No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2006
 ISA 2006 - Installazione e Configurazione
 Regole Firewall
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

andrea321
Starting Member

9 Posts

Posted - 29/12/2007 :  09:51:49  Show Profile  Reply with Quote
Ciao a tutti

Premetto che è la prima volta che installo ISA server, perciò chiedo da subito scusa se la mia domanda è banale, ma non risco a trovare una soluzione:
Sto cercando di configurare le regole del firewall, però non riesco a capire quale sia la logica della loro gestione... mi spiego:

Situazione panoramica PC:
1 DC Server 2003 R2
1 Server 2003 R2 con ISA server 2006 ( e due schede rete)
vari computer del dominio


esiste una regola di default di ISA che nega quasiasi tipo di accesso a quasiasi tipo di utente, e questa regola è solitamente l'ultima dell'elenco.

Io creo una regola: autorizzo "tizio" ad uscire verso internet ... e fin qui tutto bene: dopo aver fatto "applica" l'utente "tizio" naviga.

Poi creo una seconda regola in cui autorizzo "caio" ad uscire verso internet (questo di conseguenza mi fa traslare 'giù' di un posto la regola precedente). Clicco su "applica" e a questo punto "caio" naviga ma l'utente "tizio" NON NAVIGA più...

Se provo a spostare in su di un livello l'utente "tizio" questo riprende a navigare, ma l'utente "caio" smette di navigare....

Funziona SOLO la prima regola che imposto nel firewall e le altre no..??

P.S: mi consigliate un testo dove posso studiare ISA Server..?

Grazie si d'ora a tutti

Buone feste


A.

lconte
Amministratore del Forum

2017 Posts

Posted - 29/12/2007 :  13:22:31  Show Profile  Reply with Quote
*********
Aggiornamento: Il post e' stato corretto perche' contenente informazioni errate. IL post ora e' corretto.
Luca
*********
Ciao Andrea,
se il tipo di traffico che ISA analizza e' lo stesso per entrambe le regole e' normale questo tipo di comportamento.
Consideriamo il seguente esempio dove la Firewall Policy è configurata con due sole regole, Regola 1 e Regola 2, cosi' fatte:
Regola1
Action: Allow
Protocol: HTTP
From: Internal
To: External
Users: Mario Rossi

Regola 2
Action: Allow
Protocol: HTTP
From: Internal
To: External
Users: Paolo Bianchi

Regola 1 dice:
Il traffico HTTP da INTERNAL a EXTERNAL e' CONSENTITO solo a Mario Rossi

Regola 2 dice:
Il traffico HTTP da INTERNAL a EXTERNAL e' CONSENTITO solo a Paolo Bianchi

Nota che prima di tutto ISA deve identificare il traffico e poi leggere la Firewall Policy, dall'alto verso il basso, per trovare una regola che ne controlla il comportamento (Users, Schedule ecc.).

Nel caso di traffico WEB fatto dalla rete INTERNAL a EXTERNALI, ISA prima di tutto identifica il traffico come:
HTTP da INTERNAL a EXTERNAL

a questo punto comincia a leggere la Firewall Policy. Nel nostro caso la firewall Policy e', nell'ordine:
Regola 1
Regola 2


Regola 1 e' la prima regola che ISA incontra che sia applica al traffico che sta analizzando....questa regola verra' processata e ISA Server si ferma qui e NON continua l'elaborazione della Firewall Policy. Cosa dice questa regola?

Il traffico HTTP da INTERNAL a EXTERNAL e' CONSENTITO solo a Mario Rossi

Se Mario Rossi ha generato questo traffico allora passa
(esplicitamente permesso).
Se Paolo Bianchi ha generato questo traffico allora ISA passa alla regola successiva
(questo avviene solo se Paolo Bianchi fornisce le proprie credenziali - es. WebProxy o Firewall Client, NO SecureNAT).


Se invertiamo le regole nella Firewall Policy:
Regola 2
Regola 1


Regola 2 e' la prima regola che ISA incontra che sia applica al traffico che sta analizzando....questa regola verra' processata e ISA Server si ferma qui e NON continua l'elaborazione della Firewall Policy. Cosa dice questa regola?

Il traffico HTTP da INTERNAL a EXTERNAL e' CONSENTITO solo a Paolo Bianchi

Se Mario Rossi ha generato questo traffico allora ISA passa alla regola successiva
(questo avviene solo se Mario Rossi fornisce le proprie credenziali - es. WebProxy o Firewall Client, NO SecureNAT).

Se Paolo Bianchi ha generato questo traffico allora passa
(esplicitamente permesso, solo se Paolo Bianchi fornisce le proprie credenziali - es. WebProxy o Firewall Client, NO SecureNAT).

L'ordine di applicazione delle regole e' fondamentale quando si opera con utenza autenticata e non autenticata. Discriminare su base utente/gruppi e' possibile; l'importante e' che il client sia configurato per fornire le credenziali in caso contrario il traffico e' bloccato.

Un esempio lo puoi trovare anche qui:
http://www.isaserver.it/blog/2007/06/accesso-ad-internet-diversificato.html

Ti consiglio di partecipare ad ISA Server JumpStart che si terra' a partire dai primi mesi del 2008. Sarai comunque aggiornato con la newsletter. Per i partecipanti al JumpStart e' fornito un Workbook (Teoria+Pratica) in italiano su ISA Server 2006.
Se sei interessato puoi ricevere il Workbook anche senza partecipare al JumpStart ma ad un costo maggiore.

Se hai bisogno di altre informazioni puoi scrivermi via mail oppure sul forum


Luca Conte
MCSE:Security MCT MCSA:Security
VMWare VCP

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

andrea321
Starting Member

9 Posts

Posted - 14/01/2008 :  11:28:34  Show Profile  Reply with Quote
Ciao Luca

perdonami se ti rispondo solo oggi, ma sono stato a letto con l'influenza...

Voglio ringraziarti moltissimo per la risposta e soprattutto per la chiarezza con cui hai descritto il funzionamento: mi è stato di enorme aiuto e voglio veramente complimentarmi con te per la professionalità ed ancora per la chiarezza nella spiegazione dei concetti

L'errore che facevo io nello scrivere le policy era di pensarle senza l'uso della parole "solo":

seguendo la falsa riga delle regole che hai riportato:

Regola 1 dice:
Il traffico HTTP da INTERNAL a EXTERNAL e' CONSENTITO solo a Mario Rossi

Regola 2 dice:
Il traffico HTTP da INTERNAL a EXTERNAL e' CONSENTITO solo a Paolo Bianchi


io le intendevo alla stassa maniera, ma senza la parola "SOLO", cioè:

Regola 1 dice:
Il traffico HTTP da INTERNAL a EXTERNAL e' CONSENTITO a Mario Rossi

Regola 2 dice:
Il traffico HTTP da INTERNAL a EXTERNAL e' CONSENTITO a Paolo Bianchi

interpretando cioè che se una non era valida, allora ISA saltava alla seconda e verificava quella e così fino all'ultima in elenco, a prescindere dal traffico che specificavo...

Adesso mi sto allenando a fare delle prove e sembra che tutto funzioni bene.

Ti ringrazio ancora e ci sentiamo presto.

P.S: che cos'è "ISA Server JumpStart"? Sarei interessato ad avere informazioni in più a riguardo.

Ciao e buon lavoro

Go to Top of Page

Fievel1982
New Member

21 Posts

Posted - 14/01/2008 :  13:09:52  Show Profile  Reply with Quote
Ciao Luca,

6 veramente sicuro che ISA interpreti le regole in questo modo?! Io ho circa 20 gruppi di AD abilitati a navigare e ognuno naviga con una sua regola specifica, l'unico parametro che differisce fra le varie regole è il campo USERS in cui c'è un gruppo diverso per ogni gruppo di AD, x il resto le regole sono tutte:

Action: Allow
Protocol: HTTP, ecc...
From: Internal
To: External

PS: la mia installazione di ISA è con single network adapter.

Ciao + Grazie
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/01/2008 :  15:08:41  Show Profile  Reply with Quote
In una single network adapter non hai network External ma solo Internal e le regole devono essere del tipo
From: Internal
To: Internal



Luca Conte
MCSE:Security MCT MCSA:Security
VMWare VCP

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

Fievel1982
New Member

21 Posts

Posted - 14/01/2008 :  15:18:18  Show Profile  Reply with Quote
Ciao Luca,

credo ke ci sia qualche concetto ke mi sfugge... io ho la configurazione con Single network adapter, ma ho anke l'oggetto di rete "external" al quale devo fare riferimento nelle regole firewall altrimenti nessun elemento della mia LAN riuscirebbe a navigare.

Please dimmi se e dove sto sbagliando qualcosa!

Ciao + Grazie
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/01/2008 :  16:43:17  Show Profile  Reply with Quote
Puoi leggere qui:
http://www.microsoft.com/technet/isa/2004/plan/single_adapter.mspx

se hai qualche dubbio apri un nuovo thread..

Luca Conte
MCSE:Security MCT MCSA:Security
VMWare VCP

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 14/01/2008 :  16:47:38  Show Profile  Reply with Quote
Per Andrea,
Il JumpStart e' una due giorni interamente dedicati a ISA Server. Puoi farti una idea leggendo qui - http://www.isaserver.it/blog/2007/09/isa-server-jumpstart-3031-ottobre-re.html - ed anche qui - http://www.isaserver.it/forum/forum.asp?FORUM_ID=18.

Per il 2008 sono previste interessanti novita'. sarai aggiornato con la newsletter di ISAServer.it

Luca Conte
MCSE:Security MCT MCSA:Security
VMWare VCP

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

andrea321
Starting Member

9 Posts

Posted - 18/01/2008 :  11:59:46  Show Profile  Reply with Quote
Ciao Luca

perdonami se ti chiedo ancora aiuto, ma mi sto "impantanado"...

L'obiettivo mio finale è quello di gestire l'accesso ad internet in maniera capillare e cioè:

ho circa 200 utenti che sono raggruppati in una decina di gruppi...

Io ho bisogno di gestire il loro accesso ad internet in questo modo:

-) devo avere la possibilità di consentire a: "utente 01", "gruppo 02","gruppo 08" di uscire in internet;

-) devo avere la possibilità di consentire ANCHE a: "utente 02" e "gruppo 01" di uscire in internet;

-) devo avere la possibilità di bloccare (magari dopo un'ora di utilizzo o altro) a:"utente01" e "gruppo 01" l'uscita in internet..

Ogni tanto, inoltre, mi servirebbe avere un log di un particolare utente (ad esempiop l'utente 96) di quello che ha fatto nell'ultima settimana (o mese)... (ho dato un'occhiata in ISA su 'monitoraggio' -> 'sessioni' ma vedo che gli utenti loggati che stanno navigando sono riconosciti da ISA come "anonymous"... dove sbaglio?

P.S: se mi mandi a quel paese non posso darti torto :D :D

In attesa dello StarterJump, hai qualche testo da consigliarmi..?

Grazie ancora Luca

P.S: la configurazione è sempre

1 DC Win2003 server con AD ( ... qui c'è anche il DNS attivo)
1 Win2003 server con ISA 2006 e due schede rete (una IP LAN interna e l'altra per uscire in internet) che fa parte del dominio
50 client XP circa

P.S: domanda che forse può far "cascare il palco" ... ho visto che esiste il "windows firewall client".exe ... : a cosa serve? lo devo installare su tutti i client? Lo devo installare anche sul DC? Lo devo configurare...come?

Grazie ancora per tutto l'aiuto

ciao e buon fine settimana

A.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 18/01/2008 :  15:29:19  Show Profile  Reply with Quote
Ciao Andrea,

quote:
Io ho bisogno di gestire il loro accesso ad internet in questo modo:

-) devo avere la possibilità di consentire a: "utente 01", "gruppo 02","gruppo 08" di uscire in internet;

-) devo avere la possibilità di consentire ANCHE a: "utente 02" e "gruppo 01" di uscire in internet;

Nessun problema, ti basta creare una access rule per il traffico http/https per i gruppi interessati. Chiaramente diamo perscontato che ISA sia un server membro di AD.


quote:
Ogni tanto, inoltre, mi servirebbe avere un log di un particolare utente (ad esempiop l'utente 96) di quello che ha fatto nell'ultima settimana (o mese)... (ho dato un'occhiata in ISA su 'monitoraggio' -> 'sessioni' ma vedo che gli utenti loggati che stanno navigando sono riconosciti da ISA come "anonymous"... dove sbaglio?

I posti migliori per recuperare queste informazioni sono :

1) Log di ISA
2) Report (che vengono alimentati dai LOG)

Nella sezione articoli trovi un po' di materiale a riguardo.

Per il discorso anonymous è necessario fare una considerazione :

il browser tenta prima una connessione in anonymouse, se non è possibile allora cerca di autenticare.

Quindi verifica per bene le access rule e ricordati che sono sequenziali.


quote:
ho visto che esiste il "windows firewall client".exe ... : a cosa serve? lo devo installare su tutti i client?

Dipende da come hai configurato ISA. Tu dici di avere ISA con due schede di rete ma di averlo configurato il single nic.....


In single nic, non ti serve a nulla. Diversamente è preferibile installarlo.

quote:
Lo devo installare anche sul DC?

Assolutamente no. Su nessun server.

Se vuoi avere le basi su come ISA vede i client, nella seziona articoli trovi un documento che descrive i tre tipi di client :

1) SecureNat
2) WebProxy
3) Firewall Client

Ciao Giulio



Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 18/01/2008 :  16:08:16  Show Profile  Reply with Quote
Se hai bisogno di bloccare gli utenti con criteri a tempo dinamici - es. dopo 1ora di navigazione - allora ti occorrono strumenti terze parti che si integrano con ISA.



Luca Conte
MCSE:Security MCT MCSA:Security
VMWare VCP

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 18/01/2008 :  21:02:47  Show Profile  Reply with Quote
Ciao Andrea,
ho modificato e corretto il post dove descrivo l'elaborazione della Firewall Policy.
A volte la fretta fa brutti scherzi...Sorry!

Se hai dubbi scrivi pure sul forum


Luca Conte
MCSE:Security MCT MCSA:Security
VMWare VCP

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

andrea321
Starting Member

9 Posts

Posted - 22/01/2008 :  12:54:34  Show Profile  Reply with Quote
Ciao a tutti

voglio ringraziare innanzitutto Giulio e Luca per l'aiuto che mi stanno fornendo.

Ho trovato molti spunti nella zona "articoli": e mi sono accorto che:

-) avevo inserito il gateway (puntandolo al server ISA) nelle proprietà delle schede rete dei client ... => adesso l'ho tolto

-) non avevo configurato nei vari explorer (dei vari client) le impostazioni che mi facevano puntare al Server isa per l'autenticazione come "proxy web" ... => fatto: adesso puntano al server ISA con la porta 8080 ( ... più precisamente ho impostato nelle policy utente di dominio che quando un utente si logga nei client e lancia l'explorer vada a caricarsi queste impostazioni)


-) ho notato che non posso creare in ISA dei gruppi di utenti con delle procedure troppo "contorte" e cioè:

quando in ISA creo un gruppo di utenti non posso al suo interno aggiungere un "gruppo" di Active Directory del server principale (anche se ho tutte le sue caratteristiche visibili) ma lo devo creare andandoci ad aggiungere i vari utenti dall'AD singolarmente... così funziona

Adesso mi "sbizzarrisco" un po' e spero di arrivare alla configurazione (e prima ancora all'assimilazione da parte mia del funzionamento di ISA) ottimale per la mia rete.

Grazie ancora e buon lavoro

A.

P.S: credo che comunque posterò ancora problemi futuri :)

P.S2: vedo che nel monitoraggio del traffico mi fa ancora degli accessi "anonymous" dagli stessi PC dove vedo anche un accesso autenticato proxy Web ... e in qualcuno mi fa anche la SecureNAT... perchè??

grazie ancora e buona giornata

Ciaoo

A.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 22/01/2008 :  13:13:21  Show Profile  Reply with Quote
Ciao andrea,

quote:
quando in ISA creo un gruppo di utenti non posso al suo interno aggiungere un "gruppo" di Active Directory del server principale (anche se ho tutte le sue caratteristiche visibili) ma lo devo creare andandoci ad aggiungere i vari utenti dall'AD singolarmente... così funziona

Scusami ma non ho capito molto bene. In isa puoi creare un gruppo che contiene a sua volta un gruppo utenti di AD.

Gli utenti che fanno parte del gruppo di AD sono presenti nel gruppo di ISA che legge il gruppo di AD. (Ragionamento un po' contorto, perdonami :-))

quote:
vedo che nel monitoraggio del traffico mi fa ancora degli accessi "anonymous" dagli stessi PC dove vedo anche un accesso autenticato proxy Web

Questo è normale perchè il browser tenta prima una connessione anonima e se viene rifiutata riprova con l'autenticazione.

quote:
qualcuno mi fa anche la SecureNAT... perchè

Ti è sfuggito qualcosa ?? :-)


Luca ha scritto un post sul blog molto interessante proprio in meito a questo post.

http://www.isaserver.it/blog/2008/01/come-isa-server-20062004-elabora-la.html

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

andrea321
Starting Member

9 Posts

Posted - 25/01/2008 :  10:08:28  Show Profile  Reply with Quote
Ciao Giulio

voglio sempre ringraziare te e tutte le persone che come te sono un aiuto preziosissimo per chi non ha dimestichezza con questo software.

In questi giorni (tra una pausa e l'altra) sto facendo prove con la configurazione del programma, e sto avendo dei risultati discretamete positivi

Ti confermo quello che mi hai detto e cioè che per quanto riguarda i gruppi, ISA legge quelli di AD: ho fatto delle prove a riguardo e funziona (non so perchè non mi sia funzionato già con i primi tentativi, ma dopo aver cancellato e rifatto i gruppi di utenti pescandoli direttamente dai gruppi di AD, tutto funziona)

Adesso sto cercando di capire perchè i client mi generano del traffico SecureNAT ... ho tolto (come descritto dagli articoli nel sito che mi hai consigliato) il Gateway dalle proprietà della scheda rete dei client, ma me lo ritrovo ancora ... credo che mi sia sfuggito ancora qualcosa , ma non so bene ancora cosa ... ma non mollo ;)



E poi mi devo buttare sul capire come impostare le query e cioè:

dovrei avere la possibilità di vedere su quali siti il giorno "tot" l'user "tizio" ha navigato; sto facendo delle prove su 'monitoraggio'=>'rapporti' per vedere se riesco a fare qualcosa..

Ciao a tutti e un grazie enorme ancora per tutto l'aiuto.


Buon fine settimana

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 25/01/2008 :  10:34:40  Show Profile  Reply with Quote
Ciao Andrea,

quote:
voglio sempre ringraziare te e tutte le persone che come te sono un aiuto preziosissimo per chi non ha dimestichezza con questo software.

Figurati è un piacere e credo di poter parlare a nome di tutti :-)

quote:
Adesso sto cercando di capire perchè i client mi generano del traffico SecureNAT ...


Per prima cosa cerca di capire di che traffico stiamo parlando :

1) Http/http/ftp
2) Altro (Es. smtp, pop3,......)

Da dove vedi che si tratta di securenat ?

quote:
dovrei avere la possibilità di vedere su quali siti il giorno "tot" l'user "tizio" ha navigato; sto facendo delle prove su 'monitoraggio'=>'rapporti' per vedere se riesco a fare qualcosa..

Qui hai due strade, percorribili entrambe.

1) Usa i report di ISA, che vengono alimentati dai log e sono davvero ben fatti.

2) Nella sezione articoli trovi diversi articoli che spiegano come buttare i log su un server SQL. Da li poi puoi usare la MMC di SQL server o scriverti un programmino che ti verticalizzi i risultati.

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

andrea321
Starting Member

9 Posts

Posted - 25/01/2008 :  13:11:58  Show Profile  Reply with Quote
Ciao Giulio


quote:
Adesso sto cercando di capire perchè i client mi generano del traffico SecureNAT ...


Per prima cosa cerca di capire di che traffico stiamo parlando :

1) Http/http/ftp
2) Altro (Es. smtp, pop3,......)

Da dove vedi che si tratta di securenat ?


Vedo che è traffico secureNat da: "monitoraggio"=>"Sessioni" nella colonna "tipo di sessione" ...



quote:
dovrei avere la possibilità di vedere su quali siti il giorno "tot" l'user "tizio" ha navigato; sto facendo delle prove su 'monitoraggio'=>'rapporti' per vedere se riesco a fare qualcosa..

Qui hai due strade, percorribili entrambe.

1) Usa i report di ISA, che vengono alimentati dai log e sono davvero ben fatti.

2) Nella sezione articoli trovi diversi articoli che spiegano come buttare i log su un server SQL. Da li poi puoi usare la MMC di SQL server o scriverti un programmino che ti verticalizzi i risultati.

Ciao Giulio





Credo di iniziare con l'usare i Report di ISA, credo sia la strada (per me) più semplice... ne ho creati alcuni di prova, ma per ora non sono riuscito a trovare la possibilità di vedere il traffico generato in base all'utente; o per lo meno vedo che tizio ha fatto un tot di traffico http, ma non mi dice dove, e poi vedo che il sito www.libero.it è stato uno dei siti più visitati, ma non mi specifica da che utente.... tra oggi e la prossima settimana riprovo ancora... leggerò comunque gli articoli che descrivono come alimentare SQL con i log e di conseguenza come visualizzarli con la MMC...

Ti (e vi) auguro uno splendido week end

ciao Giulio

grazie ancora


A.

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 25/01/2008 :  13:27:25  Show Profile  Reply with Quote
Ciao Andrea,

una sola cortesia, usa corretamente il quote, altrimenti non si capisce cosa scrivi tu e cosa invece hanno scritto altri.


Detto questo :

quote:
vedere il traffico generato in base all'utente


E report, sono dei riepologhi, quindi più orientati alle statistiche.

Ad esempio puoi vedere chi è l'utente che usa di più internet.

Se invece vuoi un dettaglio dei siti visitati da un utente, la strada resta quella dei log.


Nel frattempo che analizzi il discorso SQL server, puoi usare la MMC di ISA.

Nel TAB Monitor->logging, hai la possibilità di editare i filtri e di crearti delle query specifiche anche dei giorni passati tramite il campo LogTime che di default è impostato su LIVE, ma se lo editi puoi modificarlo.


quote:
Ti (e vi) auguro uno splendido week end

Grazie ricambio di cuore l'augurio.


Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

andrea321
Starting Member

9 Posts

Posted - 30/01/2008 :  11:45:48  Show Profile  Reply with Quote
Ciao a tutti

Continuo ad utilizzare ISA e pian piano sto avendo dei buoni risultati, e questo soprattutto grazie ai preziosissimi aiuti che ricevo qui nel forum.

Adesso mi sto addentrando nell'utilizzo di SQL Expres per la gestione dei Log di ISA, così che posso avere un database delle attività che i vari utenti fanno dell'accesso ad Internet.

Sto leggendo e seguendo passo-passo gli articoli in merito al "collegamento" di ISA con i RDBMS di SQL Express 2005. Scaricato, installato l'SQL (all'inizio ho avuto problemi di interfaccia, nel senso che avevo scaricato SQL, ma mi mancava di scaricare tutta la parte di "Management Studio Expres" (per esteso: non ho mai utilizzato un DB, ma sto iniziando un corso... )

Scaricato questo pacchetto, ho impostato il nuovo DB e sembra funzionare.

Mi sono però fermato nell'ultima parte dell'articolo (- ISA Server 2006/2004-Logging con SQL Server 2005 Express) che in teoria era la più semplice, quella in cui dovevo "alimentare" di dati il DB dalla MMC di ISA ... ma non ci riesco... mi manca qualcosa... e non so cosa...

per esteso: sono arrivato a configurare il database, poi, mi sono apprestato ad eseguire ISA.

Seguendo le indicazioni:
"Configurazione Log ISA Server
Questa parte, come tutto quello che riguarda ISA 2004/2006 è la più semplice..... "
Nella parte di ISA "Monitor > Logging > Task" non trovo il "Selezioniamo: Configure <Area Logging>" ... e mi sono impantanato... (non riesco a visualizzare questa schermata: http://www.isaserver.it/images/gm06/ISA1.jpg)

Non so se può influire: io ho installato la versione Standard di ISA 2006 ...

Grazie ancora per l'enorme ed importante aiuto che mi state dando e vi auguro una splendida giornata

Ciao

A.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 30/01/2008 :  11:55:09  Show Profile  Reply with Quote
Ciao Andrea,

quote:
Seguendo le indicazioni:
"Configurazione Log ISA Server
Questa parte, come tutto quello che riguarda ISA 2004/2006 è la più semplice..... "
Nella parte di ISA "Monitor > Logging > Task" non trovo il "Selezioniamo: Configure <Area Logging>" ... e mi sono impantanato... (non riesco a visualizzare questa schermata: http://www.isaserver.it/images/gm06/ISA1.jpg)


Le voci che ti interessano sono :

Configure Firewall Logging
Configure Web Proxy Logging

E fino a qui e identico al 2004.

Nel 2006, per configurare i dati del server SQL devi :

1) selezionare SQL Data Base
2) Selezionare Option

Ciao Giulio


Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association