No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2006
 ISA 2006 - Installazione e Configurazione
 Configurazione Firewall
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

Simone73
New Member

29 Posts

Posted - 05/06/2007 :  16:36:10  Show Profile  Reply with Quote
Innanzi tutto un salutone a tutti essendo questo il mio primo post in questo forum, in secondo luogo i miei problemi (mi limiteri a quelli informatici).
Ho un W2003std con funzioni di controllo dominio e Isa per le connessioni internet. Un firewall hw che traduce ip wan in ip interno lan e server con gateway che punta all'inidirizzo interno del firewall.
Cos dovrei far passare tutti i client attraverso l'isa e poterne loggare il traffico oltre che abilitare o meno restrizioni di navigazione.
Vorrei anche limitare/proteggiere il traffico e i client interni lan in quanto capita spesso di dover connettere pc di professionisti esterni alla nostra lan e vorrei proteggiere maggiormente il server con un rule specifico nelle firewall policy di isa (enterprise).

Il problema che non riesco a risolvere che il rule creato :
Allow - All outbound traffic - Internal - Local Host - XXXXX
Internal=classe di ip interni lan
vorrei far accedere al local host (che il server isa e dc) solo i membri appartenenti al dominio (come garanzia aggiuntiva alla normale protezione impostata negli share del server).
Solo se XXXXX = All user posso accedere (tramite ping o browsing) al server come per lo possono fare tutti i i pc presenti in lan , anche se fuori dal dominio, se invece XXXXX = Authenticated oppure XXXXXX="tizio presente nel dominio AD" non riesco ad accedere al server con nessun client.

esempio:
PIPPO = Allow - All outbound traffic - Internal - Local Host - TEST
(TEST=gruppo "prelevato" da AD)
Facendo ping oppure browsing ottengo Denied da Pippo sia per gli utenti che appartengono a TEST che quelli non appartenenti al dominio e non capisco perch per quelli non appartenenti a TEST venga usato il rule PIPPO.

Come se non funzionasse l'autenticazione per il firewall interno (ho anche installato il firewall client nel client di dominio ma le cose non sono cambiate)

HELPPP

lconte
Amministratore del Forum

2017 Posts

Posted - 05/06/2007 :  17:58:08  Show Profile  Reply with Quote
Hai un SBS2003?

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

Simone73
New Member

29 Posts

Posted - 05/06/2007 :  18:06:24  Show Profile  Reply with Quote
No il mio Windows Server 2003 std
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 05/06/2007 :  18:33:56  Show Profile  Reply with Quote
L'installazione di ISA Server su DC, in una configurazione come la tua, non e' supportata; inoltre installandolo su un DC perdi la possibilita' di crearti policy ad-hoc per il tuo ISA ed effettuare un hardering della macchina su cui e' installato. Quindi ti consiglio di installarlo su un Member server.
L'installazione su DC e' supportata ma solo su una forest separata dalla produzione.
Se vuoi proteggere l'accesso alle risorse condivise utilizzi i permessi NTFS e di SHARE, se poi vuoi proteggere l'accesso via rete al tuo DC puoi pensare ad isolare il tuo dominio con IPSec:
http://www.microsoft.com/technet/security/guidance/architectureanddesign/ipsec/default.mspx.
La regola Internal-LocalHost la puoi applicare ma non con autenticazione.

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

Simone73
New Member

29 Posts

Posted - 06/06/2007 :  08:34:21  Show Profile  Reply with Quote
Forse non mi sono spiegato bene, a parte che non ho ben capito perch la mia configurazione non supportata (??), quello che non capisco per quale motivo un rule "Allow" applicato solo all'utente pippo non permette a questo passare mettento un bel denied, mentre se invece di pippo metto "all users" passa tutti, quindi vede la modifica alla condition di isa ma non vede l'autenticazione dell'utente pippo.
Se in condition ho pippo e prova ad accedere l'utente pluto, se non sbaglio, non dovrebbe essergli applicata la regola sopra citata ed invece trovo un denied anche per pluto (mentre mi aspetterei n denied ma dal default rule).
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 06/06/2007 :  09:33:02  Show Profile  Reply with Quote
Ciao Simone,

Tu scrivi:

quote:
Ho un W2003std con funzioni di controllo dominio e Isa


poi aggiungi :

quote:
a parte che non ho ben capito perch la mia configurazione non supportata (??),


La risposta e nel post di Luca :

quote:
L'installazione di ISA Server su DC, in una configurazione come la tua, non e' supportata


quote:
Se vuoi proteggere l'accesso alle risorse condivise utilizzi i permessi NTFS e di SHARE, se poi vuoi proteggere l'accesso via rete al tuo DC puoi pensare ad isolare il tuo dominio con IPSec:
http://www.microsoft.com/technet/security/guidance/architectureanddesign/ipsec/default.mspx.
La regola Internal-LocalHost la puoi applicare ma non con autenticazione.




Ciao Giulio

Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

Simone73
New Member

29 Posts

Posted - 06/06/2007 :  10:02:26  Show Profile  Reply with Quote
Scusatemi ma non riesco a capire cosa vuol dire "non supportata", non supportata una configurazione che non funziona, che crea conflitti ed altro (e ne trovereui traccia), non consigliata invece l'accetto e lo condivido (anche se non potevo fare altrimenti).

Quello che gradirei avere una risposta riguarda al funzionamento dei rule che ho descritto e che non capisco.

Grazie in anticipo :)
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 06/06/2007 :  10:09:45  Show Profile  Reply with Quote
Per il tuo problema di accesso allo share sul DC - sempre Deny -, abilita il seguente entry nella System Policy, processata prima della Firewall Policy, di ISA Server:
Firewall client setup - Firewall Client (Access to Firewall Client Share)

Nota: Verifica che sia inclusa la tua rete Internal

Crea una regola che consente traffico DNS fra la tua Internal e LocalHost ad All Users:

Name: DNS
Action: Allow
Protocols: DNS
From: Internal
To: LocalHost
Users: All Users

Non supportata non significa solo che "non funziona" ma anche che una configurazione che puo' impattare negativamente - es. sicurezza e stabilita' - sul funzionamento generale del server. Per farti una idea considera che Microsoft non supporta ISA Server 2006 virtualizzato in configurazione Edge, mentre invece lo supporta in configurazione Proxy e solo su MS Virtual Server 2005 R2 e non su VMWare Server...Forse perche' non funziona? No.
Leggi qui il mio post sul blog:
http://www.isaserver.it/blog

Se vuoi fare dei test per verificare il corretto funzionamento e configurazione di ISA, creati una regola del tipo:

Name: WEB
Action: Allow
Protocols: HTTP,NNTP
From: Internal
To: External
Users: Authenticated Users*

(*) Accesso consentito solo agli utenti di Dominio.

In modo da avere una Firewall Policy di tre sole regole:
1. DNS
2. WEB
3. Default

Salvi la configurazione, fai il reset delle sessioni, avvia la registrazione e, dal tuo client configurato come WebProxy+Firewall Client, ti connetti ad Internet - es. www.isaserver.it/articoli -.

Se nei log vedi le tue credenziali ed accedi allora ISA opera correttamente con client WebProxy.

Prova ad accedere ad un newsgroup su Internet, se accedi al newsgroup, e vedi che ISA ti traccia allora ISA opera correttamente per il Firewall Client.

In caso contrario ci sono possono essere problemi nella configurazione di ISA.

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

Simone73
New Member

29 Posts

Posted - 06/06/2007 :  11:43:36  Show Profile  Reply with Quote
Allora, ho seguito le indicazioni, per nota la ssystem policy a cui ti riferivi la 19 corretto?
Con Isa configurato come indicato ottengo che dai client fuori dominio non navigo (come giusto che sia) dai client dentro il dominio navigo ma nel monitoring ottengo :
[da ip]-0-[Server]-8080-http-Denied Connection-Web-anonymous
[da ip]-0-[Server]-8080-http-Failed Conncection Attempt-Web-anonymous
[da ip]-0-[Server]-80-http-Denied Connection-Web-DOMINIO\User
tutte da : internal-external-http://www.google.it/-Web Proxy Filter

come se il tentativo di connettersi al proxy sulla 8080 venga rigettato perch l'utente anonimo.
Nelle impostazioni del web proxy del network internal ho selezionato l'autenticazione integrata.
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 06/06/2007 :  12:05:36  Show Profile  Reply with Quote
Il client, per prima cosa, prova a connettersi in maniera anonima...se viene bloccato allora si innesca il meccanismo di autenticazione e fornisce le credenziali. Ma il primo tentativo lo fa in maniera anonima.

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

Simone73
New Member

29 Posts

Posted - 06/06/2007 :  13:11:25  Show Profile  Reply with Quote
Quindi, per cercare di "chiudere" il discorso corretto il monitoring sopra riportato?

Ora avrei la necessit di far navigare, solo in alcuni siti, i client non appartenenti al dominio.

Ho preso la stessa regola sopra citata per Authenticated Users e ne ho creata una copia per gli utenti "all users" (posizionata sotto) al fine di far passare gli utenti autenticatati dalla prima e gli esterni dalla seconda ed qui che nasce il problema, l'utente non di dominio trova la prima regola (da applicare teoricamente solo agli "authenticated users") che non dovrebbe essere applicata invece nel monitoring la trovo applicata come anonymous e mi mette un bel denied, in sostanza non va alla seconda regola, ed ulteriore cosa che non comprendo perch, se viene applicata quella regola trovo un denied essenso la regola di solo allow.
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 06/06/2007 :  15:05:42  Show Profile  Reply with Quote
S, prima Anonymous poi Authenticated.

In questo modo non ti funziona!
Devi prima definire i siti di destinazione (URL/Domain Sets), inserirli nella regola - campo TO - e posizionare la regola PRIMA della Authenticated Users, in questo modo hai una firewall rule di questo tipo:

1. DNS:Allow:All Users
2. WEB Limitato:Allow:All Users
3. WEB Illimitato:Allow:Authenticated Users
4. Default:Deny:All Users

Tienici aggiornati..

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

Simone73
New Member

29 Posts

Posted - 06/06/2007 :  17:14:35  Show Profile  Reply with Quote
Capito, facendo cos sia l'utente di dominio pippo che uno esterno per andare a navigare in un sito presente nella lista passa attraverso la prima regola (quella di all user) mentre per andare in un sito fuori dalla lista passano attraverso la seconda regola, quella authenticated, percui solo l'utente di dominio potr accedervi.
Grazie1000

C' nessuno che ha gli url di microsoft update per comporre la whitelist aperta a tutti ?
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 06/06/2007 :  17:40:09  Show Profile  Reply with Quote
Perfetto! Hai colto nel segno...

La lista che permette l'accesso al Microsoft Update e' gia' presente e definita nella System Policy.

Per ulteriori info su White-List e Black-List ti basta fare una ricerca sul forum.

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

Simone73
New Member

29 Posts

Posted - 07/06/2007 :  08:36:34  Show Profile  Reply with Quote
Grazie tante, non mi dilungo nei complimenti che non sono bravo ma grazie davvero per l'aiuto !
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 07/06/2007 :  11:21:00  Show Profile  Reply with Quote
Non ne avevo dubbi!

Non dimenticare di dire la tua sulla prossima release di ISA Server...aka NITROGEN, funzionalita' che vorresti veder migliorate, potenziata oppure eliminate perche' inutili..questa e' una grande opportunita' che abbiamo per far sentire la nostra voce!
Area dedicata:
http://www.isaserver.it/forum/forum.asp?FORUM_ID=29
Annuncio sul blog:
http://www.isaserver.it/blog/2007/06/isaserverit-parte-dellisa-advisory.html

Buon lavoro con ISAServer.it e se hai un sito Web, allora mettici un bel link


Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso pi efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it  parte del network GITCA - Global IT Community Association