» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Есть разного рода софт, который не требует инсталляции, но позволяет ходить через прокси, открывать удаленное управление, организовывать видеочаты и прочее. Зачастую, этот софт достаточно умело написан, с точки зрения выискивания таких маршрутов. Есть задача заткнуть все эти дела. Но тихо. Без размахивания шашкой и привлечения внимания.
Включил в политиках домена службы-исключения-порты-фаэрволы-терминалы-общие папки-принтеры. Посмотрим, что получится. Надеюсь, что все это не подерется с ISA-й. Жду распространения политики.

OneHunt
в целом ты на правильном пути. Сеть должна быть контролируемой, в помощь этому групповые политики и придумали. За веб фильтр молчу hardhearted про кастрацию все сказал
По поводу политики, в каждой указана минимальная версия винды на которая будет работать данная политика, если там в списке есть Win2000 - то все будет ок
За Ису хотят столько денег, т.к. для публикации серверов и анализа SSL трафика она самое то. Для шефпинга трафика использую Bandwidth Splitter. поводу "всякого софта" - поставь Internet Access Monitor - посмотри логи выяснишь кто много трафика ест, потом помониторишь исой эти айпишники на предмет че за трафик, а там и фильтры в исе подкрутить недолго. Еще GFI WebMonitor тоже хорошая вещь. В общем вариантом как закрутить гайки пользователям есть масса

Найти бы списки сигнатур наиболее распространенных приложений, существенно ускорило бы процесс, если нужные проги окажутся в списках. Беда в том еще, что не отобрать привилегии у части юзеров. Жалуются руководству, а то поощряет их. Мне говорят - ты админ, вот и админь как умеешь, но чтобы все ОК было и не жаловался никто.

hardhearted


Цитата:

то что ему надо запретить коннект с определенного порта источника а не назначения, это разные вещи, читать следует внимательней

Ээээ... я вроде бы внимательно читал. Просто убейте меня не могу понять в чем проблема. У меня через НАТ вообще юзерам доступен только 25 и 110 порты ну и 465 и 965. Короче почта и ссл почта. Все это только через авторизацию тем кто не пользуется локальной почтой.

А все остальные порты тупо зыкрыты исой. Т.е. не открыты, т.к. там по умолчанию запрещено все что не разрешено. Конечно в интернет по хттп юзера ползают через прокси. И в целом конечно ничего им особенно не запрещает инкапсулировать ссл тунель в прокси и юзать всякую срань, но это уже довольно сложно это раз. Второе, логи все равно анализируются и юзера зная что могут подвергнуть административным взысканиям такого не делают.

Поэтому еще раз хочу понять. В чем проблема?

OneHunt
сначала составляешь и согласуешь документ запрещающий всю левоту
а потом на любую жалобу шлешь читать документ
списки сигнатур есть на офсайте, да и по логам посмотреть можно

ITeXPert
ну анализировать ssl сама иса не может, тока левыми фильтрами, или новая tmg
bsplitter конечно неплох, тока стоит он тоже неплохо, а резать юзеров в компании смысла нет - это все таки не чердачно-подвальная домовая сетка

Добавлено:
lypky
проблема в том что ты говоришь про порт назначения, а у него задача про порт источника - это совершенно разные вещи
ты открой свои логи и посмотри с какого порта клиенты у тебя идут в инет, именно source port, и увидишь что там может быть что угодно, и твоими 25 и 110 не пахнет

hardhearted
по-этому и юзаю в домашней сетке ISA + BS (резать сайты нельзя)
а на работе ISA + GFI WebMonitor (т.к шейпить смысла нет, после того как все лишнее позапрещал)

ITeXPert
ну вот как раз для домашней сетки иса малопригодна, не то позиционирование, в домашних сетях никсовые сервера выглядят получше и дешевле

hardhearted
В никсах я не так силен, как в винде, вот по-этому на винде и построено, хотя еще проще вариант циску купить, но эт может когда нибудь потом ))

ITeXPert
циску не проще, к ней все равно сервак нужен - логи и статистику считать

hardhearted


Цитата:

и увидишь что там может быть что угодно, и твоими 25 и 110 не пахнет

Эээ.. а как это? (прошу ликбез)

Ну к примеру с компьютера с рабочей станции (пусть там будет 172,23,16,100) с порта 1500 инициируется соединение с внешнем хостом. каким нибудь webhost.com к примеру на порт 1500. Или даже на 80й.
Такое иса ведь не пропустит по дефолту. Или что?

lypky
Если есть разрешения ходить на 80 порт этого сайта пропустит. Но мне нужно, чтобы с адреса 172.23.16.100 (твой пример) нельзя было подключаться с порта 1500(в твоем примере) т.е 172.23.16.100:1500 не прошел на webhost.com:80. А , скажем, 172.23.16.100:1501 проходил на webhost.com:80. Где-то так.

lypky
рекомендую почитать книжку про устройство tcp/ip сетей, очень полезно для всех итшников. умение нажимать кнопки это не ит навыки, кнопки в графической консоли и абизяна нажать может по инструкции с картинками
когда клиент начинает соединение с каким то сервером (клиент и сервер это условноть, и тот и другой может быть обычным компом, в данном случае сервер - тот кто предоставляет сервис и слушает какой то порт, клиент - тот кто пользуется сервисом и инициирует соединение), пусть будет с почтовым по smtp (tcp 25) то в качестве исходящего обычно берется рандомный порт после 1024, например клиент:2345 -> сервер:25. для udp порт источника бывает совпадает с портом назначения, в силу особенности протокола, но это совсем не обязательно ибо когда клиент идет через нат то порт может подменится.
чаще всего насчет порта источника в фаерах типа исы никто не беспокоится, потому как протокол определяется только транспортным протоколом и портом назначения, то есть тем портом который слушается сервером на предмет входящих соединений. поэтому в исе можно задать диапазон разрешенных source port только в самом правиле, независимо от протокола.

hardhearted
спасибо за ликбез. Все равно меня чтото смущает. Но в том ты прав на 100% что мне не помешает "почитать книжку про устройство tcp/ip сетей".

Кстати об обезъянах, я в паре офисов сделал бейсик авторизацию на прокси. Т.е. при открытии IE у пользователя выскакивает окошко для ввода реквизитов. Так вот там написано, это типа довольно опасно с точки зрения того что ктонибудь сможет соснифить пароль. Насколько это на практике опасно?

lypky


Цитата:

Насколько это на практике опасно?

Всё зависит от закрытости организации и её структуры, а так же от наличия эффективных средств противодействия снифингу.

На практике, этой части безопасности во многих мелких и средних конторах пренебрегают в угоду удобству.

Так, что опасно это или не опасно каждый админ решает для себя сам.

lypky
соснифить могут тока если влезут во внутреннюю сетку или на саму ису

lypky
ну и если у тебя хабы а не свичи ))
А вообще у меня только встроенная виндовая авторизация. Там где клиент-банки и другие не HTTP приложения пользую иса клиент, благо его можно хоть групповыми политиками на нужные тачки раскатать за 5 минут

Кто чем отчеты о хождении пользователей в инет смотрит? В самой ИСе несколько неудобны, на мой взгляд.

OneHunt
неудобны ??? ) они убоги и примитивны, их вообще лучше не включать никогда
я вообще не смотрю, тока если что то заподозрю то select ...
а прог для этого всяких левых понаписано куча

OneHunt
Я InternetAccessMonitor пользую - лучшее из всего что я встречал

Я в исе и не смотрю, но иногда срочно нужно что-то глянуть. Вот тут интерес и возникает. Спсибо.

ITeXPert
Сорри, что не в тему, не найти где скачать "нужную" версию. Ссылку в личку можно?

OneHunt
мыло в личку кинь, я скину, у нас где-то админ скачал 3,8 откуда сам не знаю

OneHunt
http://www.redline-software.com/eng/products/iam/

Threat Management Gateway (from EBS 2008) и TMG Beta 1 могут работать и на x86, и на x64 так как в наличии и fweng.sys, и fweng64.sys плюс в fweng.inf cм. #
а в TMG Beta 2 и Beta 3 уже, как и обещали официально, "only x64"
P.S.

Цитата:

Цитата: Сам сейчас пытаюсь отважно победить freebsd, ubuntu + squid & ipcop. Вроде бы в теории 100% замена исе, но на практике

ipcop это что то новое, раньше вроде ipfw или iptables отцы использовали

OneHunt
WrSpye поинтересней и безплатен в отличии от InternetAccessMonitor

ISA 2006 неправильно считает трафик
как это можно исправить?
впервую очередь интересует как исключить из отчёта трафик из внутренней во внутреннюю сеть?

wolf86rus

Цитата:

WrSpye поинтересней

Проект поддерживается до сих пор? я как-то давно его не пробовал, года 4 может. что-то изменилось с тех пор?

oler2


Цитата:

ISA 2006 неправильно считает трафик

Иса его не считает, иса записывает логи, а вот чем ты логи обрабатываешь вот то и считает трафик

anton04
а чем обрабатывать логи? так чтобы можно было предъявить провайдеру?

oler2

Только на прямую SQL запросы в БД исы. Или (если есть такое) сертифицированное (наверное ФАПСИ) програмное обеспечение для обработки логов, но такого я не знаю.