening ISA Server 2004 (Part 1)

• Hardening ISA Server 2004 (Part 2)