» MS ISA Server (часть 1)

Argo

Цитата:

Клиент установлен, вот только чего там настраивать, я не нашел

Настраивай на сервере через оснастку управления исой:Client configuration-Firewall client.
Стандартная аська там включена по-умолчанию, если используешь другие клиенты - пропиши им такие же настройки как у icq, для почтовых клиентов - аналогично - там есть настройки для outlook.
(У icq-клиента, при работе через fwc не используй в настройках прокси)

Можно ли в ISAServer2000 сделать экспорт в файл всех настроек, а потом импорт этих же настроек на сервер? Т.е. нужно снести ИСУ, а потом импортировать все в новоустановленный сервер.

Добавлено
Решено. Поторопился с вопросом.
Обычный бэкап - правой кнопкой на каждом сервере и enterprise-настройке.

Krechet
А одного enterprise будет недостаточно? Какие еще серверы, мож я чего не так понял?

Pantalone
Это для режима array.
Для одиночного (stand-alone) сервера вполне достаточно простого vbs-скрипта AKA ISAExportImport.

Подскажите как порнофильтры прикрутить, достали уже некоторые юзеры по порнухе шастать, трафика накручивают, а мне потом по шапке начальство дает.

И еще в дополнение, как с банерами бороться?

Pantalone
Не флуди, ответ уже был.

Народ, подскажите, пожалуйста, как можно разрулить такой момент- есть 2 проги для подсчета трафика- IRIS и Tmeter, самый большой прикол в том, что разница в количестве мегабайт около 2-х раз, т.е. если Tmeter 2 мега накрутил, то Iris около 4. Какой из них верить-то надо и почему такая штука может происходить? слушают порт один и тот же, считают только ХТТП, а разница такая здоровая. Считают трафик, который идет через ISA server. Щас выяснил еще одну деталь - когда почту отправляю(себе для проверки), размер письма допустим 90 кил, а когда это же письмо получаю-оно по подсчетам IRIS весит уже 180 кил..... в чем может быть трабл, подскажите плс...

Argo
Вероятно просто ошибки в настройках (конфликты etc). Я сравнивал точность Tmeter со статистикой ISP, разница очень небольшая. "Кому верить" - ответ можно узнать, только сравнивая с неким эталоном, типа билингвы провайдера.

Не работает доступ к ftp через ISA, пишет вот такую штуку

ISA Server: extended error message :

200 Type set to A.
500 Illegal PORT Command

в чем может быть трабла, подскажите плс...

и еще- кто может более менее внятно объяснить, как сделать, чтоб логи исы обрабатывались при помощи mySQL или где можно найти описание данного процесса на русском, и возможно ли таакое вообще..

Release Notes for McAfee(R) SecurityShield(TM)
Version 1.0
Copyright (C) 2004 Networks Associates Technology,
Inc.
______________________________________________
NEW FEATURES

SecurityShield software provides protection against
viruses and other threats for many versions of
Microsoft servers that run ISA (Internet Security
and Acceleration) software.
- Scanning of messages, documents and web access
that pass through the Microsoft ISA server. The
scanned protocols include FTP, HTTP and SMTP.

- Content management enables you to control
textual content, spam, large files, and other
threats and nuisances.

- Content management policies allow you to define
groups and to assign appropriate policies for
each group.

- A secure web-browser interface gives local or
remote control of SecurityShield on numerous ISA
servers.

- Data trickling for FTP and SMTP.

- Performance counters for FTP, SMTP and HTTP.


кто-то пробовал?

Вопрос по MS ISA Server 2004 beta (кто юзал):

Поставил, настроил, вроде всё o.k. Однако не даёт покоя то, что при коннекте к любому FTP хосту коннект происходит, принимается login/pass, но потом при попытки directory list сразу происходит connection lost А с самой машины, на которой ISA стоит всё нормально. Как не меня настройки, не прописывал forewall фильтры - ничего не помогает. Даже для теста отрубил кэширование FTP, всё равно. Кто подскажет, в чём фишка кроется?

Народ! ISA это сервер? Мне сказали шо эт неплохой фаервол. Это одно и то же или одно часть другого?

Eric Lazzy

Цитата:

ISA это сервер? Мне сказали шо эт неплохой фаервол. Это одно и то же или одно часть другого?

Это серверная программа, выросшая из MS Proxy. При установке - три варианта на выбор: прокси, фаервол и прокси+фаервол. Хороший фаервол, пока что не слыхал, чтоб его где-нибудь прошибли, тем более там где сам настраивал В шапке много ссылок по теме.

Leonid_Z
Пасиба!

Товарищи, помогите.
Ситуция такая: захожу mIRCoм на irc.dal.net.ru сижу 2-10 минуты(всегда по разному) и коннект рвется, притом что Mirc не риагирует на разрыв связи до тех пор пока сам что нибудь не попытаешся написать или выполнить другие действия. Ковыряю ису и так и эдак уже месяц, и не понимаю почему не пашет. На уровне пакетов сделал правила для моего ип, чтоб исходящий и входящий по протоколам icmp и tcp и один хрен рвет соединение... могу предположить что сам irc.dal.net.ru проверяет меня на живучесть и почему то иса ему показывает кукиш вместо протянутой лапы... на уровне приложений тоже разрешено все что можно...

Посоветуйте где по вашему мнению может скрываться проблемма?

Заранее, спасибо!

ISA Server 2004 кто-нибудь пробовал?
Как оно? Есть что полезное или лучше на настроенной старой сидеть пока?

Добавлено
При отключении контроллера домена, ISA тоже отрубилась, вернее перестала контролировать трафик и напустила на комп тучу вирусов. Кто-нибудь сталкивался с такими фокусами?

Pantalone

Цитата:

ISA Server 2004 кто-нибудь пробовал?
Как оно?

Мне не понравилось, но дождусь релиза и еще раз посмотрю...


Цитата:

При отключении контроллера домена, ISA тоже отрубилась, вернее перестала контролировать трафик

Если авторизация шла через этот единственный dc, то это и ожидалось.


Цитата:

напустила на комп тучу вирусов.

А вот это, имхо, ерунда.

JcVai
Да, но не логичнее было бы завретить трафик всем при пропадании контроллера? А не наоборот открыть всем качай-нехочу.
Так при любом сбое контроллера у меня фактически будет зиять дыра в инет.
Есть резервный контроллер, но как ISA настроить на него?
В смысле чтобы сама переключалась на резервный.

Pantalone - Контроллеров должно быть несколько, причем (имхо) все должны быть глобальными каталогами (если сеть физически одна) - тогда нет проблем.
Про вирусы - тут твои руки, а не иса У меня ни одна из вирусных эпидемий этого года внутрь сети не прошла..

Pantalone
В дополнение к сказанному kibkalo:

Цитата:

Да, но не логичнее было бы завретить трафик всем при пропадании контроллера? А не наоборот открыть всем качай-нехочу

А именно так при соответствующей настройке и происходит: если юзер не может авторизироваться - его не пускает.


Цитата:

Так при любом сбое контроллера у меня фактически будет зиять дыра в инет.

Как настроишь... судя по всему, сбой dc - не причина.


Цитата:

Есть резервный контроллер, но как ISA настроить на него?

Сам должен автоматом, если все настроено и работает нормально.

Добавлено
Да, и проверь у себя связанные с ISA сервисы. Возможно дело в них.

JcVai
Правила настроены правильно. А именно разрешен любой трафик в обе стороны только для пользователей домема. Шлюз стоит на отдельном компе, на нем никто не работает. Причем стоял свежий антивирус на тот момент как вирь пролез. Дык вот как на этот комп попал Sasser тогда не пойму, если только ISA не стопорнулась. Заплатки от него на тот момент не стояло, но ISA-то на что? Грешил на то что контроллер домена перегружал, примерно в это же время и вирь появился, может совпадение, но откуда тогда?

JcVai
Что именно в связанных сервисах проверить? Все запущены и работают.

На выходных попробую еще раз воспроизвести ситуацию с пропаданием контроллера, помню, когда я его перегружал я задизаблил все правила на ISA и очень удивлялся почему же меня с моего компа до сих пор от инета не отрубает, видать все же дело с отсутствием контроллера связано, инет у меня не отрубился, хотя правила были задизаблены, но контроллер был в дауне, и тут наверняка и вирь подоспел.

Pantalone

Цитата:

Дык вот как на этот комп попал Sasser тогда не пойму, если только ISA не стопорнулась.

Легко - из локалки.


Цитата:

Грешил на то что контроллер домена перегружал, примерно в это же время и вирь появился, может совпадение, но откуда тогда?

О!!! Вот что называется "ближе к телу"!


Цитата:

Что именно в связанных сервисах проверить?

С какими привилегиями стартуют.


Цитата:

когда я его перегружал я задизаблил все правила на ISA и очень удивлялся почему же меня с моего компа до сих пор от инета не отрубает,

А ты не пробовал прервать сессию? ISA уже установленные сессии, афайк, не отрубает - это надо делать вручную.

Народ а подскажите вот какую вещь.
Начальник хочет чтобы поставил на оба контроллера домена ISA. Мол ему сказали что в нем хороший фаэрволл и все.. инет раздавать и организовывать при этом не нужно, интернетом занимается отдельный сервак. Просто хочет чтобы максимально обезопасить сервера и чтоб по сети не видны были всем. Не проще ли тогда выбрать какой-нить фаэрвол и реализовать это, что лучше сделать, подскажите?

JcVai
В локалке Sasser быть не мог, в локалку-то он как по твоему попадет если не через инет? Свое победное шествие он начинает со шлюза. Если не ошибаюсь.

Я и говорю что появления виря совпало с перегрузкой контроллера, но как этот механизм сработал?

Насчет прерывания установленных сессий - ерунда, все итак работает, по крайней мере у меня. Например если я щас задизаблю правила на ISA, то чекунд через 30-60 открытая у меня страничка при обновлении запросит пароль. Хотя до этого момента она еще некоторое время будет работать и обновляться нормально. К этим задержкам в изменениях правил у исы я уже привык.

Не понял о каких привелегиях связанных сервисов ты говоришь?

shokmega
Пошли своего начальника в мягкой форме, админ кто ты или он? "ему сказали" не катит, тебе решать как ограничивать доступ, а не ему и ISA тут вообще никаким местом к контроллеру не привинчивается, все разруливается на уровне прав учетных записей.

Pantalone

Цитата:

В локалке Sasser быть не мог, в локалку-то он как по твоему попадет если не через инет? Свое победное шествие он начинает со шлюза. Если не ошибаюсь.

А что мешает мне, например как пользователю твоей локалки, открыть зараженное письмо/страничку - заражение пойдет с моего компа.


Цитата:

Насчет прерывания установленных сессий - ерунда, все итак работает, по крайней мере у меня. Например если я щас задизаблю правила на ISA, то чекунд через 30-60 открытая у меня страничка при обновлении запросит пароль.

А это и будет новая сессия. (http запрос get)


Цитата:

Не понял о каких привелегиях связанных сервисов ты говоришь?

Права скоторыми запускаются сервисы ISA и те, от которых он зависит.


Цитата:

"ему сказали" не катит, тебе решать как ограничивать доступ, а не ему и ISA тут вообще никаким местом к контроллеру не привинчивается, все разруливается на уровне прав учетных записей.

Гм-м-м... тебе повезло, что у тебя не такой начальник как я...
Замучался бы доказывать вышесказанное.

shokmega

Цитата:

Просто хочет чтобы максимально обезопасить сервера и чтоб по сети не видны были всем. Не проще ли тогда выбрать какой-нить фаэрвол и реализовать это, что лучше сделать, подскажите?

Если хорошо разбираешься в своей работе, то решай исходя из действительных задач.
Да, поставив ISA на DC можно его хорошо защитить, но то же самое можно сделать и средствами самой ОС через IP-фильтрацию, политики и т.п.

JcVai

Цитата:

А что мешает мне, например как пользователю твоей локалки, открыть зараженное письмо/страничку - заражение пойдет с моего компа.

Ну Sasser работает по другому, он проникает в комп через уязвимость, а не через письма, поэтому появиться в первую очередь он мог только на шлюзе.


Цитата:

Права скоторыми запускаются сервисы ISA и те, от которых он зависит.

Запускаются от имени системной учетной записи.


Цитата:

Гм-м-м... тебе повезло, что у тебя не такой начальник как я...
Замучался бы доказывать вышесказанное.

Нет, ну а зачем ISA для этого дела использовать? Сам же говоришь

Цитата:

то же самое можно сделать и средствами самой ОС через IP-фильтрацию, политики и т.п.

Добавлено
Off: хорошая штука - цитаты

Pantalone

Цитата:

Ну Sasser работает по другому, он проникает в комп через уязвимость, а не через письма,

Тебе прислать письмецо, которое при открытии его оутлуком активизирует
на компе зараненее выбранный код?


Цитата:

поэтому появиться в первую очередь он мог только на шлюзе.

А что мешает ему "ударить" скозь шлюз?



Цитата:

Запускаются от имени системной учетной записи

Значит ISA у тебя должен стартовать и корректно работать вне зависимости от DC.
(если конечно используется stand-alone режим)


Цитата:

Нет, ну а зачем ISA для этого дела использовать? Сам же говоришь

Цитата:

решай исходя из действительных задач

Читать нужно впервую очередь то, что хотел сказать автор.

JcVai
Уел меня по полной программе Такой я разэтакий и чайник в квадрате

Зачем мне Sasser присылать, когда речь идет о стандартном проникновении?
Говорю же на шлюзе он появился, потому что больше ни на одном компе его не обнаружилось.


Цитата:

А что мешает ему "ударить" скозь шлюз?

Это как? Вряд ли такое возможно. Хотя... Если только порты по которым он лупит открыты в ISA.


Цитата:

если конечно используется stand-alone режим

Нет, все-таки я чайник, можно уточнить что это за режим?

Pantalone

Цитата:

Такой я разэтакий и чайник в квадрате

Дык, дерзай и дорастешь до кофейника в кубе. ))


Цитата:

на шлюзе он появился, потому что больше ни на одном компе его не обнаружилось.

Если ISA был отключен и система не пропатчена - то возможно,
хотя не забывай, что из локалки атаковать намного проще...
Блин, в оффтоп сваливаемся.


Цитата:

можно уточнить что это за режим?

При установке сервера ты выбираешь режим работы (не путать с функциональностью):
array или stand-alone. Первый вариант предназначен для объединения ряда ISA-серверов и часть конфигурации хранится в AD, второй - просто отдельный сервер,
берущий настройки из реестра локальной ОС.

Добавлено
Кстати, из второго режима сервер можно поднять до первого, но не наоборот.

Цитата:

Если хорошо разбираешься в своей работе, то решай исходя из действительных задач. Да, поставив ISA на DC можно его хорошо защитить, но то же самое можно сделать и средствами самой ОС через IP-фильтрацию, политики и т.п.

Хорошо, спасибо, воспользуюсь советом, а то его бредовые мысли уже замучили. Сказал сделать доверительные отношения между доменами, а теперь хочет контроллеры как-то спрятать =)