Ecco come ISA Server analizza il traffico!
Uno degli aspetti abbastanza "confusi" nella documentazione di ISA Server riguarda proprio i metodi di analisi del traffico di rete.
Infatti, non si trova documento che non parli di deep inspection, deep packet inspection, deep application inspection... ma, lasciando da parte le diverse variazioni sul tema deep inspection, quello che non viene detto è fino a quale livello di profondità arriva l'analisi del traffico di rete da parte di ISA Server: Livello 7, Livello 4, Livello 3?
Leggendo l'articolo di Jim Harrison - Program Manager, ISA SE si è fatta un pò chiarezza.
In sintesi, con ISA Server non ha molto senso parlare di Packet-Layer inspection ma invece di Application-layer inspection che prevede una analisi combinata di:
- Data stream evaluation
- Protocol behavior evaluation
Un metodo più complesso, più costoso dal punto di vista Hardware (RAM, CPU) ma che trova il suo perché se visto nell'ottica di protocolli come l'HTTP, SMTP ecc. e l'escalation di attacchi a livello applicativo.
Oss.: Quando si parla di Packet, si fa solitamente riferimento al livello 3 (Network) dello stack OSI. A questo livello troviamo il protocollo IP, è infatti frequente l'utilizzo combinato di IP Packet. Al livello 4 (Transport) si parla invece solitamente di Datagram. Al livello 4 troviamo i protocolli TCP e UDP. Con il termine deep packet inspection si intende l'analisi approfondita del traffico a partire dal livello 3 (IP).
Riporto per completezza un estratto del documento:
"...
the actions that ISA Server performs on and as a result of many common protocols are frequently not based on “deep packet inspection”, but “data stream” and “protocol behavior” evaluation.
(...)
...the concept of “packet-level” functionality is rarely accurate.The more accurate statement to describe ISA Server behavior is “application-layer inspection”, which encompasses the concepts of data stream and protocol behavior analysis.
..."
fonte: Microsoft
L'articolo orginale, in lingua inglese, di cui consiglio caldamente la lettura è scaricabile qui.
Luca
Etichette: ISA Server 2006, Networking, White-Paper
0 Comments:
Posta un commento
<< Home