Autore: Giulio Martino
Data: 03.06.2007
Informazioni sull'Autore: opera su sistemi Microsoft fin dai tempi del DOS senza trascurare sistemi Unix, Linux. Le sue competenze spaziano anche nella installazione e configurazione di apparati di rete, firewall e sistemi di posta. Svolge la propria attività a Matera.

Domande sull'articolo? Scrivi sul forum di ISAServer.it >>

- I client di Microsoft ISA Server: Firewall Client, SecureNAT e WebProxy -

Introduzione
In questo articolo cercheremo di comprendere cosa sono e come si configurano i diversi tipi di client di ISA server. Lo scopo del seguente articolo è solamente quello di dare delle linee guida, quindi non ha la pretesa di essere una trattazione completa ed esaustiva sull’argomento.

Scenario
Per gli esempi nell’articolo sono stati usati:
1) ISA server 2004
2) IE (Internet Explorer)
3) Autenticazione Integrata (Active Directory)

I concetti di base valgono per tutte le versioni di ISA.

ISA Server, prevede tre modelli di configurazione di un client:
1) WebProxy Client
2) Firewall Client
3) SecureNat

WebProxy Client
Il webproxy client non richiede l’installazione di alcun componente, ma necessita di essere configurato. E’ di tipo client server, il lato server è rappresentato dal Firewall di ISA server che si mette in ascolto su una porta specificata - di default è la porta 8080 -, e da un lato il client - es. Microsoft Internet Explorer - che, opportunamente configurato, invierà le richieste sulla porta specificata del Proxy.
La configurazione del proxy lato Server (ISA), viene fatta dalla MMC di ISA server in
Configuration > Networks > Proprietà Internal.


Qui è possibile abilitare il server proxy e specificare su quale porta deve ricevere le richieste del client.

Lato client, andiamo nelle impostazioni di connessione del browser e abilitiamo l’utilizzo del proxy inserendo il nome FQDN - Fully Qualified Domain Name - o l’indirizzo IP del Server ISA e la porta su cui è in ascolto.


Con queste semplici configurazioni, abbiamo creato il nostro WebProxy , e da questo momento, tutte le richieste WEB (HTTP, HTTPS, FTP) verranno inoltrate al nostro ISA Server. Il vantaggio di questa configurazione è che le Access rule, e di conseguenza le connessioni ed i log, diventano orientati all’utente.

Access Rule
Da questo momento in poi, saremo in grado di disciplinare gli accessi WEB a seconda dell’utente (o gruppo di utenti) che ne fa richiesta. Quindi ad esempio possiamo dire ad ISA che un gruppo di utenti puo’ accedere solo ed esclusivamente ad uno o più siti web, negando tutto il resto. Di esempi ne potremmo fare a centinaia, ma qui lascio alla vostre esigenze e alla vostra fantasia lo sviluppo.

Log e connessioni
ISA Server memorizza e gestisce le connessioni per utente, quindi in qualsiasi momento potrò sapere quali utenti sono connessi ad internet e cosa stanno facendo. Inoltre i Report, che si alimentano dai log, saranno in grado di sviluppare statistiche legate all’utente.


Firewall Client
Come abbiamo visto, il WebProxy è in grado di gestire solo i protocolli web, e tutto il resto del traffico TCP/IP? Qui entra in ballo il Firewall Client.
Il Firewall Client - che di seguito indicheremo come FWC - di ISA Server, è un software fornito insieme ad ISA Server, che va installato su tutti i client della LAN.
La sua funzione è quella di intercettare tutte le richieste WinSock generate dal client, analizzarle, e deciderne la destinazione.

La destinazione è legata alla definizione di LAN\WAN; se una richiesta è diretta all’interno della propria LAN, FWC la lascerà passare, altrimenti la inoltra verso ISA server.
Oltre a questo è in grado di effettuare l’autenticazione, e qui rientra in ballo tutto il discorso con tutti i vantaggi già fatti per il webproxy, sulla gestione orientata all’utente.
Un’altra funzione del FWC, è che riesce ad impostare le configurazioni Proxy sul browser in maniera automatica. Per configurare il FWC, aprire la MMC di ISA Server:
Configuration > General > Define Firewall Client Settings.

Qui è possibile personalizzare e configurare le applicazioni che devono interagire con il FWC.


Per abilitare su ISA Server il supporto al FWC, ed alcuni automatismi:
Configuration > Network > Proprietà Internal > Firewall Client.

Qui è possibile abilitare il supporto FWC lato server, ed impostare alcuni automatismi tra cui la configurazione automatica del browser come webproxy.


SecureNAT
In tutti quelle situazioni dove non è possibile installare il FWC, o dove il browser non supporti, ad esempio, l’autenticazione integrata, è possibile configurate il client come SecureNAT.
Per rendere un client SecureNat, basta inserire come default gateway l’indirizzo IP della scheda interna di ISA server (in scenari più complessi il default gateway sarà il router più vicino al client), ed abilitare il client ad eseguire richieste DNS.
I SecureNat, diventano per ISA dei client anonimi, rintracciabili solo tramite IP.
Questo significa che non sono in grado di autenticarsi e quindi non possono usare access rule che prevedono autenticazione. Questo significa, che le connessioni, i log e i report non essendo orientati all’utente, diventano anonime e legate solo all’IP del client.

Default Gateway
Per i client di tipo WebProxy e Firewall, non è richiesto di inserire nelle impostazioni TCP/IP del client il default gateway. Sarebbe giusto dire, che il Default Gateway, va inserito solo ed esclusivamente per garantire la connettività del client con altre LAN della WAN, ma mai per la connettività internet.
Per i SecureNat il default gateway è obbligatorio.

LAN/WAN
In ISA 2000, grazie alla LAT (Local Address Table) informavamo ISA su quali classi IP erano da considerare Interne e quali no.
In ISA 2004/2006, la LAT è stata eliminata e la gestione e configurazione delle classi di IP interne viene fatta secondo i parametri che seguono:
1) Classe IP della scheda di rete di ISA definita Internal
2) Route permanenti inserite da riga comando

Per configurare correttamente ISA nella gestione della rete interna, è buona norma per prima cosa, definire tutte le classi IP non appartenenti alla classe della macchina ISA, ma che fanno comunque parte della rete interna, ed inserire delle route permanenti che informino ISA su come raggiungerle.
Fatto questo, dalla MMC di ISA, Network > Internal > Addresses, selezionare la scheda di rete interna, e dovrebbero comparire sia la network legata alla configurazione IP della scheda di rete interna, che tutte le reti definite con le route permanenti.

Nota: Si consiglia di evitare (tranne casi eccezionali) di inserire i range a mano.

Infatti selezionando la scheda di rete, ISA controlla anche la tabella di routing, e in automatico definisce i range disponibili. Se manca un range o è sbagliato, è perché da qualche parte abbiamo sbagliato qualcosa. Se invece lo inseriamo a mano, potrebbero verificarsi dei problemi non definibili, legati al Network-Behind-Network.

Autenticazione
L’autenticazione integrata, per grandi linee, utilizza i dati di accesso alla macchine per autenticarsi su ISA. Fatta questa premessa vediamo come capire se una access rule prevede autenticazione o no.
Quando creiamo una access rule, il TAB Users è quello dove decidiamo se sottoporre la regola ad autenticazione da parte del client o meno.
Se in Users inseriamo All User, di fatto quella regola non richiederà nessuna autenticazione da parte del client. Diversamente possiamo inserire singoli utenti o gruppi di AD (active directory), e da quel momento in poi solo chi fornirà le credenziali giuste potrà usare quella access rule.

Conclusioni
E’ chiaro che queste poche pagine servono solo per dare una infarinatura, e le nozioni base su questo argomento.

Riferimenti:
http://www.isaserver.it/blog/2006/09/nuovo-firewall-client-per-isa-anche-64.html
http://www.isaserver.org/tutorials/Understanding-ISA-Firewall-Client-Part1.html
http://support.microsoft.com/kb/838122/en-us
http://www.isaserver.it/articoli/20061104-JH01.htm

Buon Lavoro con ISAServer.it
Giulio Martino (aka ISACab)

ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.