Suchen

Security-Tools – ISA Server Best Practices Analyzer Tool Kontrolle für die Firewall

Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz

Das Microsoft Internet Security and Acceleration (ISA) Server Best Practices Analyzer Tool unterstützt Administratoren bei der Diagnose eines ISA Servers. Es überprüft die Konfigurationseinstellungen und vergleicht diese mit den von Microsoft vorgegebenen „Best Practices“.

Firma zum Thema

( Archiv: Vogel Business Media )

Mit dem ISA-Server-Tool kann der Administrator das Betriebssystem, Hardware und den ISA Server überprüfen. Das Tool protokolliert die Ergebnisse und zeigt mögliche Fehler auf, ist jedoch nicht in der Lage, Fehler oder Warnungen hinsichtlich der Konfiguration zu beheben. Es dokumentiert sie lediglich.

Das „Microsoft Internet Security and Acceleration (ISA) Server Best Practices Analyzer Tool” ist über das Microsoft Technet Abonnement oder über die Microsoft-Homepage erhältlich. Wie die meisten Tools ist es nur in englischer Sprache verfügbar. Es muss lokal auf einem ISA Server installiert werden. Eine remote Ausführung ist nicht möglich. Die Systemvoraussetzungen sind ein Windows 2000 Server oder Windows Server 2003 Betriebssystem. Zu erwähnen ist auch, dass mindestens das Microsoft .NET Framework 1.1 benötigt wird, welches auch über das Internet oder MS Technet erhältlich ist.

Bildergalerie

Folgende Produktversionen werden mit dem Tool unterstützt:

  • ISA Server 2004 Standard Edition
  • ISA Server 2004 Standard Edition mit Service Pack 1
  • ISA Server 2004 Standard Edition mit Service Pack 2
  • ISA Server 2004 Enterprise Edition mit Service Pack 2
  • ISA Server 2006 Standard Edition
  • ISA Server 2006 Enterprise Edition

Nach der Installation reiht sich die Gruppe „ISA Tools“ unter der bestehenden Programmgruppe “Microsoft ISA Server” ein. In dieser Gruppe sind zwei Programme zu finden: Das Kommandozeilentool „Pack ISA Server Diagnostics...“(IsaBpaPack.exe) mit dem Standardarbeitsverzeichnis „:\Dokumente und Einstellungen\%username%\Anwendungsdaten\Microsoft\IsaBPA“ und das Programm „ISA Server Best Practices Analyzer“ mit dem Standardverzeichnis „:\Dokumente und Einstellungen\%username%\Anwendungsdaten\Microsoft\BPA“.

Beide Tools schreiben in Ihr Basisverzeichnis für jeden Scan je eine XML- und eine Textdatei. In der XML-Datei stehen die Testresultate. Die Textdatei dient als Log-Datei. Sie zeichnet den Scan-Fortschritt auf und dokumentiert etwaige Fehler. Das Ergebnis des Scans steht in der XML-Datei, die entweder einen benutzerdefinierten Namen oder einen Standardnamen (IsaBPA.2006xxxxxxxxxxxxxx.data.xml) besitzt. Alle früheren Scans können so noch nachträglich in das grafische Tool eingelesen werden.

Sollte nur ein Datenexport geplant sein, ist das Kommandozeilentool zu empfehlen, da hier lediglich in die XML- und Log-Datei geschrieben wird. Es gibt keine Kommentare oder Hilfestellungen. Anders wie beim grafischen Tool, welches im Folgenden weiter beschrieben wird. Je nach persönlichem Geschmack des Administrators kann das Kommandozeilentool (zum Beispiel per Batchdatei) oder der „Best Practices Analyzer“ mit der grafischen Oberfläche verwendet werden.

Seite 2: Einfacher Scan mit grafischer Hilfestellung

Einfacher Scan mit grafischer Hilfestellung

Speziell wenn der zu prüfende Server nur über das Internet oder einer VPN (Virtual Privat Network) verfügbar ist, eignet sich die grafische Version des Tools gut dazu um via Terminal-Verbindung ausgeführt zu werden. Um einen Scan zu starten, wählt man einen geeigneten Namen und den Typ des Scanvorgangs aus. Für den Scan hat man zwischen „Run ISAInfo“, „Health check“ und der Kombination aus beiden Überprüfungen die Wahl.

Bei „Run ISAInfo“ findet eine Überprüfung der Aufgaben (Tasks) „ISA Configuration“ und „ISAInfo“ statt. Zu beachten: Es findet nur eine Sammlung der Konfigurationseinstellungen und keine Analyse statt! Wie bereits erwähnt, werden diese Informationen in die XML-Datei geschrieben.

Für die komplette Überprüfung werden alle fünf Aufgaben durchgeführt:

  • Hardware (Auswertung von: Computerhersteller, Modell, Speicher, Anzahl der Prozessoren, usw.)
  • ISA Configuration (Auswertung von Filterregeln, usw.)
  • ISA Installation
  • ISAInfo (Auswertung der Dienste)
  • Operating System

Für die Sammlung der jeweiligen Informationen werden nicht nur die ISA Server-Einstellungen (COM-Objekte) abgefragt, sondern auch entsprechende betriebssysteminterne Datenbanken abgerufen. Hierzu gehören die Registry, die Windows Management Instrumentation (WMI) Klassen und das Domain Name System (DNS).

Umfangreiche Meldungen zur Analyse

Als Ergebnis eines Scans erhält der Anwender einen Bericht, den er sich als Liste (siehe Abbildung), als XML-strukturierter Report (Tree Reports) oder als „verstecker Report“ mit den Log-Dateien (Other Reports) ansehen kann.

In der Report-Ansicht, im Reiter „All Issues“, werden folgende fünf Meldungstypen verwendet:

  • Fehler (Error) – Ein kritisches Resultat. Diese Meldung muss nicht zwangsläufig eine Fehlfunktion eines Dienstes oder Computer beschreiben, ist jedoch erst zu nehmen. Ein Fehler wird als Stoppschild mit einem weißen Kreis markiert.
  • Warnung (Warning) – Hier wurde diagnostiziert, dass ein Resultat von den „Best Practices“ abweicht. Ist das Resultat beabsichtigt, kann die Meldung ignoriert werden. Eine Warnung wird als gelbes Dreiecksschild mit einem Ausrufezeichen markiert.
  • Information – Ein Detail wird hervorgehoben. Das passiert, wenn zum Beispiel der Computer zwei Netzwerkkarten hat oder wenn der Server als Domänencontroller eingerichtet wurde.
  • Recent change – Diese Meldung besagt, dass eine Einstellung sich in den letzten fünf Tagen geändert hat.
  • Best practice – Diese Meldung erscheint, wenn eine Einstellung nicht mit der „Best practice“-Information übereinstimmt.

Seite 3: Beschreibungen helfen bei der Auswertung aller Meldungen

Beschreibungen helfen bei der Auswertung aller Meldungen

Insgesamt gibt es 139 verschiedene Meldungen. Damit ein Administrator die Meldung nachvollziehen kann, sind diese jeweils mit einem Hilfetext verlinkt.

Die in Abbildung 3 gezeigte Warnung („The Intrusion detected...“) ist ein typisches Beispiel. Sie zeigt an, dass eine bestimmte Adresse einen Portscan durchgeführt hat, um etwaige Schwachstellen auf der Firewall zu identifizieren. Zum Bearbeiten der Meldungen ist es empfehlenswert, zuerst auf den Pfeil “Tell me more…” zu klicken, um die Fehlermeldung zu analysieren. Wenn der Fall eindeutig ist, wie im beschriebenen Fall, kann der Eintrag entfernt werden.

Ein Fehler (Error) liegt vor, wenn zum Beispiel ein Zertifikat in einem VPN (Virtual Private Network) zurückgezogen wurde, oder wenn es eine ungültige Signatur besitzt. Auch kann es vorkommen, dass eine Netzwerkkarte eine IP-Adresse 169.254.x.x erhält, wenn der DHCP Server nicht erreicht werden kann. Dieser Fall würde ebenfalls zu einer Fehlermeldung führen. Einige Zugriffsregeln werden überprüft. Hier gibt es eine Meldung, wenn beispielsweise eine Firewall-Regel (Policy) einen Satz leerer Zieladressen besitzt.

Zur Darstellung einer Warnung in diesem Artikel sind die Möglichkeiten zum FTP-Upload beschränkt worden. Gleiches gilt für den Verkehr innerhalb des internen Netzwerks. Eine Meldung erscheint hier, weil die System-Richtlinien (System Policies) der Firewall entsprechend geändert wurden.

Leider kann das Tool die Konsistenz der Filterregeln nicht überprüfen. Auch würde man sich wünschen, dass einige Warnungen oder Informationen mehr in die „Best Practices“ übernommen würden, wie zum Beispiel eine Performance-Analyse. Besser wäre, Microsoft würde alle Analysen komplett in die ISA Server Administration einbauen. Bei einigen Meldungen ist dies bereits der Fall.

Fazit

Das Tool eignet sich gut zur Dokumentation und ergänzenden Kontrolle eines ISA Servers 2004 oder ISA Servers 2006. Insgesamt 139 mögliche Fehler und Warnungen können angezeigt werden. Anhand von Hilfetexten kann ein Administrator entscheiden, ob er der gemeldeten Ursache weiter nachgeht. Änderungen an der Konfiguration kann das Tool nicht leisten. Diese müssen nach wie vor im Snap-In „ISA Server Management“ durchgeführt werden.

Artikelfiles und Artikellinks

(ID:2001710)