| Author |
 Topic  |
|
|
Simone73
New Member
29 Posts |
 Posted - 05/06/2007 : 16:36:10
|
Innanzi tutto un salutone a tutti essendo questo il mio primo post in questo forum, in secondo luogo i miei problemi (mi limiteri a quelli informatici).
Ho un W2003std con funzioni di controllo dominio e Isa per le connessioni internet. Un firewall hw che traduce ip wan in ip interno lan e server con gateway che punta all'inidirizzo interno del firewall.
Così dovrei far passare tutti i client attraverso l'isa e poterne loggare il traffico oltre che abilitare o meno restrizioni di navigazione.
Vorrei anche limitare/proteggiere il traffico e i client interni lan in quanto capita spesso di dover connettere pc di professionisti esterni alla nostra lan e vorrei proteggiere maggiormente il server con un rule specifico nelle firewall policy di isa (enterprise).
Il problema che non riesco a risolvere è che il rule creato è :
Allow - All outbound traffic - Internal - Local Host - XXXXX
Internal=classe di ip interni lan
vorrei far accedere al local host (che è il server isa e dc) solo i membri appartenenti al dominio (come garanzia aggiuntiva alla normale protezione impostata negli share del server).
Solo se XXXXX = All user posso accedere (tramite ping o browsing) al server come però lo possono fare tutti i i pc presenti in lan , anche se fuori dal dominio, se invece XXXXX = Authenticated oppure XXXXXX="tizio presente nel dominio AD" non riesco ad accedere al server con nessun client.
esempio:
PIPPO = Allow - All outbound traffic - Internal - Local Host - TEST
(TEST=gruppo "prelevato" da AD)
Facendo ping oppure browsing ottengo Denied da Pippo sia per gli utenti che appartengono a TEST che quelli non appartenenti al dominio e non capisco perchè per quelli non appartenenti a TEST venga usato il rule PIPPO.
Come se non funzionasse l'autenticazione per il firewall interno (ho anche installato il firewall client nel client di dominio ma le cose non sono cambiate)
HELPPP 
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 05/06/2007 : 17:58:08
|
Hai un SBS2003?
Luca Conte
MCSE:Security MCT MCSA:Security
Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum
per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. |
 |
|
|
Simone73
New Member
29 Posts |
Posted - 05/06/2007 : 18:06:24
|
| No il mio è Windows Server 2003 std |
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 05/06/2007 : 18:33:56
|
L'installazione di ISA Server su DC, in una configurazione come la tua, non e' supportata; inoltre installandolo su un DC perdi la possibilita' di crearti policy ad-hoc per il tuo ISA ed effettuare un hardering della macchina su cui e' installato. Quindi ti consiglio di installarlo su un Member server.
L'installazione su DC e' supportata ma solo su una forest separata dalla produzione.
Se vuoi proteggere l'accesso alle risorse condivise utilizzi i permessi NTFS e di SHARE, se poi vuoi proteggere l'accesso via rete al tuo DC puoi pensare ad isolare il tuo dominio con IPSec:
http://www.microsoft.com/technet/security/guidance/architectureanddesign/ipsec/default.mspx.
La regola Internal-LocalHost la puoi applicare ma non con autenticazione.
Luca Conte
MCSE:Security MCT MCSA:Security
Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum
per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. |
|
|
|
Simone73
New Member
29 Posts |
Posted - 06/06/2007 : 08:34:21
|
Forse non mi sono spiegato bene, a parte che non ho ben capito perchè la mia configurazione non è supportata (??), quello che non capisco è per quale motivo un rule "Allow" applicato solo all'utente pippo non permette a questo passare mettento un bel denied, mentre se invece di pippo metto "all users" passa tutti, quindi vede la modifica alla condition di isa ma non vede l'autenticazione dell'utente pippo.
Se in condition ho pippo e prova ad accedere l'utente pluto, se non sbaglio, non dovrebbe essergli applicata la regola sopra citata ed invece trovo un denied anche per pluto (mentre mi aspetterei n denied ma dal default rule).
|
|
|
|
IsaCab
Moderator
3807 Posts |
Posted - 06/06/2007 : 09:33:02
|
Ciao Simone,
Tu scrivi:
quote:
Ho un W2003std con funzioni di controllo dominio e Isa
poi aggiungi :
quote:
a parte che non ho ben capito perchè la mia configurazione non è supportata (??),
La risposta e nel post di Luca :
quote:
L'installazione di ISA Server su DC, in una configurazione come la tua, non e' supportata
quote:
Se vuoi proteggere l'accesso alle risorse condivise utilizzi i permessi NTFS e di SHARE, se poi vuoi proteggere l'accesso via rete al tuo DC puoi pensare ad isolare il tuo dominio con IPSec:
http://www.microsoft.com/technet/security/guidance/architectureanddesign/ipsec/default.mspx.
La regola Internal-LocalHost la puoi applicare ma non con autenticazione.
Ciao Giulio
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. |
|
|
|
Simone73
New Member
29 Posts |
Posted - 06/06/2007 : 10:02:26
|
Scusatemi ma non riesco a capire cosa vuol dire "non supportata", non supportata è una configurazione che non funziona, che crea conflitti ed altro (e ne trovereui traccia), non consigliata invece l'accetto e lo condivido (anche se non potevo fare altrimenti).
Quello che gradirei è avere una risposta riguarda al funzionamento dei rule che ho descritto e che non capisco.
Grazie in anticipo :)
|
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 06/06/2007 : 10:09:45
|
Per il tuo problema di accesso allo share sul DC - sempre Deny -, abilita il seguente entry nella System Policy, processata prima della Firewall Policy, di ISA Server:
Firewall client setup - Firewall Client (Access to Firewall Client Share)
Nota: Verifica che sia inclusa la tua rete Internal
Crea una regola che consente traffico DNS fra la tua Internal e LocalHost ad All Users:
Name: DNS
Action: Allow
Protocols: DNS
From: Internal
To: LocalHost
Users: All Users
Non supportata non significa solo che "non funziona" ma anche che è una configurazione che puo' impattare negativamente - es. sicurezza e stabilita' - sul funzionamento generale del server. Per farti una idea considera che Microsoft non supporta ISA Server 2006 virtualizzato in configurazione Edge, mentre invece lo supporta in configurazione Proxy e solo su MS Virtual Server 2005 R2 e non su VMWare Server...Forse perche' non funziona? No.
Leggi qui il mio post sul blog:
http://www.isaserver.it/blog
Se vuoi fare dei test per verificare il corretto funzionamento e configurazione di ISA, creati una regola del tipo:
Name: WEB
Action: Allow
Protocols: HTTP,NNTP
From: Internal
To: External
Users: Authenticated Users*
(*) Accesso consentito solo agli utenti di Dominio.
In modo da avere una Firewall Policy di tre sole regole:
1. DNS
2. WEB
3. Default
Salvi la configurazione, fai il reset delle sessioni, avvia la registrazione e, dal tuo client configurato come WebProxy+Firewall Client, ti connetti ad Internet - es. www.isaserver.it/articoli -.
Se nei log vedi le tue credenziali ed accedi allora ISA opera correttamente con client WebProxy.
Prova ad accedere ad un newsgroup su Internet, se accedi al newsgroup, e vedi che ISA ti traccia allora ISA opera correttamente per il Firewall Client.
In caso contrario ci sono possono essere problemi nella configurazione di ISA.
Luca Conte
MCSE:Security MCT MCSA:Security
Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum
per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. |
|
|
|
Simone73
New Member
29 Posts |
Posted - 06/06/2007 : 11:43:36
|
Allora, ho seguito le indicazioni, per nota la ssystem policy a cui ti riferivi è la 19 corretto?
Con Isa configurato come indicato ottengo che dai client fuori dominio non navigo (come giusto che sia) dai client dentro il dominio navigo ma nel monitoring ottengo :
[da ip]-0-[Server]-8080-http-Denied Connection-Web-anonymous
[da ip]-0-[Server]-8080-http-Failed Conncection Attempt-Web-anonymous
[da ip]-0-[Server]-80-http-Denied Connection-Web-DOMINIO\User
tutte da : internal-external-http://www.google.it/-Web Proxy Filter
come se il tentativo di connettersi al proxy sulla 8080 venga rigettato perchè l'utente è anonimo.
Nelle impostazioni del web proxy del network internal ho selezionato l'autenticazione integrata.
|
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 06/06/2007 : 12:05:36
|
Il client, per prima cosa, prova a connettersi in maniera anonima...se viene bloccato allora si innesca il meccanismo di autenticazione e fornisce le credenziali. Ma il primo tentativo lo fa in maniera anonima.
Luca Conte
MCSE:Security MCT MCSA:Security
Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum
per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. |
|
|
|
Simone73
New Member
29 Posts |
Posted - 06/06/2007 : 13:11:25
|
Quindi, per cercare di "chiudere" il discorso è corretto il monitoring sopra riportato? 
Ora avrei la necessità di far navigare, solo in alcuni siti, i client non appartenenti al dominio.
Ho preso la stessa regola sopra citata per Authenticated Users e ne ho creata una copia per gli utenti "all users" (posizionata sotto) al fine di far passare gli utenti autenticatati dalla prima e gli esterni dalla seconda ed è qui che nasce il problema, l'utente non di dominio trova la prima regola (da applicare teoricamente solo agli "authenticated users") che non dovrebbe essere applicata invece nel monitoring la trovo applicata come anonymous e mi mette un bel denied, in sostanza non va alla seconda regola, ed ulteriore cosa che non comprendo è perchè, se viene applicata quella regola trovo un denied essenso la regola di solo allow.
|
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 06/06/2007 : 15:05:42
|
Sì, prima Anonymous poi Authenticated.
In questo modo non ti funziona!
Devi prima definire i siti di destinazione (URL/Domain Sets), inserirli nella regola - campo TO - e posizionare la regola PRIMA della Authenticated Users, in questo modo hai una firewall rule di questo tipo:
1. DNS:Allow:All Users
2. WEB Limitato:Allow:All Users
3. WEB Illimitato:Allow:Authenticated Users
4. Default:Deny:All Users
Tienici aggiornati..
Luca Conte
MCSE:Security MCT MCSA:Security
Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum
per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. |
|
|
|
Simone73
New Member
29 Posts |
Posted - 06/06/2007 : 17:14:35
|
Capito, facendo così sia l'utente di dominio pippo che uno esterno per andare a navigare in un sito presente nella lista passa attraverso la prima regola (quella di all user) mentre per andare in un sito fuori dalla lista passano attraverso la seconda regola, quella authenticated, percui solo l'utente di dominio potrà accedervi.
Grazie1000
C'è nessuno che ha gli url di microsoft update per comporre la whitelist aperta a tutti ?  |
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 06/06/2007 : 17:40:09
|
Perfetto! Hai colto nel segno...
La lista che permette l'accesso al Microsoft Update e' gia' presente e definita nella System Policy.
Per ulteriori info su White-List e Black-List ti basta fare una ricerca sul forum.
Luca Conte
MCSE:Security MCT MCSA:Security
Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum
per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. |
|
|
|
Simone73
New Member
29 Posts |
Posted - 07/06/2007 : 08:36:34
|
| Grazie tante, non mi dilungo nei complimenti che non sono bravo ma grazie davvero per l'aiuto ! |
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 07/06/2007 : 11:21:00
|
Non ne avevo dubbi! 
Non dimenticare di dire la tua sulla prossima release di ISA Server...aka NITROGEN, funzionalita' che vorresti veder migliorate, potenziata oppure eliminate perche' inutili..questa e' una grande opportunita' che abbiamo per far sentire la nostra voce!
Area dedicata:
http://www.isaserver.it/forum/forum.asp?FORUM_ID=29
Annuncio sul blog:
http://www.isaserver.it/blog/2007/06/isaserverit-parte-dellisa-advisory.html
Buon lavoro con ISAServer.it e se hai un sito Web, allora mettici un bel link
Luca Conte
MCSE:Security MCT MCSA:Security
Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum
per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. |
|
|
| |
Topic |
|
Configurazione Firewall
