ISAserver.it - Nuove soluzioni di pubblicizzazione

L'intero set di 4 workbook a 39€/cad

VMexperts.org

Community tecnica italiana sulla Virtualizzazione

VOIPexperts.it

Community tecnica italiana sul VOIP

Autore: Giulio Martino
Data: 08.01.2007
Informazioni sull'Autore: opera su sistemi Microsoft fin dai tempi del DOS senza trascurare sistemi Unix, Linux. Le sue competenze spaziano anche nella installazione e configurazione di apparati di rete, firewall e sistemi di posta. Svolge la propria attività a Matera.

Domande sull'articolo? Scrivi sul forum di ISAServer.it >>

ISA Server 2006 / 2004: Logging con SQL Server 2005 Express

Introduzione
Nel seguente documento vengono illustrati i passaggi necessari per abilitare ISA Server a registrare i log su di un server SQL.

Scenario
1) Isa2004 installato su Win2003 Server
2) SQL 2005 Express installato su Win2003 Server

Requisiti
1) SQL Server 2005 Express Edition with Advanced Services
2) SQL Native Client
3) SQL Script per la creazione delle tabelle (w3proxy.sql e fwsrv.sql)

Per ulteriori informazioni su dove reperire il software utilizzato nel presente articolo vedi, al termine, la sezione Riferimenti.

Log di ISA Server
Prima di passare alla fase di configurazione, è utile fare qualche riflessione su come ISA gestisce i log.

Aree di logging
A differenza di ISA Server 2000, che non monitorava il traffico LAT, in ISA 2004/2006 tutto il traffico, anche quello definito nella Network Internal - la vecchia LAT -, viene processato, con un vantaggio notevole in termini di sicurezza. I log di ISA possono essere divisi in tre aree:
1) Firewall Logging
2) Web Proxy Logging
3) SMTP Message Screener

Logging
Per le prime due aree (Firewall e WebProxy) la registrazione avviene in un nuovo DB MSDE per ogni giorno,e all'interno dello stesso giorno se vengono superati i 2Gbyte vendono creati DB aggiuntivi.
Nel Real Time Monitor, descritto più avanti, i dati vengono accorpati, all'occorrenza, in maniera automatica.
La terza area (SMTP) invece, viene registrata in file di testo nel solo formato W3C. Inoltre per la consultazione è obbligatorio utilizzare un editor di testo.

Visualizzazione dei log
Prima di passare alle modalità di consultazione dei log è necessario chiarire che ISA server, di default, registra tutto il traffico in transito. La conseguenza è che la mole di dati registrata è notevole, per tanto sarà utile prevedere dei sistemi di backup e di pulizia dei log obsoleti, per evitare l'esaurimento dello spazio su disco; il vantaggio è che abbiamo un controllo più granulare di tutto quello che accade.

Se un client, ad esempio, non si collega ad Internet, la prima operazione da fare, è verificare se, nei log, esiste una riga riferita al client in questione; se all'interno dei log non troviamo alcun riferimento al client allora possiamo essere sicuri che il problema non risiede su ISA server ma, molto probabilmente, è legato ad una errata configurazione del client.

Per poter visualizzare i log - ad eccezione del logging con Message Screener - si potrà utilizzare il monitor in tempo reale.

Real Time Monitor (Logging)
Nella sezione Monitor > Logging è possibile visualizzare, in tempo reale, cosa succede sul nostro server ISA. Di default sono configurate tre query :
1) Log Record Type = Firewall or Web Proxy
2) Log Time = Live
3) Action != Connection Status*
* con il simbolo != si fa riferimento all'operatore "diverso da"

Per avviare il Real Time Monitor basta selezionare la query e fare click su Start.
E' possibile modificare e/o aggiungere nuove query, ma questo sarà trattato in un nuovo articolo.

Un altro metodo per utilizzare i Log sono i Report. I Report possono essere creati dalla sezione Monitor > Report e volendo possono essere pubblicati su un sito web. Questo ne permette la consultazione via browser, ma anche questo argomento esula dallo scopo del presente documento e verrà trattato a parte.

Per determinare quali regole sono, o non sono, sottoposte a logging basta andare in:
1) Poprietà della regola
2) Tab Action
3) Togliere la spunta a 'Log request matching this rule'



ATTENZIONE!!
Esistono delle regole che non visibili di default, e sono le System Policy Rule; per abilitare la loro visualizzazione nella finestra di destra - Task - selezionare la voce Show System Policy Rules.



SQL 2005 Express Edition
Come molti di voi già sapranno il buon vecchio MSDE (motore SQL 2000 gratuito di Microsoft) è stato sostituito dalla versione Express di SQL Server 2005. Oltre a tante belle cosine, in questa versione è stata inserita anche un consolle di gestione, assente in MSDE, che facilita molto il lavoro di aministrazione del DB.
Installato il server SQL procediamo ora con la preparazione dell'ambiente per accogliere i log di ISA server.

Configurazione Superficie di attacco di SQL Server 2005
È molto utile per aiutarci a definire le politiche di utilizzo, in modo chiaro e sicuro.
Questo tool si trova in Start > Programmi > Microsoft SQL Server 2005 > Strumenti di configurazione.



Bisogna tener presente che, di default, le versioni Express, Evaluation e Developer permettono la connessione solo in localhost usando la Shared Memory . Pertanto, se SQL Server è installato su una macchina diversa da ISA , come in questo caso, sarà necessario abilitare la connessione anche da rete.



SQL Server utilizza per le connessioni di rete o il TCP o le Named Pipe; il TCP è più veloce ed è consigliato nelle configurazioni con LAN lente o in WAN; le Named Pipe garantiscono un maggior livello di interattività rispetto al TCP, ma richiedono risorse maggiori, per tanto se ne consiglia l'uso in reti LAN performanti.

Per maggiori dettagli e/o approfondimenti fare riferimento a questo documento Microsoft: http://msdn2.microsoft.com/it-it/library/ms187892.aspx

SQL Server Configuration Manager
Permette di vedere e di configurare nel dettaglio i protocolli sia lato server che lato client.
Questo tool si trova in Start > Programmi > Microsoft SQL Server 2005 > Strumenti di configurazione.

Configurazione Ambiente
Finite le impostazioni relative ai protocolli, passiamo alla creazione dell'ambiente destinato a ricevere i dati da ISA server. Per farlo utilizziamo la Management Console di SQL: Start > Programmi > Microsoft SQL Server 2005.
Per prima cosa creiamo il nostro database:
1) Pulsante destro su Database.
2) Selezionare 'Nuovo database'.
3) Inserire il nome del nostro Database - es. ISALOG -.
4) Confermare la creazione.



Per la creazione delle tabelle useremo gli script SQL:
- W3PROXY.SQL
- FWSRV.SQL

Andiamo sul TAB tabelle del DB appena creato, dal menù File > Apri > File e selezioniamo uno dei due precedenti script SQL e confermiamo.

Nella finestra centrale della MMC di SQL server, verrà aperto lo script per la creazione della tabella.


Prima di eseguire lo script dobbiamo dire a quale DB far riferimento. Il database di default è il Master che dovremo sostituire, con quello appena creato, usando la combo posizionata nella parte alta della MMC.


Completata questa operazione madiamo in esecuzione lo script selezionando l'icona con Punto esclamativo di colore rosso posto nella Toolbar dello script.


Ripetere le operazioni anche per il secondo Script

Ora l'ambiente SQL è pronto a poter ricevere i dati dal nostro ISA Server.


Configurazione Log ISA Server
Questa parte, come tutto quello che riguarda ISA 2004/2006 è la più semplice. Per procedere apriamo la MMC di ISA Server ed andiamo in Monitor > Logging > Task.

Le operazioni descritte vanno fatte sia per Firewall Logging che per Web Proxy Logging.

Selezioniamo Configure <Area Logging>
Selezioniamo SQL databaseODBC
DataBase = Nome del DSN creato - vedi documento IsaLogODBC -.
Table Name = Inserire il nome Tabella creata con gli script - Nome tabella di riferimento -
Use this account = Inserire un Username e una Password per l'accesso al server - questa operazione è opzionale se si usa il DSN -.
Enable logging for this service = Questa opzione deve essere selezionata altrimenti i log verranno disabilitati.



Terminata questa parte, i LOG di ISA Server inizieranno ad alimentare le tabelle relative al Web Proxy ed al Firewall nel DB SQL.

Consultazione dei Log
I vantaggi nell'utilizzare un motore SQL per l'archiviazione dei log, per chi non ha dimestichezza con i DB, possono risultare poco chiari.
In questa parte cercheremo di capire cosa possiamo sfruttare di un SQL Server.
come, ad esempio, il Logging Multiserver ed il Monitoraggio facilitato dei Log.
Nel caso in cui abbiamo più di un server ISA sulla nostra rete, possiamo convogliare i dati di logging in un unico contenitore, in modo da avere un controllo centralizzato.Il monitoraggio dei Log è da sempre uno grosso problema per gli amministratori di rete, che devono giocare di fantasia per trovare il modo più efficiente nella consultazione di centinaia di migliaia di record, magari registrati in file di testo, alla ricerca di eventuali problemi.
Con SQL Server le ricerche sono facilitate avendo la possibilità, per i più esperti, di creare direttamente delle query, e per i meno esperti utilizzando software di terze parti.

Come esempio valido, basta vedere il sistema di Real Time Monitor, incluso nelle versioni di ISA Server a partire dalla versione 2004, che utilizza MSDE, di fatto usano un motore SQL Server 2000.

Una domanda nasce spontanea...se ho ISA2004/2006 che, di fatto, già usa un motore SQL (MSDE) perché dovrei passare a SQL 2005?

Per trovare la risposta, dopo averne gia' percepito la maggior flessibilita' e versatilita' d'uso, date un occhiata qui : http://www.microsoft.com/italy/technet/prodtechnol/sql/2005/msde2sqlexpress.mspx.

Riferimenti:
SQL Server 2005 Express Edition with Advanced Services
http://msdn.microsoft.com/vstudio/express/sql/download/SQL

Native Client
http://download.microsoft.com/download/4/4/D/44DBDE61-B385-4FC2-A67D-48053B8F9FAD/sqlncli.msi

Script per la creazione di tabelle di LOG
CD di installazione di Microsoft ISA Server sezione FPC\Program Files\Microsoft ISA Server
Internet: http://www.isaserver.it/download

Buon Lavoro con ISAServer.it

Giulio Martino


ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.