sjbnil
Ny bruker
Posts:26
 |
| 28-02-2007 07:07 |
|
Hei! Håper det er noen som har mulighet til å hjelpe en forvirret sjel med ISA...
Jeg er interessert i å bytte ut Linux-boksen som fungerer som gateway på nettet vårt i dag. Som erstatning har jeg lyst til å ha en ISA 2006 kjørende på en maskin som har Windows 2003 Server Enterprise Edition R2 i bånn. Meningen er at den skal kjøre som webproxy og at den skal ta en del uønsket trafikk (type MSN og BitTorrent) som firewall. I ISA 2000 het vel dette "Integrated mode" mener jeg å ha lest et sted. Kanhende det heter det samme her.
Ståa er som følger;
Server installert og patchet opp til siste oppdatering.
2 nettverkskort er konfigurert på boksen, det ene har IP fra internnettet med tilhørende nettverksmaske, ingen gateway. Andre nettverkskortet har fått IP som er i samme range som WAN-interfacet på.
Har åpnet ISA ved å sette på en nettverksregel OVER den defaulte ”Deny all” regelen som stopper all trafikk fra alle nettverk til alle nettverk for alle brukere, som gjør akkurat det motsatte. Åpne alt for alle, fra alle til alle. Satte så på en maskin som var meldt inn i domenet, og ga den ISA som gateway. Alt fungerer, den bruker muligens et sekund for mye på DNS-oppslagene virker det som, men ellers går alt som det skal.
Så har jeg lyst til å begynne å legge på restriksjoner. Laget en liten testgruppe med medlemmer fra AD. Laget en regel som skal stoppe bruk av for eksempel HTTP og PING, fra internt nettverk til eksternt nett, gjeldende for AD-brukerne mine. Og her stopper det. Det rases gjennom regelsettet til den finner første regel med ”All Users” i, altså "Builtin"-gruppen i regelen som slipper alt igjennom, og fisker altså ikke opp reglene som den burde.
Se vedlagte bilde. Brukergruppen "Admins" inneholder testbrukerne mine fra Active Directory. I dette tilfellet innbiller jeg meg at man ved en test burde kunne logge seg på MSN, mens man ikke får lov til å besøke en webside eller pinge en server.
Nå har jeg ikke brukt lange tiden på dette, men det er kilovis med bøker og guider å lese om ISA, og det er rett og slett for mye å begynne å studere. Vet noen hva jeg gjør feil her? Noe som virker veldig obvious? Jeg vet at det finnes Firewall-klientprogramvare som kan pushes ut på klientene, og det fungerer (har testet) men hvordan beskytter man denne fra at brukerne kan redigere innstillingene, og er man helt avhengig av å bruke den?
Har lett littegranne på nettet etter en smørbrødliste for hvordan man bør konfigurere ISA fra A til Å, men har ikke funnet noe som har hjulpet meg mer enn denne siden. Også på norsk da gitt  |
 isa.JPG
|
|
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 28-02-2007 10:56 |
|
Jeg synes ikke det er lett å guide deg gjennom dette via forumet. Se om du ikke finner det du leter etter her? http://download.microsoft.com/downl...roughs.doc |
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
sjbnil
Ny bruker
Posts:26
|
| 01-03-2007 07:16 |
|
Hei igjen! Og takk for svar!
Jeg har studert guiden du sendte meg link til, og plukket opp et par tips der til lenger nede i veien (koble til "Branch-office" osv, men ble dessverre ikke klokere på det problemet jeg har.
Jeg har fulgt alle installasjonsguider til punkt og prikke, og tilsynelatende er dette så straight forward på dette nivået at det er et rent mysterium at jeg skal klare å IKKE få det til å rulle.
Det er en REN installasjon av ISA 2006 på W2K3 server, det er connection mellom klienter og internett via ISA før det kommer regler, men den plukker ikke opp regler som er myntet på brukere fra AD.
Jeg innbiller meg at det må være forbindelsen til AD som ikke er satt opp riktig? At den ikke snakker med domenekontrolleren som den burde, og får informasjon om brukerkontoene? |
|
|
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 08:11 |
|
Den må ha forbindelse til AD slik jeg forstår dette, i motsatt fall kan den ikke vurdere brukere, brukergrupper osv. Legger her ved en gude til som gjelder prinsipper og generelt oppsett, herunder konfigurasjon av ISA Branmur. Den tar hele pakken. Har hatt mye glede av denne på grunn av den altomfattende presentasjon. |
Chapter 4 Secure Internet Connectivity Services.pd
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 08:16 |
|
1) Det gjelder å få utgangspunktet korrekt inkl installasjon før konfigurasjon av selve brannmuren. Dette omfatter også kontakt med AD. Brukere og Sikkerhetsgrupper skal jo fremkomme. Sjekk hele oppsettet før konfigurasjon av brannmuren. Utgangspunktet må være korrekt!
2) Når alt annet er på plass og fungerer så konfigureres brannmuren. Det ligger ved et oppsett for basis konfigurasjon. Deretter så trimmes brannmuren opp ved å ekludere brukere og blokere porter. For denne konfigurasjonen finner du mange tips på http://isaserver.org herunder også i Forumet der.
|
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 09:10 |
|
Har du meldt ISA Serveren inn i domene? Kjører du forest? Et eller flere domener? Er ISA Server frosset ned med Group Policy? |
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
sjbnil
Ny bruker
Posts:26
|
| 01-03-2007 10:23 |
|
Takk for guide, den var god og omfattende  Jeg har bare ett domene. ISA er installert mens jeg var logget på server som domeneadmin. ISA er med i domenet. Den har kontakt med AD, jeg har laget brukergrupper i ISA basert på oppslag i AD. Men etter å ha lest guiden din begynner det å demre for meg, men vil gjerne ha det bekreftet; er det slik at ISA Firewall Client MÅ benyttes? At domenebrukere/grupper/maskiner ikke plukkes opp uten å ha ISA Firewall Client installert? |
|
|
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 10:42 |
|
Ja, ISA Server Firewall Client må benyttes.
ISA Server kan installeres i 3 alternative moduser. Firewall, Proxy Server, Integrated. Integrated består av Firewall og Proxy Server. I ditt tilfelle ønsker du integrated.
En Proxy Server kan du betrakte som en buffer på disk. Når en bruker har hvert på VG trenger ikke ISA Server å laste ned VG en gang til, så lenge det ikke er endringer. All internett trafikk fra klienter blir dirigert til Proxy Server. I Internett Explorer må du angi Proxy serveren for internett tilgang. Dette gjøres på port 8080 av ISA Server Firewall Client når denne installeres. (FW Client skal ikke installeres på ISA Serveren selv!).
Det er FW Client som autentiserer bruker til proxy server og ISA Server. Hvis FWC er slått av så ingen autentisering(!), ergo ingen tilgang ti internett over hode. Det er noen unntak; eksempel på unntak som må legges inn er tilgang til MS Update. MS tillater ikke autentiserte brukere på MS Update. Kun anonyme. Du må derfor lage destinasjon sett her.
Bruken av Proxy Server øker sikkerheten i EDB anlegget betydelig. Dette fordi du da nettopp kan skille brukere og brukergrupper fra hverandre og tilpasse internetttilgangen! Dette kan du slets ikke gjøre i en vanlig brannmur fordi denne ikke kan forholde seg til AD (brukere, brukergrupper osv). Det er altså Firewall Client vil autentisere brukeren mot ISA Server den må derfor installeres på alle maskiner også servere foruten den serveren som kjører ISA Server.
|
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 10:46 |
|
Hvor står du nå da? ISA Server er i domenet og du kan nå finne frem brukere og brukergrupper inne i ISA Server? Installer FW Client på den eneboksen, sjekk Internett Explorer, skal normalt bruke port 8080 på Lan connection til internett. Slå på logging i ISA Server og observer hva som skjer.
|
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
sjbnil
Ny bruker
Posts:26
|
| 01-03-2007 10:49 |
|
Noen ganger er det sånn at man blir litt forbanna fordi løsningen var så enkel.... jeg skal sjekke dette ut med en gang, kommer tilbake til forumet med oppdatering |
|
|
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 10:52 |
|
Når du er på, hvorfor bruker du Windows Server Enteprise, du trenger kun Standard i det denne er billigere. Kun 1/4 del av prisen. |
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
sjbnil
Ny bruker
Posts:26
|
| 01-03-2007 11:02 |
|
Dette er bare en test av hvordan ISA fungerer, jeg har brukt W2K3 Enterprise fordi.... det var den cd'en som var tilgjengelig da jeg satte igang med prosjektet. ISA er i dag installert på en gammel Shuttle PC som så vidt klarer å dra Windows server rundt Jeg har ikke turt å fjerne den gamle gatewayen enda, fornuftig nok. Dersom jeg får dette til å fungere med noen testklienter er det snakk om å rulle den ut på ordentlig jern med det som "trengs" av programvare, og da blir det naturligvis en "lavere" versjon av Windows 2003. |
|
|
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 11:28 |
|
I utgangspunktet er det ikke en så veldig kraftig boks som trengs. ISA 2004 husker jeg så ca. Minimum 300 MHz, 256 Ram, NTFS formatert, fortrinnsvis to NICs. Dette er et absolutt minimum. Det som anbefales er minst 800 Mhz cpu, 1 GB ram. Når det kommer til disk må du tenke deg om. Dersom du skal benytte downstream and upstream web-caching bør du vurdere egne fysiske disker for Web-caching. Prosessor krav øker også når du legger på SSL. Til slutt må du også ta hensyn til antallet brukere i domene. Mener å huske at ISA er lisensiert pr prosessor. ISA 2004 kan installeres på Win 2000 boks. Usikker på ISA 2006. I Windows 2000 tiden var det en klar oppfattning at ISA programmet burde installeres på en egen logisk disk, adskilt fra operativsystemet. |
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
sjbnil
Ny bruker
Posts:26
|
| 01-03-2007 06:37 |
|
OK, dette fungerte så greit at jeg er litt lei meg fordi det var så latterlig enkelt. Satte opp Automatic Discovery, og plutselig hentet den innstillinger automatisk. Dette er fint.
MEN; har du noen gang kommet opp i problemstillingen at man kanskje ikke er interessert i å ha definert proxy i IE når man sitter utenfor nettet? Hvordan kommer man seg mest smidig rundt dette? |
|
|
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 07:44 |
|
Glimrende, godt jobbet!
Ser problemstillingen. Men hvem skal på nett som ikke er i domenet. Vil du gjøre unntak for alle ikke autentiserte brukere? På den annen side, da må det lage et ”destinasjon set” for spesifikke maskiner og eller brukere (det trenger du for MS Update sites). Enten til spesifikke websteder eller til alle. I den grad jeg trenger dette konfigurer jeg det i en fart.
Benytter også gjestenettverk der en Basic Firewall og DHCP foran ISA (typisk for møte rom med en switch). Både kablet og eller trådløst. Når nødvendig flytter jeg noen kabler i patche panelet. Altså, alltid en vei ut, men bak en brannmur. Hvem greier seg uten internett nå om dagen!
En løsning er å putte en hardware firewall foran ISA med noen Lan’s og portforwarde en av dem til den eksterne adressen på ISA server. Tredje løsning er gjeste nettverk i ISA Server med tre NICs. Kristian Nordbø har lagt ut en artikkel om ISA Server gjestenettverk her på smallbizserver.no.
Husk å sjekke opp server hardening av operativsystemet som skal kjøre ISA. MS har en utmerket side på dette med mengder at tips. Et annet tips er å installere FWC med msi og group policy. Det neste er å sperre brukers rett til å konfigurere Internett Explorer. Et unntak må da gjerne gjøres for bærbare PCer. Disse brukerne må også lære seg å slå av FWC når de ikke er i et nettverk med ISA Server. Det blir det alltid support av. Det er forresten noen ulemper med auto discovery. Husker dem bare ikke i farten. Mulig det har å gjøre med trafikkmengden.
Hvis du har mange brukere i domenet bør du muligens sende en tanke til driftssikkerheten på ISA Serveren boksen. Spesielt dersom dette er eneste brannmur. MS bruker kun ISA for å forsvare sitt nettverk. ISA 2000 hadde kun 12 pathcer. Det er verdensrekord jfr sikkerhetsguttene til MS. En fordel som jeg ofte peker på er den innebygde VPN serveren med RADIUS. Slipper da lisenser til hardware leverandør. Et godt produkt alt i alt synes jeg.
|
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 07:59 |
|
En sak til jeg kommer på i farten, hvis du bruker terminal services må du sende noen tanker til hvordan du skal kjøre management på ISA Server boksen. Det som er nytt i Windows 2003 her er at du kan kjøre flere RDP lyttere på samme TS boks på forsjellige porter. Har lagt ut dette i form av KB i bloggen eller som et svar i forumet. Søk på RDP dersom det er relevant. |
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
sjbnil
Ny bruker
Posts:26
|
| 01-03-2007 08:25 |
|
OK, med et halvt glass vin for mye innabords og i overivrighetens ånd ville jeg endre IP på DNS-serveren min over RDP. Det gikk ikke så bra, mistet all kontakt, så jeg må vente til i morgen med å få gjort noe mer. Kanskje like greit, så blir kona litt mindre grinete. Tror jeg fant ut hva det var som var "feilen" på proxyinnstillingene i IE, det var rett og slett bare at proxy sto definert manuelt på klienten min av en eller annen grunn. Satte at klientene skal identifisere proxyinnstillinger automatisk (via GPO), kjørte en gpupdate og voila' så er vi tilbake der vi var. Du sier at det er endel skyggesider med WPAD, men hvordan løses en manuell konfigurasjon hvis man skal rulle ut FWC via GPO? Slik jeg har sett det er det strengt tatt bare ved å rulle ut gjennom logon-script man får mulighet til å gi noen ekstra parametere som setter hvilken ISA-server som skal benyttes. Under GPO trengs det en .mst fil som jeg for harde livet har prøvd å lage ved hjelp av ORCA, uten hell. Det eneste jeg klarte å finne ut av der var at man slipper å få opp konfigureringsvinduet på første gangs pålogging for hver bruker dersom man gjorde om på et parameter, og satte at det skulle kjøres en restart etter installasjon (fungerer). Jeg kan ikke bruke logonscript til utrulling, ettersom brukerne mine er av den sorten som absolutt ikke skal være lokale administratorer. Er optimistisk nå, skal begynne å legge på litt ekstra i morgen og se på mulighetene for VLAN og gjestenettverk med det eksisterende utstyret vi har (det er MYE gammelt røkkel, kun én switch med management, og mye mobile brukere). Neste prosjekt er nok allikevel å sette opp RADIUS-server for en god nok autentisering via trådløst nett. Mitt nett har det største av de store sikkerhetshullene når det kommer til trådløst. Jeg fikk hakeslepp da jeg fikk vite om hvor latterlig dårlig det er satt opp. Hvis du har noen guider for oppsett av det også, så blir jeg glad laks Aksesspunktene mine støtter 802.1x med WPA kryptering, ikke WEP (leste en guide som gikk på punkter med WEP, og bare WEP). Angående terminalservere; jeg har kun samme typen brukere, med samme restriksjoner, som skal kjøre fra IP til terminalservere. Trenger jeg allikevel å tenke på ekstra ting til de boksene? Viktigst der er brannmurreglene. Takk for god hjelp så langt! |
|
|
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 09:04 |
|
Ikke helt lurt det med DNSen. Fort gjort.
Det jeg gjør er å konfigurere FW Client under General menypunktet. Der legger jeg inn parametere slik at FWC konfigurerer IE automatisk. Når så bruker slår av FWC så konfigurer FWC vekk IE settings. Har lagt meg til den vanen at auto discovery ikke er bra av en eller annen grunn som jeg ikke kommer på i farten.
Når det gjelder TS så må du tenke på dette pga ISA. Dersom dette går eksternt. Internt vil du ha DNS oppløsning, derfor kan du bruke servernavn i RDP klienten eller TSweb. Internt kan du også lage C-names om nødvendig. Alle servere kan da lytte på 3389. Eksternt går det ikke så bra. Mulig at du kan fikse dette med C-names men det har jeg ikke prøvd. RDP.… Hvis du skal publisere RDP over internett må du huske på at den eksterne IP adressen kun kan ha en referanse (forwarding) pr port nr. Dette kan eventuelt løses med flere eksterne IP adresser. Alternativt kan du teste C-names i ekstern DNS server. Jeg mener å huske at ISA 2004/6 kan plukke opp dette. Men jeg er slets ikke skråsikker, så ikke ta meg på det. Selv benytter jeg i slike situasjoner doble RDP lyttere på TS servere. En på 3389, og så suksessivt 90, 91 osv. Har ikke testet load balancing TS servere på dette. DNS oppløsning internt er gunstig dersom du benytter TSweb access spesielt dersom du benytter dette for å administrere PCer i domenet. Hvis du ikke gjør det, så bør du sette opp en TSweb access web site for remote administrasjon av PCer. Har du mange kan det være bryet hvert å hente PC navn fra AD, slik at du får en liste. Når du peker på listen overtar TS active-x client og vips så er du på PCen.
Tester Virtual Server 2005 R2 om dagen. Har lagt den inn på min SBS server hjemme. Vil installere en Win 2003 på den og teste TS server på boksen. Den jobber hardt! Mulig det blir en Hvordan Artikkel av det hele.
Veldig hyggelig at jeg kunne være til hjelp! |
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 09:07 |
|
Det er en guide for WPA som Baard har skrevet. Sjekk den under artikler. WPA2.... Det er mange rare kort ute å går. Sjekk mange ganger! Til slutt, sjekk artikkelen min vedr bruk av sertifikat på RDP lytter på Win 2003. Da får du full autentisering av serveren som du utleverer passordet til. Det er virkelig noe å ta med seg dersom du benytter egen sertifikat server osv..... |
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|
Dag Staale Jenssen
Moderator
Moderator
Posts:3268
|
| 01-03-2007 09:29 |
|
Skål!  |
|
| Smallbizserver.no gjør jobben litt lettere, fordi det er det kuleste og beste it forumet i Norge! |
|
|