No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 Forefront TMG 2010
 Forefront TMG 2010 - HTTPS Inspection
 Escludere traffico Skype da HTTPS inspection
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic   

lconte
Amministratore del Forum

2017 Posts

Posted - 04/11/2010 :  14:01:35  Show Profile  Reply with Quote
Salve a tutti,
qualcuno si e' trovato ad affrontare, oppure ha affrontato (e possibilmente risolto), il problema di consentire il traffico Skype attraverso TMG quando e' attiva la funzionalita' di HTTPS inspection?
Dal mio punto di vista, dopo aver fatto alcuni test, Skype e' la HTTPS inspection sembrano incompatibili.
Lasciamo stare le soluzioni creative che ho visto su ISAserver.org.
Idee?!



Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

ThE_RaV3N
Junior Member

127 Posts

Posted - 05/11/2010 :  11:16:07  Show Profile  Reply with Quote
Ciao Luca, tutto bene? :D

Impostando in skype un proxy https non riesci a far viaggiare skype comunque? Dacci qualche info in più



- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 05/11/2010 :  14:47:36  Show Profile  Reply with Quote
Diciamo che si combatte sempre!!
Tornando alla questione Skype/TMG, giarda, la configurazione e' semplice:
1. TMG in edge
2. Rule:
- Allow
- All Outbound Traffic
- Authenticated Users
3. Client:
TMG Firewall Client + Skype (ultima versione)

Nota: TMG e' una sub CA, con certificati riconosciuti validi dai client che usano il repository dei certificati di Windows

I test fatti, senza successo, con HTTPSi attivo hanno riguardato:
- Skype in configurazione Standard (install and go)
- Skype configurato con proxy HTTPS

Ho provato anche, senza convinzione assoluta, ad aggiungere il dominio skype.com ed altri possibili domini...ma, ahime'...niente! Skype non passa nemmeno la fase di autenticazione. Sui log di TMG tutta una serie di errori relative a connessioni chiuse o altro. Si vede che skype cerca in tutte le maniere di passare ma niente.

Cmq in tutto questo esiste una nota positiva, per chi lavora sull'altro fronte, Skype e' bloccato e non passa!!
Il corollario potrebbe essere...Attiva HTTPSi e blocca Skype!!

Cmq, va detto che disattivando HTTPSi, Skype, nelle configurazioni precedenti torna a funzionare alla grande. Nel mio caso, quello che cerco e' farlo funzionare ma, piu' passa il tempo e piu' la vedo lontana la soluzione.

Idee??
Luca






Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 07/11/2010 :  11:06:08  Show Profile  Reply with Quote
Ciao Luca, mi posti una qualche riga di log segnalata da ISA? Hai buttato sotto uno sniffer sull'interfaccia internal e external di TMG?

Ciauz

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 07/11/2010 :  12:55:35  Show Profile  Reply with Quote
Hai qualche idea? Non voglio farti perdere tempo, ma dai log di TMG non ci cavi molto ed e' lunga. La cosa migliore e' metterci gli occhi sopra direttamente.
Mi sembra strano comunque che nessuno usi Skype in azienda e non stia valutando di attivare la HTTPSi su TMG.
Bisogna che lanci un sondaggio per sapere quanti stanno utilizzando TMG in azienda...
Buona domenica
Luca

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 07/11/2010 :  13:14:12  Show Profile  Reply with Quote
Stavo guardando la demo di tmg, e vedo che cè già incorporato l'url filtering per bloccare i siti per categoria.

Nella sezione chat ci dovrebbe essere anche il dominio di skype, almeno editando la lista dovrebbe farti estrapolare il contenuto(ovvero la lista di domini categorizzati).

Bisognerebbe concedere una rule over https verso quel dominio lì e vedere se riesci a fare una sorta di https whitelisting.

L'anomalia risiede nel fatto che skype, come altri Software IM, usa l'https senza eseguire ad hoc la negoziazione SSL/TLS come prevederebbe l'RFC e questo fa arrabbiare l'HTTPS inspection di TMG. Come accadeva con la suite webmarshall per capirsi...Solo che su quest'ultima c'era la possibilità di escludere il controllo della corretta negoziazione SSL/TLS per un singolo dominio web.

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 07/11/2010 :  15:57:42  Show Profile  Reply with Quote
Invece di aggiungere il singolo dominio (e simili) la tua idea sarebbe quella di sfruttare la Categoria Chat ed aggiungerla nell'elenco dei domini esclusi dall'HTTPSi.
Da provare, anche se vedo due punti aperti:
- E' necessario aver sottoscritto un abbonamento con Microsoft per l'aggiornamento delle categorie
- Sono esclusi dall'HTTPSi tutti i programmi inclusi nella categoria Chat (Google Talk, Live Messenger ed altri)
Cmq penso vada prima di tutto provato per vedere se cosi' puo' funzionare.

Giusto per aggiungere elementi, penso che parli di questo articolo della Marshall - HOWTO: How can I allow all Skype connections when WebMarshal is installed?-.

Nota: La Marshall e' uno dei URLs provider di Microsoft per le funzionialita' di URL filtering di Forefront TMG 2010. Ecco l'annuncio.

Buona domenica
Luca

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 07/11/2010 :  16:42:12  Show Profile  Reply with Quote
Si più o meno l'idea è quella... anche se un pò macchinosa.

Per quanto riguarda l'annuncio su Marshall thanks for the share ;)

Per il resto io mi riferivo al singolo caso (il primo che mi è venuto in mente simile) del prodotto vero e proprio che veniva distribuito singolarmente come complemento di ISA.

Bo ti dirò, mi sembra strano che su TMG Microsoft non abbia previsto eccezzioni meno "artigianali". Sarà che sono abituato a lavorare con squid, ma di problemi così non ne ho mai incontrati...e mi sembra strano che non abbiano pensato ad un workaround o a predisporre delle eccezioni per chi volesse fare delle eccezioni in merito...mah

ciauz

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 18/11/2010 :  18:49:41  Show Profile  Reply with Quote
Ciao Luca, hai news in merito al problema da te descritto??? Volevo sapere come è andata a finire.

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 18/11/2010 :  22:03:54  Show Profile  Reply with Quote
Settimana prossima dovrei essere in grado di fare questo test, ora non ho i server sotto mano; appena completato posto il risultato sul forum .
Domani e' Venerdi'..

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 18/11/2010 :  22:09:19  Show Profile  Reply with Quote
Settimana prossima dovrei essere in grado di fare questo test, ora non ho i server sotto mano; appena completato posto il risultato sul forum .
Domani e' Venerdi'..

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 27/11/2010 :  07:33:43  Show Profile  Reply with Quote
Ora sono bloccato su task urgenti, devo rimettere in piedi parte dell'ambiente. Spero in settimana di riuscire a cfare la prova!

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 20/02/2011 :  09:46:54  Show Profile  Reply with Quote
Anche se con biblico ritardo..
Il test e' stato effettuato ed al momento non e' possibile effettuare l'esclusione di Skype dal processo di HTTPSi, va anche detto che Skype con HTTPSi non funziona.
La versione di TMG usata include SP1 e relativi Rollup.
Una possibile soluzione potrebbe essere quella di avere un ISA/TMG dove non e' attiva la HTTPSi e farlo funzionare come proxy solo per Skype. Questo andrebbe collocato dietro l'array TMG principale, su quest'ultimo andrebbe attivata una esclusione per l'IP dell'ISA/TMG usato da Skype. Una soluzione del genere, tutta da verificare, aumenterebbe i costi la complessita' di gestione.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 21/02/2011 :  22:26:24  Show Profile  Reply with Quote
Ciao Luca, il problema sembra proprio il fatto che Skype usa un tunnel SSL per connettersi al network, instaurando un traffico p2p cifrato con i singoli node e i singoli client. L'unica è o mettere in eccezione l'host su HTTPS Inspection, oppure fare come descritto

QUI

Sicuramente non apprezzo molto la soluzione come feature di network security; però oltre a questo non saprei cosa consigliarti perchè lavorando principalmente con squid non ho mai avuto problemi di questo genere finora.

Ciauz

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte
Go to Top of Page
  Previous Topic Topic   
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association