Intelligent Application Gateway (IAG) 2007 verfuegbar

Microsoft hat im Juli 2006 die Firma “Whale Communications” aus New Jersey aufgekauft. Whale war ein Anbieter von Lösungen, um interne Anwendungen per SSL sicher zu veröffentlichen. Dabei gehen die Möglichkeiten weit über die HTTP-Filtermöglichkeiten von ISA Server hinaus. Anhand von Regular Expressions kann zum Beispiel die erlaubte URL sehr granular gefiltert werden. Verschiedene Intranetanwendungen können auf einem gesicherten Portal zusammengefasst werden und es besteht die Möglichkeit, einzelne nicht-Web-Anwendungen (wie zum Beispiel telnet.exe) über eine authentifizierte Webverbindung zu veröffentlichen (stichwort: SSL VPN).


Bevor sich ein Client überhaupt an dem Webportal oder an einer veröffentlichten Anwendung authentifizieren kann, besteht die Möglichkeit, ähnlich wie bei VPN-Quarantäne einige Sicherheitsüberprüfungen durch ein ActiveX-Control auf dem Client ablaufen zu lassen. So kann zum Beispiel auf einen aktuellen Virenscanner, auf bestimmte Netzwerkkonfigurationen oder nahezu jeder andere Parameter überprüft werden. Erst nach bestehen des Tests gelangt man zur Authentifizierung.


Seit der Übernahme durch Microsoft wurde an der Lösung weiterentwickelt und es wird an der Annäherung an die üblichen Microsoft-Vorgaben und an der Integration in die Microsoft-Infrastruktur gearbeitet. IAG wird ISA nicht ersetzen sondern als Zusatzprodukt ergänzen.


Seit dem 01. Februar ist die aktuelle Version “Intelligent Application Gateway 2007” verfügbar. Allerdings nicht als Einzelsoftwareprodukt sondern vorerst nur als Appliance zusammen mit ISA Server 2006 von den beiden Herstellern “Celestix Networks” und “Network Engines”. Intelligent Application Gateway wird sich mittelfristig genauso wie ISA Server in die Forefront-Produktfamilie integrieren. Wir können gespannt sein, wie genau sich die Produkte integrieren werden und in welcher Form gerade diese beiden Lösungen künftig angeboten werden.


Ich hatte Mitte Januar die Gelegenheit, an einem einwöchigen tief technischen Training mit ausgewählten Teilnehmern zu IAG in Redmond teilzunehmen. Da haben wir sämtliche Konfigurationsmöglichkeiten und Einsatzszenarien besprochen, das sehr umfangreiche Regelwerk kennengelernt und auch feststellen müssen, dass man komplexe Anforderungen nicht in 5 Minuten erfüllen kann. Mittels asp-Seiten und xml-Konfigurationsdateien können sehr kundenindividuelle Anpassungen vorgenommen werden.


Noch ein paar Anmerkungen von mir:
In diesem Zusammenhang wird immer wieder der Begriff “SSL VPN” verwendet. Nun mag man auf den ersten Blick denken, das ist eine klassische VPN-Verbindung über IPSec/L2TP, PPTP oder OpenVPN, die einfach über HTTPS/SSL TCP 443 getunnelt wird. Naja, nicht ganz. Es wird schon eine SSL-Verbindung über TCP 443 verwendet, allerdings kein DFÜ/VPN-Netzwerk im klassischen Sinne. Eine gute Erklärung zu SSL VPN findet man in der Wikipedia.


In manchen Internetforen wird IAG belächelt. Whale war ein anerkannter und verbreiteter Anbieter dieser Technologie. Microsoft wird das nun integrieren und seine eigene Produktpalette damit erweitern. Das ist ja eigentlich nicht so ungewöhnlich. Natürlich gibt es weiterhin Marktbegleiter und andere Lösungen für diese Probemstellung. Aber mal ehrlich, gibt es nicht für nahezu alles verschiedene Alternativen? Ist nicht das gerade das, was IT ausmacht? Und jede Lösung hat seine Vor- und Nachteile. Man muss sich eben heraussuchen, was für seine individuelle Aufgabenstellung passt.


Weitere Informationen gibt es hier:
* Microsoft IAG Website
* Microsoft Forefront Website


Viele Grüße
Dieter



Dieter Rauscher
MVP ISA Server