» MS ISA Server (часть 1)

Cuba
Просто, когда я на днях тестил 6-ю верисю - там была возможность ограничить
максимальный размер скачиваемых по http/ftp файлов.
А вот то же для конкретных пользователей... не видел,
хотя тут, имхо, можно справиться общим ограничением траффика.
Мне в этой роли больше нравятся SurfControl SuperScout и TrafficFilter.

abzac
В смысле специально?
ISA дает базу: прокси+файрвол+нат+..., а остальные удобства навешиваются фильтрами/плагинами.
А что касается 2004, то, по крайней мере в просмотренной мною бетке такого
тоже не было... да и вообще 2004 перестала работать в режиме прокси -
оставили только файрвол и перешли на vpn.

JcVai
самому написать что ли фильтр (если знать как), проверяешь размер файла - если нормальный пропускаешь, если больше то резать.

У кого есть опыт или это уже в другую тему?

abzac
Если бы еще можно было ограничивать размер по типам файлов - была бы мечта А gfi, как и languard, полноценно ограничивает только для всех типов и всех destinations, и то только полноценно по http.

Cuba
Нет, там ограничение на любые файлы.
Наиболее близкое вам - SurfControl SS: там можно разграничивать общее количество
трафика по типам файлов и адресам хостов на день.
Т.е. сказать, что таким то юзерам за день можно слить только 10Мб mp3-шек.


abzac
Посмотри в каталоге SDK инсталляционного пакета ISA-ы.

PS:
1. Не вижу смысла в таких ограничениях.
Если человек не может слить 100-метровый файл,
но сливает сотню 50-метровых...
2. Полноценно ограничить нельзя, поскольку не все сервера при запросе объекта передают его размер.

JcVai

Цитата:

Нет, там ограничение на любые файлы.
Наиболее близкое вам - SurfControl SS: там можно разграничивать общее количество
трафика по типам файлов и адресам хостов на день.
Т.е. сказать, что таким то юзерам за день можно слить только 10Мб mp3-шек.

Ну тогда мне не подходит
У меня по пользователям иса не работает и если и работает то с глюками.
У меня по айпи всё распределяется.

JcVai

Цитата:

1. Не вижу смысла в таких ограничениях.
Если человек не может слить 100-метровый файл,
но сливает сотню 50-метровых...
2. Полноценно ограничить нельзя, поскольку не все сервера при запросе объекта передают его размер.

1. ну это еще время надо найти, чтобы найти 100 других файлов
2. ну пускай ограничивает хоть, то о чем говоряет ему, а для
*.mp3, *.zip, *.rar, *.avi - если не знаем размер файла - можно и запретить вовсе
ясно что это не панацея, но хоть какая-то грабля, а еще лучше если качает скажем файло за 5 метров, то резко сбрасываем скорось скачки после этих 5ти метров, например, раз в 10-20.

Добавлено
нашел SDK, завтра посмотрю чего там

Cuba
Посмотри все-таки... он еще и по хостам/IP/MAC раздавать может.

abzac
А смысл. Если у человека выделено анлим на сервера, необходимые по работе
и 5Мб в сутки на прочие (SC SS это умеет), то никуда он не залезет
и ничего лишнего не сольет.

JcVai
когда то баловался SuperScout в основном для отчетов и блокирования сайтов, а как ты в нем ограничиваешь трафик и какая версия?

abzac
Ограничения через правило THRESHOLD, версия 4.5.1.31

Привет значится всем!

ISA CE integrated.

Вопрос по bandwidth rules ISA.

Значит создаю эти самые правила: себе ставлю 200, студенту 20. (группы беруться из AD). Затем запускаю закачку файла под студентом (скорость у него 14 кб/сек), потом запускаю на другом компе закачку под собой. И что интерестно скорость у студента падает всего до 12, а у меня становиться 4-6?

Где грабли?

З.Ы. Ehable bandwidth speed Control стоит. Эффективная скорость указана 16 Kbit/Sec (у меня подключение по ISDN, 2 бетта канала по 64).

Вопрос всем:
есть в локальной сети прога, ей нужно вылезти в инет. Файервол не пускает. Как мне в логах посмотреть куда она ломиться? В каких файлах? Всё посмотрел нигде нету Blocked

vvnu
Ненаю у меня насчет етих бандвиз рулзов не оч приятные впечатления:
Перепробывал самые разные соотношения значений - резалт практически один,
да ишо в любом случае при енейбленных рулзах иса тормозит нещадно

Cuba
Мне думается, что нету в логах у тебя Blocked, потому что логи так настроены облегчённо, например это могло было быть сделано для совместимости с каким-нибудь проксиинспектором.

skylined

Цитата:

насчет етих бандвиз рулзов не оч приятные впечатления

Я хорошо продумал для своей сетки эту систему, даже может быть сильно наворотил, и кажется всё без проблем, (разве только isa стоит на двухпроцовом бренде так что никакие напряги незаметны вообще)

Gipro

Цитата:

Мне думается, что нету в логах у тебя Blocked, потому что логи так настроены облегчённо, например это могло было быть сделано для совместимости с каким-нибудь проксиинспектором.

Я ничего не настраивал.. там всё сейчас по умолчанию стоит.

Посоветуйте, стоит ли связываться с ИСА Сервером, или проще оставить как есть отдельно прокси, почтовик и фаервол?

gorg

стОит,. Альтернативы нет. Все другие продукты настолько гавенее,. простите. ну еще добавлю ИМХО,. + родной МС-кий продукт всегда работал лучше, чем альтернативные,. + возможности работы с АД. да и простая она ИСА как дуб-веник, да и какой-никакой а билинг сделан,. вообщем это довольно мощный и гибкий софт,. сравнительно,. ибо лучше нет. ИМХО

а если хочешь нормальный файрволл - используй БСД.

Цитата:

В логах появляется Anonymous

Anonymous появляется, когда клиент использует HTTP 1.1. В этом случае в одной HTTP
session может быть передано несколько файлов, и для второго и последующих ISA и пишет пользователем Anonymous. Избавиться от этого трудно, надо или запрещать
HTTP 1.1 у клиентов, или анализатор логов по предыдущим запросам должен определять,
кто открыл HTTP сессию

Цитата:

Избавиться от этого трудно, надо или запрещать HTTP 1.1 у клиентов

Каким образом?

Refugee
Если доступ для Anonymous не разрешен, то дальше логов он не проходит, т.е. анонимусом ничего не качается и в отчетах на него можно забить, просто вычеркнуть. Проверь трафик у прова на сайте статистики и трафик по отчетам ISA, оди будут примерно равны как раз если выкинуть анонимуса, т.е. не обращать на него внимание в отчетах.

skylined
Не забудь, что там не выставление скорости, а просто расстановка приоритетов.

Cuba
Поставь файрвол-клиент, настрой и будут тебе логи.

gorg

Цитата:

проще оставить как есть отдельно прокси, почтовик и фаервол?

Не проще, но лучше именно так: чем больше разделение функций, тем надежнее.
В оригинале, если у тебя сейчас на это выделены 3 сервера, сделать:
1. Почтовик
2. ISA в integrated mode
3. ISA в firewall mode (сервер не вводить в домен).

Refugee

Цитата:

Anonymous появляется, когда клиент использует HTTP 1.1

"Откуда дровишки"? (источник плиз)
У меня анонимных закачек нет - только запросы и обламывающие ответы isa.

DarthVader
HTTP в браузере IE отключается в свойствах-дополнительно.
А на уровне ISA-сервера достаточно поставить по галочке на каждый сетевой интерфейс для принудительной аутентификации и настроить фильтр http redirector.

Возникла проблема описанная в http://support.microsoft.com/default.aspx?scid=kb;en-us;828044

Нужен хотфикс : ISA2000-KB828044-x86.exe

Помогите пожалуйста !!!!!!

JcVai
ISA в firewall mode (сервер не вводить в домен).
Почему не вводить? У меня сервер с ISAв домене и все чики-поки.

Pantalone
Потому что по вышеприведенной схеме каскада взлом внешнего сервера не позволит получить доступ к ресурсам локальной сети, а значит больше шанс своевременно заметить проникновение и отреагировать.
Кроме того всякие сервисы, примочки и плагины, устанавливающиеся на прокси сервере редко повышают безопасность системы, а функциональности чистого ISA часто бывает недостаточно.

JcVai
Как ты себе представляешь такой взлом? Я пока еще не слышал что у кого-то кто-то пролез за ISA внутрь сети.
А если комп не из домена, как он будет обслуживать правила на основе учетных записей? (честно не знаю)
Как это должно выглядеть? Просто ставим комп, не регистрируя его в домене. Но будет ли он видеться по сети?
Вопрос действительно интересен.

Pantalone

Цитата:

Как ты себе представляешь такой взлом?

Легко:
1. Использование учетки с небезопасным паролем.
2. DOS сервисов ISA с последующей экПЛОИтацией незащищенной NT.
В догонку: 1-я заповедь "библии хакера" гласит: "Любая система защиты вскрывается в конечный срок".


Цитата:

Я пока еще не слышал что у кого-то кто-то пролез за ISA внутрь сети.

Ты знаешь, мне что то тоже не доложили...
"- Ты суслика видишь?
- Нет.
- А он есть!" (с)ДМБ
Кстати, не буду показывать пальцем, но я знаю по крайней мере одного читателя этой темы, к которому я могу заглянуть в сеть через ISA даже не напрягаясь.


Цитата:

А если комп не из домена, как он будет обслуживать правила на основе учетных записей?

А зачем??? На основе учеток будет обслуживать предыдущий ISA в режиме прокси+файрвол.


Цитата:

Как это должно выглядеть? Просто ставим комп, не регистрируя его в домене. Но будет ли он видеться по сети?

Он будет видется "промежуточным" ISA - этого вполне достаточно.

JcVai
1) Ну смотри, разберем реальную ситуацию. У меня есть учетная запись где логин=пароль="пупкин", или даже с пустым паролем. Не уверен что ты сможешь, зная это, пролезть за ISA, если только у меня не открыт VPN или еше чего. Так?
2) DOS? Шутишь? В смысле если знать какой-то баг в ISA?

И если у кого-то хакеры пролезли за ISA и он это обнаружил бы, думаю поднялся бы ор и мы бы с тобой об этом знали хотя бы по наслышке

Кстати, не буду показывать пальцем, но я знаю по крайней мере одного читателя этой темы, к которому я могу заглянуть в сеть через ISA даже не напрягаясь.

Не мог бы ты описать механизм проникновения в общих чертах? Дабы знать какие дыры закрыть.

Совсем не понял насчет "промежуточных" и "предыдущих" ISA, это как, ставится нестолько ISA в цепочку? Одного не достаточно?
Запутал ты меня совсем

Pantalone

Цитата:

Не уверен что ты сможешь, зная это, пролезть за ISA, если только у меня не открыт VPN или еше чего. Так?

В принципе верно, известные логин+пароль можно использовать, если есть доступ,
а если на внешнем итрефейсе блокируются абсолютно все входящие, то все ок...
Хотя, не забывай, что есть еще MOM-атаки и можно использовать уже установленную
изнутри сессию.


Цитата:

DOS? Шутишь? В смысле если знать какой-то баг в ISA?

Можно досить, можно флудить, можно использовать баги - вариантов уйма.


Цитата:

Не мог бы ты описать механизм проникновения в общих чертах?

Очень просто (то что известно мне о той сети):
Вычисляется внутренняя сеть по установленным изнутри сети сессиям.
Удаленный ISA ("атакуемый") используется как прокси/роутер для доступа
к "закрываемой" им сети.
А вообще, еще можно использовать H.323, ASN.1, SurfControl и все,
опубликованное с ISA.


Цитата:

Дабы знать какие дыры закрыть.

Как минимум:
1. Накатить все патчи.
2. Отключить H.323 Filter и GateKeeper.
3. Отключить все варианты аутентификации на внешних интерфейсах.
(так же не путать "all destinations" с "all external destinations").
4. Публиковать во вне только самое необходимое и, желательно, не размещеное
на одном сервере с ISA.
5. При необходимости, четко определять IP-адреса, с которых разрешениы внешние запросы.
6. Необязательно, но для супер-надежности - перерезать шнур в инет.


Цитата:

Совсем не понял насчет "промежуточных" и "предыдущих" ISA, это как, ставится нестолько ISA в цепочку?

Точно.


Цитата:

Одного не достаточно?

Есть такая русская народная поговорка: лучше пере..., чем недо...
Это была рекомендация gorg-у учитывая известные о его сети данные.
Мне самому пока хватает 1-го ISA+1 аппаратный роутер, правда свою сетку я снаружи могу уронить даже не напрягаясь... но это просто потому, что, к сожалению, безопасность ставят на первое место только когда увидят потери, а пока все на словах - не обращают внимания.
Максимальный вариант, который я видел у нас в городе: ISA+OpenBSD+аппаратный файрвол.

PS: Но при всем этом, для меня ISA остается лучшим в своем классе.

Полу-sfot: если кто постоянно пользуется gfi downloadsecurity, не могли бы отозваться в пм, посто он у меня часто ложно срабатывает, может есть варианты минимизации этого (типа отключения части вирусных движков etc).

У кого нить есть самый последний список сетей для блокировки банеров и другой рекламы? Нужен за 2004 год, а не тот что в шапке.
Если можно то сразу в скриптик импорта в ису.

Еще один вопрос по антивирусным прибамбасам к исе: кто-либо пробовал eScan 2003 For Microsoft ISA Proxy, ссылка на него на 0day вчера пробегала? Хотелось бы хоть пару слов о продукте услышать, особенно в сравнении с gfi и symantec )