» MS ISA Server (часть 1)

greenfox

Цитата:

запретит достут на все подсайты (домены 4 уровня) сайта love.2net.info

При этом доступ к love.2net.info будет открыт? Есть ли способ одной строкой задать запрет на love.2net.info и его поддомены?

И еще вопрос. ISA 2004 EE. Имею в ентерпрайзе в URL Sets список баннерных сетей. Хочу блокировать баннеры, запрещая на уровне Enterprise доступ к данным URL. Вместо них хочу отображать картинку, но на каждом ARRAY на своем веб-вервере. Можно ли это забить какую-либо переменную.

Например, есть array EARTH, и есть array DREAM. Есть правило, которое запрещает доступ к сайтам, указанным в URL Sets, вместо этого показывает какою-то картинку.
Можно ли сделать так, чтобы в одном случает показывалась картинка http://earth.domain.com/deny.gif, а во втором - http://dream.domain.com/deny.gif и все это происходило на уровне правил enterprise, желательно, одним правилом.

Либо, сделать 2 разных правила в политиках предприятия, в одном указать один URL с картинкой, а во втором другой. Главное, использовать один URL Set, на уровне предприятия, и не плодить его во всех массивах?

Либо подскажите, как сделать, чтобы баннеры не показывались и окошко авторизации при этом не выскакивало

PS: не бейте ногами, у меня везде еще стоит 2000 Standard.

Laurent

Цитата:

При этом доступ к love.2net.info будет открыт? Есть ли способ одной строкой задать запрет на love.2net.info и его поддомены?

наск я понял по словам Шиндлера - нет.
У меня то все сайты прописаны 2-ды: *.xxx.ru и xxx.ru Вроде только так...

ivanopulos
SurfControl+ ISA вот тебе нормальная фильтрация контента по тематике.
Еще здорово примотать было бы Proximitron, но он не грузится как служба.
stack
Я SurfControl пользую для резки и пара фич в правилах. Никто не пробовал ведь менять параметры http, а то есть. Там есть просто фильтр URL закладка Signatures в диалоге Configure HTTP policy for rule.
я туда прописал штуки 4 первые попашиеся в голову строки типа
.cnt
banner
counter?
cnt?
Жить стало проще. И не надо морочить себе башку с URL листами лишний раз.

Вопрос по написанию сценариев для ISA Server на VBScript...

Есть isa 2000. Есть Destination Set с именем Banners. Есть какой-то способ просмотреть содержимое этого Destination Set?

Переименовать, удалить, добавить Destination Set, добавить описание можно... а как работать с содержимым, не зная, что в нем? Удалить что-то я могу только зная содержимое... а как его можно узнать, зная, сколько там позиций?

Вопрос решен. Всем спасибо )))

Насущный вопрос. Тормозит канал. Как выявить тех кто его грузит больше всех ?
ISA 2004 + SurfControl5

Цитата:

Либо подскажите, как сделать, чтобы баннеры не показывались и окошко авторизации при этом не выскакивало

Добавь равный единице параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\ReturnDeniedIfAuthenticated

Проблемма такая -- Есть сервак Win2003, поднята AD, стоит ISA2000, две сетевухи одна в инет другая в локалку, так вот как запретить работу всякого рода сниферов типа проги Give Me Too, т.е есть в отделе перцы которые на свои локальные машины ставят эти проги и перехватываю все разговоры по ICQ, почту и сетевой траффик всей конторы, все компы в локалке естественно авторизуются в домене.

Вопрос можно ли с помощью ISA с использованием фильтров или других возможностей запретить работы этих программ?

Помогите новичку. ISA 2004 EE + MS SQL Server 2000 ...

Ситуация такая:

есть довольно большая локальная сеть, в ней стоит комп (назовем его сервер), на котором крутится MS SQL Server 2000 ну и пару общих папок. Никакого интенета, доменов и ДНС нет. Все просто. Исторически так сложилось, что доступ к БД происходит через одного пользователя, пароль к которому всем известен (это не страшно, так как на сервере лежат копии). Но встал вопрос как-то все-таки контролировать доступ именно к БД, ну и заодно и ко всему серверу (шары). Поступило предложение установить ISA 2004. Так и сделали. Поставили ЕЕ (по умолчанию). Начали пробовать настраивать. Вот тут то и начались проблемы ...

Так вот, вопрос (или вопросы ):

1. какой тип сети выбрать (Single или какую-то другую)?
2. как и что надо настроить, что-бы разрешать/запрещать доступ к SQL серверу?
3. основная клиентская програма для работы с БД написана на Clarion for Win (не мы писали). Она подключается к БД в любом случае (помогает только выдергивание сетевого шнура ), то есть ISA ей не помеха. Почему так происходит?

Заранее благодарю!

AD_MAX
пакеты перехватывают из-за того, что хаб ретранслирует их на все свои порты... ИСА на шлюзе и к этому отношения не имеет... тут либо с хабом возиться (свитч ставить) либо запрещать на локал-машинах ставить такое прог обеспеч тех.средствами... В андеграунде была тема похожая...

Здравствуйте.

Преамбула: Почти уверен, что тема уже где-то раскрыта (или ответ тривиален), если так - то ткните лбом. Проискал весь форум и 64 страницы этого топика - не нашел ничего толком.

Амбула: W2003+AD+ISA2004. На исе подняты политики файрвола, прокси не используется. На машинах установлен ISA Firewall Client, соединение с ISA работает. По описанию, в этом случае все пакеты, проходящие через файрвол ISA, должны ассоциироваться с именем залогиненного пользователя. На деле такого не происходит, юзер на пакетах пуст, соответственно, фильтрация по пользователю тоже не работает.

Где грабли?

rsmike

Цитата:

Где грабли?

выход всем разрешён или опред пользователям!? Если всем - то авторизации и не будет... смотри в правила свои...

Часть правил разрешают выход для All Users, часть для некоторых.
Получается, если правило для всех, пакет уйдет в логи анонимным?

greenfox спасибо буду думать как быть дальше.

AD_MAX
ISA тут вообще не причем.
1. Ставь свитчи в локльную сеть. А еще есть тулза от мелкософта против снифферов.
hxxp://download.microsoft.com/download/7/2/6/7262f637-81db-4d18-ab90-97984699d3bf/promqryui.exe

2. Еще забери права локального админа у них. Сделай юзерами.
3. Запрети политикой запуска GiveMeToo (через хеш exe файла). Тут даже переимнование не поможет и права админа.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4. Используй политики IPsec. Трафик внутри локалки будет зашифрован для выбранных ПК. Снифак увидит шифрованный пакет. )))
Только не путать с впн. Там и заголовок шифруется, а тут только тело пакета.

rsmike

Цитата:

Часть правил разрешают выход для All Users, часть для некоторых.
Получается, если правило для всех, пакет уйдет в логи анонимным?

авторизация пользователя иса затребует если правило, на котором завис пакет не для всех, а для только для группы какой-то... а если для всех - то и авторизация не нужна - пакеты и так выпустят... можно конечно поставить галку "требовать всегда авторизацию", но проще всё же всех в группу какую-н выделить...

XAN
13:10 18-03-2005
Цитата:

1. Ставь свитчи в локльную сеть.

GMT и в локалке построенной на свитчах отлично работает...

Цитата:

2. Еще забери права локального админа у них. Сделай юзерами.

и чем это поможет от прослушивания трафа?

Цитата:

3. Запрети политикой запуска GiveMeToo (через хеш exe файла).

GMT не едиснтвенная программа подобного плана...

Ne0N

Цитата:

GMT и в локалке построенной на свитчах отлично работает...

каким образом!?
Цитата:

и чем это поможет от прослушивания трафа?

человек не сможет установить левый софт, такой как сниффер.. не 100% гарантия, но всё же...
Цитата:

GMT не едиснтвенная программа подобного плана...

не единственная, но занеся то штук 5-6 выбора то уже и не будет...

XAN
Спасибо за ответ сейчас попробую прогу эту качнуть,а по поводу свича вопрос поднимал уже давно пока начальство не считает нужным тратить деньги, но я думаю что теперь я аргументирую свою просьбу как надо.
Еще раз спасибо!

Добавлено:
XAN
Еще проблемма в том что я не могу отобрать у него право админа ему как бы с выше это разрешено, а прога это как то не понятно работает, ладно буду думать, я думал что существует прога которая запрещает работу этих снифферов по конкретному порту или портам.

greenfox
13:30 18-03-2005
Цитата:

каким образом!?

цитата с сайта производителя:

Цитата:

Новая версия Give Me Too 2.4.0:
добавлена возможность перехвата dial-up (модемного) трафика;
добавлена возможность перехвата трафика в коммутируемых сетях (сетях построенных на свитчах);
исправлено несколько ошибок;
сделаны косметические изменения

Цитата:

человек не сможет установить левый софт, такой как сниффер.. не 100% гарантия, но всё же...

не всему софту требуется установка...

Цитата:

не единственная, но занеся то штук 5-6 выбора то уже и не будет...

тут ты прав...

Ne0N

Цитата:

цитата с сайта производителя

не... ну на заборе тоже кое что написанно... я понимаю можно спровоцировать свитч наверно левыми пакетами, что бы он гнал весь траф на несколько портов - но это будет "не прекрасная" работа + опять же от комутаттора зависеть наск я понимаю...
Цитата:

не всему софту требуется установка

AFAIK снифферу как раз она требуется ибо он дрова свои ставит и вирт адаптеры как правило...



Добавлено:
AD_MAX

Цитата:

отобрать у него право админа ему как бы с выше это разрешено

запретите запуск конкретных программ - это можно сделать правкой реестра... этого вполне хватит если пользователь не очень умный...

greenfox, спасибо за ответы. Да простят меня гуру, еще пара глупых вопросов.

В идеале хочу получить конфигурацию такую: на всех машинах в домене стоит FWC, весь софт (icq, e-mail, web клиенты) с его помощью общается с External. Соответственно, хочу не прописывая в настройки браузеров проксю, класть в логи и фильтровать весь трафик по пользователям.
На данный момент имею набор правил для All Users, открывающий используемые протоколы. При попытке подрисовать к правилу нарезку по поользователям, перестают пропускаться какие бы то ни было пакеты - при вполне работающем FWC. В логах отброшенных пакетов юзер определен либо как "anonymous", либо как "user (?)", либо как "DOMAIN\user" - и в последнем случае авторизация срабатывает.


Где я сделал глупость? Где прописывается метод авторизации для FWC? На вкладке "Web Proxy", насколько я понял, выбираются методы для авторизации именно при работе через прокси?

rsmike

Цитата:

либо как "user (?)",

http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/faq-monitoring.mspx
3-й вопрос сверху походу твой случай...
да авторизация настраивается там, там же есть галка "всё время требовать аутентификацию" - можно попытаться поставить её... а так тебе надо в файере правила писать не для "всех пользователей" а для группы...

Подскажите, в чем моя ошибка.
Возникла необходимость разрулить доступ по конкретным пользователям.
Как я понял, для этого нужно использовать Firewall Client.
Поставил клиента (установка прошла нормально, сервер нашёлся, состояние connected). Правила, в часности работа по email протоколам, пока не трогал, но почта забираться перестала ("не могу подключиться к серверу"). Если сделать FWC неактивным, всё опять работает. Посмотрел в логах и вижу, что при попытке забрать почту на POP3 протокол получается связка: "Initiated Connection" - "Closed Connection". Deny в протоколе нигде нет.

Что за беда и как с ней бороться?

P.S.: Сервер ISA 2004 Enterprise Edition.

ISA 2004 EE на контроллере домена Win2003.

Данные enterprise, как я понял, хранятся на Storage Configuration Server, который использует ADAM - Active Directory Application Mode, по функциям аналогичный Актив Директори. База данных, как я понимаю, у него собственная, и к Active Directory имеет весьма далекое отношение, за исключением того, что ADAM может использовать учетные записи Active Directory.

Так вот... Сначала вылезала критическая ошибка:


Event Type:Error
Event Source:ADAM [ISASTGCTRL] General
Event Category:Internal Processing
Event ID:2537
Date:3/18/2005
Time:10:55:19 AM
User:NT AUTHORITY\ANONYMOUS LOGON
Computer:EARTH
Description:
The directory server has failed to create the ADAM serviceConnectionPoint object in the Active Directory. This operation will be retried.

Additional Data
SCP object DN:
CN={86dd7d10-bd26-4ccf-9a4d-60e9ef29457a},CN=EARTH,OU=Domain Controllers,DC=mydomain,DC=lan
Error value:
5 Access is denied.
Server error:
00000005: SecErr: DSID-03151D54, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Internal ID:
3390387
ADAM service account:
MYDOMAIN\isastorageserver


После включения пользователя MYDOMAIN\isastorageserver в группу Administrators (что неправильно с точки зрения безопасности) эта ошибка пропала. Пока MYDOMAIN\isastorageserver не был членом этой группы, ошибка сохранялась, несмотря на то, что был запущен скрипт mydomain.lan.bat, как было сказано в документации про установку ИСЫ на контроллер домена....


Как я понимаю, речь идет о следующем:
In Active Directory environments, service publication refers to the ability of a service to publish information about itself in the directory and to the ability of clients to discover that information and locate the service. When a computer on which Active Directory Application Mode (ADAM) is running is joined to a Active Directory domain, ADAM attempts to create service connection point (SCP) objects in Active Directory.

То бишь, чтобы публиковать в Active Directory информацию о себе, MYDOMAIN\isastorageserver должен иметь достаточные привилегии. Какие? (Если я правильно все понял)

Хочется, чтобы все работало без ошибок и при непривилегированном аккаунте MYDOMAIN\isastorageserver.. где крутить?

Есть еще одно предупреждение в журнале:

Event Type:Warning
Event Source:ADAM [ISASTGCTRL] General
Event Category:Security
Event ID:2521
Date:3/18/2005
Time:10:55:11 AM
User:N/A
Computer:EARTH
Description:
Active Directory was unable to initialize auditing security system. It will run with auditing disabled. No security audits will be generated.

Additional Data:
Error value:
1314 A required privilege is not held by the client.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


С этим похуже.... хочу, чтобы журнал аудита безопасности велся... А это где крутить, вообще никак не пойму. То ли в базе ADAM [ISASTGCTRL] General, то ли в самом Active Directory. И вообще, пересекаются ли каким-то образом Active Directory и данный экземпляр ADAM? Ваши мысли?

PS: В документации по ADAM было сказано, что пользователь, под которым выполняется ADAM, должен иметь соответствующие привилегии:

To enable auditing for an ADAM instance for which the service account is something other than the Network Service account, you must assign the Generate security audits right to the ADAM service account.

В общем, никак не пойму, где ему права добавить?

greenfox Буду очень признателен если подскажешь как это сделать.

Спасибо.

AD_MAX
что-то типа такого
(те или реестр править или политику на компе)

Установка ISA Server 2004 Enterprise Edition (ISA Server + Configurating Storage Server)на контроллер домена.

ВНИМАНИЕ! Установка на контроллер домена не рекомендуется из соображений безопасности. Однако, если нет другого выбора.... приступим.

Предполагаем, что у нас нет еще нигде установленного ISA Server и ISA Storage Configuratoin Server (где хранится конфигурация).

Ставим ISA Server и ISA Storage Configuratoin Server.

Создаем new ISA Server enterprise. Далее, выбираем, какие у нас отношения между доменами. В моем случае, один домен, поэтому, выбрал "I am deploying in a single domain or in domains with trust relationships".

Поскольку ставим на контроллер домена, то, как написано в документации, для Storage Configuratoin Server использовать Network Service account мы не можем.

Создаем непривилегированного пользователя в Active Directory, к примеру, MYDOMAIN\isastorageserver. Даем необходимые привилегии. Данный пользователь должен иметь привилегии log on as a service. Я сделал это в Domain Controller Security Policy -> Security Settings -> Local Policies -> User Rights Assignment -> Logon As A Service, добавив туда пользователя

Помимо прочего, для того, чтобы велся аудит событий безопасности, данного пользователя надо еще добавить в Domain Controller Security Policy -> Security Settings -> Local Policies -> User Rights Assignment -> Generate Security Audit.

Так же, не забываем заглянуть в директорию %Program Files%\Microsoft Isa Server\ADAMData. Там есть скрипт вида <имя_вашего_домена>.bat Запускаем, наслаждаемся.

Пока это все выяснялось, были сделаны еще некоторые телодвижения, в частности MYDOMAIN\isastorageserver был на время включен, а затем исключен из группы администраторов... может это поимело некоторый эффект, не знаю.

Если кто-то посчитает, что что-то тут описано неверно, пишите - исправим.
Можно добавить в шапку, если необходимо. Все вышеперечисленное было следствием раздражения от записей ошибок в журнале событий... Результат - журнал событий без ошибок и предупреждений.

greenfox
Offtop конечно, но 1 разок мона ...
В свитч в процессе работа строит таблицу соответствия портов и МАК АДРЕСОВ.
ТО есть он хранит в памяти на каком порту какая сетевка сидит.
1. Метод перегрузки таблицы свитча. Свитч забивается кучей данных сбрасывается и работает как хаб дальше.
2. Можно поднять такой же MAC адрес как и у того кого хочешь прослушать и свитч в ЭТИ порты пошлет пакет. То есть на один MAC будет два порта.
Может быть вышеназванная прога пользует еще какой способ. Не знаю...

AD_MAX
Свыше это как ?
1. Тебе просто сказано он админ и точка.
Тут уже тебе надо бороться за свои права админа.
2. У него есть проги, которые не хотят работать без Адмнских прав.
Почти все можно заставить заработать. На худой конец есть.
1. NTFS права. Конечно админ может их менять, но... расчет на дурака.
2. Проги которая запрещает я не видел.
Делай политики. И расставляй права.
Можешь сделать даже запрет на запись в Program Files или в данный куст реестра. А сниффер еще обычно тащит с собой драйвер.
Можно установку драйверов запретить даже админу через политику.
3. Это конечно способ просто жопа, но ... введи шифрование plain text. И пусть сосут ))
4. Совсем тупею. )) Такую идею и упустить И как раз в топик. ЗАПРЕТ на СКАЧКУ с САЙТОВ контента. Запрети скачку по линкам GMT и других снифаков. Можно поробовать запретить по имени. Комбинируй и победишь )

XAN дело в том что это наш новый начальник отдела, а я админ этого учереждения, он строит из себя хрен знает кого и всех в отделе желат контролировать и припер этот чертов снифер под названием Give Me Too и палит все сайты по которым все лазиют все сообщения прехватывает и почту тоже, типа чтобы быть в курсе всех дел и ко мне постоянно лезет сделай так и так , но я то его посылаю куда подальше, просто если честно затрахало это все, до него все тихо и спокойно было.., вообщем такие дела, буду пробовать с помощью политики я думаю я справлюсь и обламаю его.
Спасибо всем за помощь!