ISA Server 2006/2004: Implementare un Accesso ad Internet diversificato fra Utenti di Dominio e Utenti NON di Dominio
Introduzione
In seguito al recente post di Simone73 sul forum di ISAServer.it ho deciso di pubblicare questa breve guida su come implementare un accesso ad Internet che preveda solo due classi di accesso:
1. "Utenti di dominio" con "Accesso Illimitato" ad Internet.
2. "Utenti NON di dominio" con "Accesso Limitato" ad Internet.
Utenti di dominio: Sono tutti gli utenti che hanno un account utente - Username/Password - ed un account computer in Active Directory.
Utenti NON di dominio: Sono tutti gli utenti che NON hanno un account utente e NON hanno un account computer in Active Directory - es. Consulenti esterni con portatile personale -.
Accesso Illimitato: Senza limitazioni su protocolli o destinazioni
Accesso Limitato: Con limitazioni su protocolli e destinazioni - es. Accesso solo via HTTP/HTTPS verso siti approvati -
Scenario:
Possiamo considerare il caso di una PMI – es. Luca Conte Srl – che abbia la necessità di consentire libero accesso ad Internet al personale interno ma accesso limitato al personale esterno – es. consulenti, venditori ecc. -. L’accesso limitato sarà ANONIMO, l’accesso illimitato sarà AUTENTICATO.
L’accesso ad Internet Limitato sarà consentito solo via Browser per i protocolli WEB: HTTP, HTTPS.
Ricordiamoci che l’accesso Limitato è considerato tale solo perchè pone un vincolo non tanto sui protocolli quanto sui siti WEB visitabili - White List -.
L’accesso ad Internet Illimitato sarà consentito dalle postazioni dove è presente il Firewall Client, il processo di autenticazione sarà completamente trasparente per l’utente in quanto saranno utilizzate le credenziali di accesso al dominio – Username/Password -. Il firewall Client sarà già presente sulle postazioni di dominio PC01 e PC02. Non sarà invece presente sulla postazione NB01.
Come illustrato nella figura seguente abbiamo un Domain Controller - DC01 -, Windows Server 2003 Standard Edition, su cui è installato ISA Server 2006 Standard Edition in configurazione Edge Firewall. Su DC01 è in esecuzione anche il servizio DNS configurato per risolvere i nomi su Internet.
Nota: Su DC01 NON deve essere installato il Firewall Client!!
DC01 è dotato di due schede di rete: 1-LAN, 1-WAN.
FW01 è un router/firewall hardware con funzioni di NAT.
Per poter ottenere ciò che vogliamo dobbiamo creare DUE SOLE regole e posizionarle nell’ordine corretto. L’ordine è IMPORTANTE.
NOTA: E’ importante ricordare che ISA Server processa le regole dall’alto verso il basso e si ferma nell’elaborazione della Firewall Policy nel momento in cui trova “UNA” regola applicabile – sia Allow che Deny - alla richiesta di accesso.
Una volta definito il nostro scenario di riferimento mettiamoci all’opera.
Creazione dei Gruppi di Utenti
Per poter ottenere il risultato che ci siamo prefissi possiamo utilizzare i gruppi già presenti sul nostro ISA Server 2006. In particolare i gruppi: All Users e All Authenticated Users.
Il primo gruppo lo utilizzeremo nella Access rule per un accesso Limitato ad Internet; il secondo invece lo utilizzeremo nella Access rule per un accesso Illimitato ad Internet.
Quindi non dobbiamo fare nessuna modifica in Active Directory e possiamo spostarci subito nella consolle amministrativa del nostro ISA Server 2006.
Creazione dell’elenco delle URL autorizzate
Per poter definire un elenco di URL – siti Internet - autorizzati dobbiamo creare un oggetto URL Set.
Dalla consolle di ISA Server ci basta fare clic su Firewall Policy e, dalla barra dei comandi, selezioniamo VIEW SWITCH TO Toolbox.
Ripetiamo nuovamente il passaggio VIEW SWITCH TO Toolbox e adesso selezioniamo Toolbox Network Objects. Ci postiamo nella parte destra della consolle di amministrazione di ISA Server e facciamo clic, con il tasto destro del mouse, su URL Sets – la quartultima voce - e selezioniamo New URL Set...
Inseriamo nel campo Name il nome che vogliamo assegnare all’oggetto – es. ALLOWED URL -, dopodiché facciamo clic sul pulsante ADD per inserire una URL autorizzata; per aggiungere nuove URL dobbiamo fare nuovamente clic su ADD; di seguito un esempio di URL autorizzate:
*.isaserver.it
*.lucaconte.it
*.compaq.com
*.ibm.com
*.hp.com
NOTA: Quello che è importante notare è che NON DOBBIAMO inserire nessuna specifica di protocollo – es. HTTP o HTTPS – cosi come non abbiamo specificato la parte host – es. www -. Questo per consentire l’accesso a domini di terzo livello – es. formazione.isaserver.it – e cartelle virtuali – es. www.isaserver.it/forum o www.isaserver.it/blog -.
Una volta completato l’elenco delle URL autorizzate facciamo clic su OK, applichiamo le modifiche, e passiamo alla creazione delle Access rule.
Creazione della Access rule Accesso WEB Limitato
Il processso di creazione della Access Rule è estremamente banale, ci basterà seguire il Wizard per la loro creazione, avendo però l’accortezza di impostare i seguenti valori:
Name: Accesso WEB Limitato
Description: Uso Autorizzato solo per il personale Esterno all’azienda
Type: Allow
Protocols: HTTP,HTTPS
From: Internal
To: ALLOWED URL
Users: All Users
Creazione della Access rule Accesso WEB Illimitato
In questo caso creeremo una Access rule con i seguenti valori:
Name: Accesso WEB Illimitato
Description: Uso Autorizzato solo per il personale Interno all’azienda
Type: Allow
Protocols: All Outbound Protocols
From: Internal
To: External
Users: All Authenticated Users
IMPORTANTE:
A questo punto abbiamo creato le due Access rule, prima di applicare le modifiche verifichiamo che la regola Accesso WEB Limitato venga processata PRIMA della regola Accesso WEB Illimitato.
La nostre Access rule dovranno presentarsi in quest’ordine:
NOTA: Le nostre due regole dovranno essere posizionate DOPO le regole di pubblicazione e dopo le regole che interessano i servizi infrastrutturali in esecuzione su DC01 –es. DHCP, DNS, WINS, CIFS -.
A questo punto possiamo applicare le modifiche. Facciamo il reset delle Sessioni attive così da rendere immediatamente operative le nuove regole e nella sezione monitoring avviamo il Logging per verificare che le nostre regole si comportino a dovere.
WEB Limitato
Esempio di LOG per Accesso WEB Limitato ad un sito WEB NON presente nella ALLOWED URL – es. www.ansa.it -
Cosa visualizza il client:
Esempio di LOG per Accesso WEB Limitato ad un sito WEB presente nella ALLOWED URL – es. www.lucaconte.it -
Cosa visualizza il client:
WEB Illimitato
Esempio di LOG per Accesso ad un sito WEB NON presente nella ALLOWED URL – es. www.ansa.it –
Cosa visualizza il client:
Consclusioni:
Abbiamo visto come sia semplice razionalizzare l’utilizzo di Internet fra due tipologie di utenti: Dominio, Non di dominio; limitando al tempo stesso il raggio di azione degli utenti che non sono sotto la nostra diretta responsabilità. Questa configurazione di base può essere modificata ed adattata ad altre modalità di utilizzo. Ad esempio si potrebbe decidere di implementare una WHITE LIST – elenco di siti autorizzati – per tutti gli utenti del dominio impedendo utilizzi illegali della nostra rete aziendale – es. download di materiale protetto da copyright da Internet -. Questo sarà comunque oggetto di un altro post ;-).
Per domande/commenti potete srivere direttamente sul blog oppure postare sul forum nella sezione Caffè con gli autori.
Buon lavoro con ISAServer.it
Luca
Luca Conte - ISAServer.it - Tutti i diritti riservati. Vietata la riproduzione senza consenso scritto dell'autore.
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
posted by Luca Conte MCSE MCT MCSA VCP ITIL @ 19:35
6 comments
