Zulassen nur bestimmter Webseiten für interne Clients
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Im Artikel Zugriffsbeschränkung wurde beschrieben, wie man bestimmte Webseiten für Clients sperren kann. In einigen Anwendungsfällen ist es notwendig, genau das Gegenteil zu konfigurieren. Einem Client sollen nur bestimmte externe Webseiten zugänglich sein.
Wann ist das beispielsweise besonders sinnvoll?
Ihr interner Server ist durch den ISA Server vom Internet geschützt. Sie haben
ihren Clients den Webzugriff durch eine Protokollregel gestattet. Dabei haben
Sie nichts weiter eingeschränkt. Schön. Es könnte sein, dass ihr Firewallkonzept
eine Lücke hat. Aus welchem Grund benötigen Ihre Server Zugang zum Internet?
Surfen von einem Server aus sollte generell tabu sein - ggfs. mit einer oder
zwei Ausnahmen. Windowsupdate und das Laden von Virensignaturen für den
Virenscanner. Und selbst das wäre streng gesehen nicht notwendig, denn der
Administrator kann das auch von seiner Workstation aus tun. Aber wollen wir es
nicht ganz auf die Spitze treiben; bleiben wir dabei, dass vom Server aus nur
die Windows Updateseite und die URL des Antivirensoftwareherstellers aufgerufen
werden müssen. Mehr nicht.
Natürlich kann man mit dem ISA Server dieses Szenario verwirklichen. Wir benötigen dazu Zielsätze und Site- und Inhaltsregeln. In dem Zielsatz definieren wir alle erlaubten URLs. Im folgenden Beispiel lassen wir Zugriffe auf *.windowsupdate.microsoft.com und auf das Verzeichnis für Virensignaturen von Sybari (Hersteller von Antigen, Virenscanner für Exchange Server) zu.
Als nächstes legen wir einen Clientadresssatz für den internen Server an:
Wenn wir schon dabei sind erstellen wir noch einen Zeitplan, zu dem der Server diese Seiten aufrufen darf:
Nun sind alle Vorbereitungen abgeschlossen. Erstellen wir eine neue Site- und Inhaltsregel. Eine Site- und Inhaltsregel ist deshalb notwendig, weil sie die einzige Möglichkeit ist den Zugriff auf URLs einzuschränken; diese Möglichkeit steht in der Protokollregel nicht zur Verfügung.
Geben Sie hier einen beschreibenden Namen ein.
Da diese Regel grundsätzlich jeden Zugriff verweigern soll bleibt es bei der
default Vorgabe.
Da wir einiges konfigurieren möchten wählen wir "benutzerdefiniert":
Hier ist der richtige Zeitpunkt um die Ausnahme der Verweigerung festzulegen.
Die Regel verweigert nun alle Anfragen mit Ausnahme derer zu den Zielen, die im
Zielsatz "Für DC erlaubte Webseiten" hinterlegt sind.
Um das jedoch auch noch weiter einzuschränken geben wir noch ein Zeitfenster
an:
Beachten Sie jedoch, dass in diesem Beispiel Antigen so konfiguriert werden muss, dass auch nur täglich zwischen 16:00 und 17:00 Uhr Updates angefordert werden.
Als nächstes teilen wir der Regel noch mit, welche Clients davon betroffen sind. Wir wollen ja nicht, dass alle Clients nicht mehr surfen dürfen ;-)
Hier könnte theoretisch noch feiner gegliedert werden - davon sehe ich jedoch
ab.
Als letztes kommt der bekannte Zusammenfassungsscreen:
Das war die Site- und Inhaltsregel. Das reicht jedoch noch nicht; wir benötigen eine Protokollregel. Die S-I-Regel hat ja nur den Zugriff auf URLs beschränkt, der Server darf aber noch gar nicht das http-Protokoll verwenden. Dafür richten wir noch eine Protokollregel ein. Ich habe diese Reihenfolge bewusst so gewählt. Hätten wir die Protokollregel zuerst erstellt und aktiviert (was sie standardmäßig ist) wäre dem Server ein uneingeschränkter http-Zugriff auf das Internet bereits möglich gewesen. Das wollen wir aber nicht.
So, wir sind am Ziel.
Ab jetzt kann in unserem Beispiel der Domaincontroller 172.16.19.2 nur noch zwischen 16:00 und 17:00 Uhr mit http auf *.windowsupdate.microsoft.com/* und www.sybari.com/scan_engine_updates/intel/* zugreifen.
Diese Anleitung soll Ihnen auch als Anhalt/Anregung für Ihr eigenes Sicherheitskonzept dienen. Denken Sie immer daran, nur das freizugeben was auch wirklich benötigt wird. Schauen Sie sich auch nach weiteren Anleitung zu diesem Thema um.
Stand: Friday, 28. August 2009/DR.
