ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Erstellen einer Firewallrichtlinie
Systemrichtlinien
Websiten sperren
Windowsupdate V5
Zeitsynchronisation
Mailzugriff
SMTP Server veröffentlichen
Exchange RPC über HTTPS
Formbased OWA
SSL Bridging mit HOSTS Datei
SSL Bridging mit Split DNS
Lokaler Remotedesktop
RDP-Serververöffentlichung
RDP-Serververöffentlichung 2
SQL Server Veröffentlichung
Oracle veröffentlichen
Ping zulassen
HTTP Filterung

 

Konfiguration von SSL Bridging mit Split-DNS-Konfiguration


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004

 

Häufig kommt es vor, dass Sie einen Webserver veröffentlichen wollen, auf dem sich vertrauliche Daten befinden, die Sie vor Dritten schützen wollen. Dazu ist es erforderlich, dass die gesamte Kommunikation geschützt wird und nicht nur ein Teil. Dies können Sie durch SSL-Verschlüsselung erreichen. ISA Server 2004 bietet für die sichere Veröffentlichung von Webservern zwei Möglichkeiten an:
  • SSL-Tunneling
  • SSL-Bridging
Der Unterschied zwischen beiden Möglichkeiten liegt darin, dann beim SSL-Bridging der SSL-Tunnel am ISA Server beendet wird und ein weiterer, neuer, SSL-Tunnel zwischen ISA Server und dem Webserver aufgebaut wird. Dadurch kann der Datenverkehr durch den ISA Server inspiziert werden und es ist z.B. möglich eine Filterung anhand des eingegebenen Pfads durchzuführen, was bei SSL-Tunneling nicht möglich ist, da der SSL-Tunnel durch den ISA Server direkt mit dem Webserver aufgebaut wird. Um einen Webserver per SSL-Bridging zu veröffentlichen brauchen Sie allerdings normalerweise zwei Webserverzertifikate. Eines auf dem ISA Server das für den FQDN ausgestellt ist mit dem Sie die Website aufrufen und ein weiteres Webserverzertifikat, das für den FQDN des Webservers ausgestellt ist.

Webserverzertifikate erhalten Sie normal von kommerziellen Zertifikatsherausgebern, wie z.B. Verisign oder TC Trustcenter, wobei Sie hier beachten müssen, das Sie hierfür pro Zertifikat ca. 200 Euro bezahlen müssen. Bei verwendung von SSL-Bridging sind das somit ca. 400 Euro, da Sie zwei Webserverzertifiakte benötigen. Alternativ könnten Sie für den Aufbau des SSL-Tunnels zwischen ISA Server und dem Webserver eine eigene Zertifizierungsstelle installieren, von der Sie das Zertifikat beantragen. Diese Möglichkeit erfordert Kenntnisse mit Zertifizierungstellen und für manche Firmen ist der Aufwand zu groß eine eigene Zertifizierungstelle zu betreiben.

1. Konfiguration des DNS-Servers

In der Anleitung Konfiguration von SSL Bridging mit Konfiguration der Hosts-Datei wurde behandelt, wie Sie SSL-Brdiging mit nur einem Zertifikat konfigurieren, indem Sie die lokale HOSTS-Datei des ISA Servers konfigurieren. Eine weitere Möglichkeit bietet die Split-DNS-Konfiguration. Dabei benötigen Sie wiederum nur ein Webserverzertifikat, das für den externen FQDN ausgestellt ist, welches Sie auf dem ISA Server und dem Webserver importieren müssen. Auch hier würden Sie auf das Problem stossen, dass bei SSL-Bridging der FQDN des Weiterleitungsservers in der Veröffentlichungsregel mit dem des Zertifikats übereinstimmen muss, weil ansonsten der Aufruf zu einer HTTP 500 Fehlermeldung führt, die besagt, dass der Zielprinzipialname falsch ist. Die Abänderung des Weiterleitungsservers in shop.meinefirma.de würde wieder dazu führen, dass es zu einer Proxykettenschleife kommt, da die Anfragen immer wieder an die externe IP-Adresse des ISA Servers weitergeleitet werden, da im DNS-Server shop.meinefirma.de im DNS-Server auf diese IP-Adresse verweist.

Wie bereits erwähnt haben Sie zwei Möglichkeiten dieses Problem zu umgehen:

  • Eintrag in der HOSTS-Datei
  • Split-DNS-Konfiguration
Die einfachste Methode ist ein Eintrag in der HOSTS-Datei für diese Website, diese hat aber den Nachteil, dass SecureNAT Clients, die sich selbst um die DNS-Auflösung kümmern müssen und nicht der Webproxy die DNS-Anfrage erledigt, nicht auf diese HOSTS-Datei auf dem ISA Server zugreifen können. Man müsste diese HOSTS-Datei an jedem Client ändern, was bei mehreren Clients sehr viel Aufwand bereiten kann. Einfacher ist in diesem Fall die Split-DNS-Konfiguration. Dabei erstellt man eine neue Forward-Lookup-Zone für meinefirma.de auf einem internen DNS-Server und fügt diesem einen HOST-A Eintrag für shop hinzu. Dieser HOST-A Eintrag verweist auf die interne IP-Adresse des Webservers. Anfragen von SecureNAT Clients gehen den üblichen Weg über den DNS-Server, der jetzt eine Forward-Lookup-Zone für meinefirma.de und einen HOST-A Eintrag für shop besitzt und bekommt die interne IP-Adresse des Webservers übermittelt.

In diesem Szenario befindet sich auf dem ISA Server ein DNS-Server, der DNS-Anfragen für externe Server an den DNS-Server des Internetanbieters weiterleitet.

Konfigurieren Sie zunächst den DNS-Server.

Öffnen Sie hierzu die Verwaltungskonsole für den DNS-Server über Start -> Programme -> Verwaltung -> DNS-Server und erstellen Sie unter Forward-Lookup-Zonen über Neu aus dem Kontextmenu eine neue Forward-Lookup-Zone.

Es öffnet sich der Assistent, der Sie durch die Erstellung einer neuen Forward-Lookup-Zone leiten wird.

Wählen Sie als Zonentyp Primär aus, dies bedeutet, dass dieser DNS-Server für diese Domäne verantwortlich ist und er sich nicht wie in den beiden anderen Möglichkeiten die Zonendaten von anderen DNS-Server übertragen muss. Ein primärer DNS-Server ist sozusagen der Haupt-DNS-Server für diese Zone.

Tragen Sie als Zonennamen meinefirma.de ein, damit Sie später DNS-Einträge für diese Zone erstellen können.

Sollten Sie die Zonendatei für diese Forward-Lookup-Zone bereits vorliegen haben, können Sie diese hier einbinden, andernfalls haben Sie die Möglichkeit eine neue Zonendatei für diese Forward-Lookup-Zone zu erstellen. Belassen Sie in diesem Fall den Namen bei der Vorgabe.

Dynamische Updates werden nicht benötigt, da sich die IP-Adresse des Webservers nicht ändern wird. Belassen Sie diese Option deaktiviert.

Die Erstellung der Forward-Lookup-Zone für meinefirma.de ist abgeschlossen.

Für die DNS-Auflösung von shop.meinefirma.de in die interne IP-Adresse des Webservers müssen Sie einen HOST-A Eintrag hinzufügen. Wählen Sie hierzu aus dem Kontextmenu der Forward-Lookup-Zone Neuer Host (A) aus und tragen Sie als Name shop und die dazugehörige IP-Adresse des Webservers ein, auf dem die Website gehostet wird.

Kontrollieren Sie abschließend nocheinmal die Konfiguration der Forward-Lookup-Zone. Sie müssten einen Eintrag für shop darin haben der auf den internen Webserver verweist. Zur Sicherheit können Sie auch in der Eingabeaufforderung durch den Befehl nslookup shop.meinefirma.de überprüfen, ob Sie die interne IP-Adresse zurückgeliefert bekommen.

2. Erstellung der sicheren Webveröffentlichung

Hinweis: Aufgrund dessen, dass sich die Webserververöffentlichung nicht von einer gewöhnlichen unterscheidet, wird nur auf die wichtigen Schritte genau eingegangen.

Starten Sie aus der ISA Server-Verwaltungskonsole über Firewallrichtlinien -> Neu -> Sichere Webveröffentlichung den Assistenten und vergeben Sie einen Namen für die Webveröffentlichung.

Wählen Sie als Veröffentlichungsmodus SSL-Bridging aus, um den SSL-Tunnel am ISA Server zu beenden und einen weiteren, neuen, SSL- Tunnel zwischen ISA Server und Webserver aufzubauen.

Lassen Sie Anfragen, die auf diese Firewallrichtlinie zutreffen, zu.

ISA Server bietet mehrere Möglichkeiten des Bridgings an, einmal die sichere Verbindung zwischen Client und ISA Server, die sichere Verbindung zwischen ISA Server und Webserver und die sicheren Verbindungen zwischen allen beteiligten Kommunikationspartnern. Wählen Bei den ersten beiden Möglichkeiten besteht nur ein SSL-Tunnel, entweder zwischen Client und ISA Server oder zwischen ISA Server oder dem Webserver. Die restliche Kommunkikation wird unverschlüsselt über HTTP übertragen. Um die gesamte Kommunikation per SSL zu schützen wählen Sie die Option Sichere Verbindung mit Clients und Webserver aus.

In diesem Schritt müssen Sie Angaben drarüber machen, an welchen Webserver die Anfrage weitergeleitet wird. Normal würden Sie hier den wirklichen FQDN des Webservers eintragen, da Sie normal ein Zertifikat auf dem Webserver importiert haben, das für diesen ausgestellt ist, ansonsten würde die SSL-Verbindung fehlschlagen. Auf dem Webserver haben Sie aber das Webserverzertifikat für shop.meinefirma.de importiert, somit müssen Sie auch diesen FQDN als Weiterleitungsserver eintragen. Durch die Split-DNS-Konfiguration wird der interne DNS-Server nach einem Eintrag für shop.meinefirma.de gefragt. Dieser besitzt eine Forward-Lookup-Zone für meinefirma.de und einen Host-A Eintrag für shop wodurch er diesen an den Client, übermittelt.

Tragen Sie den öffentlichen Namen ein, unter dem Sie die Website veröffentlichen wollen. Dieser Schritt ist einer der Vorteile des SSL-Bridgings, da Sie hier die Möglichkeit haben den Zugriff auf bestimmte Pfade des Webservers einzuschränken.

Erstellen Sie einen neuen Weblistener, der für die SSL-Abhörung mit dem Zertifikat shop.meinefirma.de konfiguriert ist, oder wählen Sie einen bestehenden Weblistener aus.

Sie haben die Möglichkeit den Zugriff auf bestimmte Benutzer einzuschränken. Geben Sie diese bei Bedarf an.

Die Erstellung der sicheren Webveröffentlichung ist nun abgeschlossen und nach Klick auf die Schaltfläche Fertigstellen haben Sie eine weitere Firewallrichtlinie erstellt, die wie oben gezeigt aussieht.

Rufen Sie die Website von einem externen Client über https://shop.meinefirma.de auf. Sie sollten die Website ohne Fehlermeldung angezeigt bekommen. Anhand des Schloßsymbols rechts unten im Internet Explorer erkennen Sie, dass die Seite durch SSL-gesichert wird. Somit haben Sie die Website durch SSL-Bridging mit nur einem Zertifikat durch Split-DNS-Konfiguration veröffentlicht.

Hinweis: Beachten Sie, dass durch das Anlegen der Forward-Lookup-Zone meinefirma.de ihr interner DNS-Server für die gesamte Domäne verantwortlich ist. Sie müssen alle evtl. vorhandenen Host-A Einträge, wie z.B. www für Ihren Webserver, hinzufügen, ansonsten verlaufen diese Anfragen im Nirvana und die Websites sind nicht mehr erreichbar.

 

Stand: Friday, 28. August 2009/CG.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher