none
IIS ARR 3.x のセキュリティについて RRS feed

  • 質問

  • Forefront TMG 2010 や UAG 2010 の代わりにリバースプロキシーとして

    Windows 2012 (R2) + IIS ARR を利用したいと考えています。

    現在検証環境で Exchange 2010 の OWA公開のところまでは上手く行きました。

    上手く行ったのですが、セキュリティ面で TMG 2010 / UAG 2010 と比較して問題ないのかどうか
    少々不安を覚えているのでどなたかこれらについて情報が記載されている記事などをご存知でしたら教えて頂けませんでしょうか。

    結構いろいろ検索してみたのの特に TGM2010 / UAG2010 と比較した場合の相違点などの情報が無く
    本当に IIS ARR で大丈夫かどうか悩んでおります。

    気になるところ

     ・ TMG / UAG では該当サーバーを経由する通信をなんらかセキュリティスキャンしていたよう
      気がしていますが、そのような同等の仕組みを ARR は持ち合わせているのでしょうか。

     ・ TMG / UAG では Exchange 2010 などを公開するときにフォームベース認証において利用する場合
      内部 AD サーバーへのユーザー認証を TMG / UAG が代行手で続きを行い、問題なければ内部 Exchange 2010 へ
      通信を通すというような認証処理を行い、不正な認証要求(アタック的な物)を検知すると遮断するような仕組み
      有ったように思います。
      ARR を ネットにありました Exchange OWA 公開用手順で構成すると、特に内部 AD への認証設定みたいなものが無く
      また Exchange ですよ、というサービス種類の設定もなく公開設定が終わりました
      結果として https://owa.domain.local/owa のように Exchange に設定したア外部 URL へクセスすると
      素の Exchange 2010 のフォーム認証画面が表示されるので認証処理もおそらく内部 Exchange サーバーが
      直接面倒を見ているように思います。

      このようないかにも保護されている感のある TMG / UAG からみると 保護されている感がなんだか薄い ARR なのですが
      これは大丈夫なものでしょうか。

     もしも追加構成でセキュリティ構成を入れたほうが良いものがあれば教えて頂けませんでしょうか。

     ※ ウィルス対策ソフトはインストールするとして それ以外に

    2014年10月22日 6:00

回答

  • 入れるなら WebKnight と ModSecurity 、、、かなぁ資料が少なそうですが。

    http://www.ipa.go.jp/files/000017312.pdf

    • 回答としてマーク SHIMSOFT 2014年10月24日 5:06
    2014年10月22日 9:01
  • チャブーンです。

    藤森さんがご紹介された資料は、アプリケーションプロキシとファイアウォールやIDSとの差異を分かりやすく示した、よい資料だと思います。

    すでにご覧になっていると思いますが、したの資料にある IIS ARR の「機能一覧」にはトラフィックとキャッシュコントロールに関するものがほとんどであり、セキュリティに関しては主眼ではない、ということがお分かりかと思います。

    http://www.iis.net/downloads/microsoft/application-request-routing

    過去のMSプロキシ製品はFWと抱き合わせだったので気にしなくてよかったのですが、その意味では別途セキュリティ製品での保護は必要かと思います。DMZを用意するという手もあるかもしれませんが、複数ネットワーク間の保護を考えれば、たぶんFWは必要になるでしょう。ちなみに、したのページでTMG→AARに置き換える記事が出ていますが、コメント欄に「DMZを使いたい場合はどうすれば?」という質問が出ていますので、同じような考えの方はいるのかな、と個人的には思っています。

    追記:上記の記事のURLを忘れていました。

    http://masteringlync.com/2013/02/12/using-iis-application-request-routing-arr-as-a-tmg-replacement/


    2014年10月23日 2:04
    モデレータ

すべての返信

  • 入れるなら WebKnight と ModSecurity 、、、かなぁ資料が少なそうですが。

    http://www.ipa.go.jp/files/000017312.pdf

    • 回答としてマーク SHIMSOFT 2014年10月24日 5:06
    2014年10月22日 9:01
  • 藤森樣

    情報ありがとうございます。
    大変助かります。

    ご紹介いただきました資料を確認してみます。

    2014年10月22日 9:11
  • チャブーンです。

    藤森さんがご紹介された資料は、アプリケーションプロキシとファイアウォールやIDSとの差異を分かりやすく示した、よい資料だと思います。

    すでにご覧になっていると思いますが、したの資料にある IIS ARR の「機能一覧」にはトラフィックとキャッシュコントロールに関するものがほとんどであり、セキュリティに関しては主眼ではない、ということがお分かりかと思います。

    http://www.iis.net/downloads/microsoft/application-request-routing

    過去のMSプロキシ製品はFWと抱き合わせだったので気にしなくてよかったのですが、その意味では別途セキュリティ製品での保護は必要かと思います。DMZを用意するという手もあるかもしれませんが、複数ネットワーク間の保護を考えれば、たぶんFWは必要になるでしょう。ちなみに、したのページでTMG→AARに置き換える記事が出ていますが、コメント欄に「DMZを使いたい場合はどうすれば?」という質問が出ていますので、同じような考えの方はいるのかな、と個人的には思っています。

    追記:上記の記事のURLを忘れていました。

    http://masteringlync.com/2013/02/12/using-iis-application-request-routing-arr-as-a-tmg-replacement/


    2014年10月23日 2:04
    モデレータ
  • チャブーン樣

    情報ありがとうございます。

    ご紹介頂いたところは 記憶に薄いのでもしかすると見てなかったかもしれません。

    確認してみます。

    TMG2010 などを DMZ に置いていたので同じく DMZ に配置予定で検討中です。

    TMG2010 にかわって UAG2010 を と思っていましたが UAG2010 も消えてしまったので
    今のところ ARR が有力株なのですけども。

    2014年10月23日 2:14