sabato, giugno 09, 2007

ISA Server 2006/2004: Implementare un Accesso ad Internet diversificato fra Utenti di Dominio e Utenti NON di Dominio

Introduzione
In seguito al recente post di Simone73 sul forum di ISAServer.it ho deciso di pubblicare questa breve guida su come implementare un accesso ad Internet che preveda solo due classi di accesso:
1. "Utenti di dominio" con "Accesso Illimitato" ad Internet.
2. "Utenti NON di dominio" con "Accesso Limitato" ad Internet.


Utenti di dominio: Sono tutti gli utenti che hanno un account utente - Username/Password - ed un account computer in Active Directory.
Utenti NON di dominio: Sono tutti gli utenti che NON hanno un account utente e NON hanno un account computer in Active Directory - es. Consulenti esterni con portatile personale -.
Accesso Illimitato: Senza limitazioni su protocolli o destinazioni
Accesso Limitato: Con limitazioni su protocolli e destinazioni - es. Accesso solo via HTTP/HTTPS verso siti approvati -


Scenario:
Possiamo considerare il caso di una PMI – es. Luca Conte Srl – che abbia la necessità di consentire libero accesso ad Internet al personale interno ma accesso limitato al personale esterno – es. consulenti, venditori ecc. -. L’accesso limitato sarà ANONIMO, l’accesso illimitato sarà AUTENTICATO.
L’accesso ad Internet Limitato sarà consentito solo via Browser per i protocolli WEB: HTTP, HTTPS.
Ricordiamoci che l’accesso Limitato è considerato tale solo perchè pone un vincolo non tanto sui protocolli quanto sui siti WEB visitabili - White List -.
L’accesso ad Internet Illimitato sarà consentito dalle postazioni dove è presente il Firewall Client, il processo di autenticazione sarà completamente trasparente per l’utente in quanto saranno utilizzate le credenziali di accesso al dominio – Username/Password -. Il firewall Client sarà già presente sulle postazioni di dominio PC01 e PC02. Non sarà invece presente sulla postazione NB01.
Come illustrato nella figura seguente abbiamo un Domain Controller - DC01 -, Windows Server 2003 Standard Edition, su cui è installato ISA Server 2006 Standard Edition in configurazione Edge Firewall. Su DC01 è in esecuzione anche il servizio DNS configurato per risolvere i nomi su Internet.


Nota: Su DC01 NON deve essere installato il Firewall Client!!

DC01 è dotato di due schede di rete: 1-LAN, 1-WAN.
FW01 è un router/firewall hardware con funzioni di NAT.

Per poter ottenere ciò che vogliamo dobbiamo creare DUE SOLE regole e posizionarle nell’ordine corretto. L’ordine è IMPORTANTE.

NOTA:
E’ importante ricordare che ISA Server processa le regole dall’alto verso il basso e si ferma nell’elaborazione della Firewall Policy nel momento in cui trova “UNA” regola applicabile – sia Allow che Deny - alla richiesta di accesso.


Una volta definito il nostro scenario di riferimento mettiamoci all’opera.

Creazione dei Gruppi di Utenti
Per poter ottenere il risultato che ci siamo prefissi possiamo utilizzare i gruppi già presenti sul nostro ISA Server 2006. In particolare i gruppi: All Users e All Authenticated Users.
Il primo gruppo lo utilizzeremo nella Access rule per un accesso Limitato ad Internet; il secondo invece lo utilizzeremo nella Access rule per un accesso Illimitato ad Internet.
Quindi non dobbiamo fare nessuna modifica in Active Directory e possiamo spostarci subito nella consolle amministrativa del nostro ISA Server 2006.

Creazione dell’elenco delle URL autorizzate
Per poter definire un elenco di URL – siti Internet - autorizzati dobbiamo creare un oggetto URL Set.
Dalla consolle di ISA Server ci basta fare clic su Firewall Policy e, dalla barra dei comandi, selezioniamo VIEW SWITCH TO Toolbox.


Ripetiamo nuovamente il passaggio VIEW SWITCH TO Toolbox e adesso selezioniamo Toolbox Network Objects. Ci postiamo nella parte destra della consolle di amministrazione di ISA Server e facciamo clic, con il tasto destro del mouse, su URL Sets – la quartultima voce - e selezioniamo New URL Set...
Inseriamo nel campo Name il nome che vogliamo assegnare all’oggetto – es. ALLOWED URL -, dopodiché facciamo clic sul pulsante ADD per inserire una URL autorizzata; per aggiungere nuove URL dobbiamo fare nuovamente clic su ADD; di seguito un esempio di URL autorizzate:
*.isaserver.it
*.lucaconte.it
*.compaq.com
*.ibm.com
*.hp.com



NOTA: Quello che è importante notare è che NON DOBBIAMO inserire nessuna specifica di protocollo – es. HTTP o HTTPS – cosi come non abbiamo specificato la parte host – es. www -. Questo per consentire l’accesso a domini di terzo livello – es. formazione.isaserver.it – e cartelle virtuali – es. www.isaserver.it/forum o www.isaserver.it/blog -.

Una volta completato l’elenco delle URL autorizzate facciamo clic su OK, applichiamo le modifiche, e passiamo alla creazione delle Access rule.

Creazione della Access rule Accesso WEB Limitato
Il processso di creazione della Access Rule è estremamente banale, ci basterà seguire il Wizard per la loro creazione, avendo però l’accortezza di impostare i seguenti valori:

Name:
Accesso WEB Limitato
Description: Uso Autorizzato solo per il personale Esterno all’azienda
Type
: Allow
Protocols: HTTP,HTTPS
From: Internal
To: ALLOWED URL
Users: All Users

Creazione della Access rule Accesso WEB Illimitato
In questo caso creeremo una Access rule con i seguenti valori:

Name: Accesso WEB Illimitato
Description: Uso Autorizzato solo per il personale Interno all’azienda
Type: Allow
Protocols: All Outbound Protocols
From: Internal
To: External
Users: All Authenticated Users

IMPORTANTE:
A questo punto abbiamo creato le due Access rule, prima di applicare le modifiche verifichiamo che la regola Accesso WEB Limitato venga processata PRIMA della regola Accesso WEB Illimitato.
La nostre Access rule dovranno presentarsi in quest’ordine:


NOTA: Le nostre due regole dovranno essere posizionate DOPO le regole di pubblicazione e dopo le regole che interessano i servizi infrastrutturali in esecuzione su DC01 –es. DHCP, DNS, WINS, CIFS -.

A questo punto possiamo applicare le modifiche. Facciamo il reset delle Sessioni attive così da rendere immediatamente operative le nuove regole e nella sezione monitoring avviamo il Logging per verificare che le nostre regole si comportino a dovere.

WEB Limitato
Esempio di LOG per Accesso WEB Limitato ad un sito WEB NON presente nella ALLOWED URL – es. www.ansa.it -



Cosa visualizza il client:

Esempio di LOG per Accesso WEB Limitato ad un sito WEB presente nella ALLOWED URL – es. www.lucaconte.it -


Cosa visualizza il client:


WEB Illimitato
Esempio di LOG per Accesso ad un sito WEB NON presente nella ALLOWED URL – es.
www.ansa.it


Cosa visualizza il client:


Consclusioni:
Abbiamo visto come sia semplice razionalizzare l’utilizzo di Internet fra due tipologie di utenti: Dominio, Non di dominio; limitando al tempo stesso il raggio di azione degli utenti che non sono sotto la nostra diretta responsabilità. Questa configurazione di base può essere modificata ed adattata ad altre modalità di utilizzo. Ad esempio si potrebbe decidere di implementare una WHITE LIST – elenco di siti autorizzati – per tutti gli utenti del dominio impedendo utilizzi illegali della nostra rete aziendale – es. download di materiale protetto da copyright da Internet -. Questo sarà comunque oggetto di un altro post ;-).

Per domande/commenti potete srivere direttamente sul blog oppure postare sul forum nella sezione Caffè con gli autori.

Buon lavoro con ISAServer.it
Luca

Luca Conte - ISAServer.it - Tutti i diritti riservati. Vietata la riproduzione senza consenso scritto dell'autore.
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.

domenica, giugno 03, 2007

Virtualizzare ISA Server in produzione è possibile

Qui di seguito sono riportate le configurazioni virtualizzate supportate da Microsoft con Microsoft Virtual Server 2005 R2 :

ISA Server 2000 – Non supportato*.
ISA Server 2004Non supportato*.
ISA Server 2006Supportato ma con limitazioni**.

(*) Non supportato anche quando è parte di una installazione SBS Premium Edition. SBS PE è supportato in ambienti virtualizzati solo quando ISA Server non è parte dell'installazione - KB840319 -.

(**)Non sono supportate le configurazioni di tipo Edge, con ISA Server 2006 sulla frontiera. Sono invece supportate configurazioni dove sia presente un altro firewall - es. un altro Microsoft ISA Server - non virtualizzato a protezione della frontiera. Configurazioni supportate:
• Forward Proxy.
• Web e Server Publishing.
• Caching.

Osservazioni:
Anche se non espressamente indicato è logico dedurre che non sia supportata anche la configurazione che prevede l’installazione di ISA Server 2006 come firewall di backend in una installazione Back-to-Back (segue approfondimento!).


Update del 5.6.07:

La topologia di rete Edge - da non confondere con il Template di ISA Server - prende in considerazione i seguenti scenari:
- Edge: ISA Server connesso con una interfaccia alla rete Internal e l'altra connessa alla rete External.
- Back-to-Back:
Front End - ISA Server connesso con una interfaccia alla rete External e l'altra connessa alla rete Perimetrale (DMZ).
Back End - ISA Server connesso con una interfaccia alla rete Perimetrale (DMZ) e l'altra connessa alla rete Internal.
- Three-Legs: ISA Server con almeno tre interfacce, una connessa alla rete External, una connessa alla rete Perimetrale (DMZ) e l'altra connessa alla rete Internal.

Quindi la mia osservazione è confermata! Non è supportata la configurazione che prevede l’installazione di ISA Server 2006 come firewall di backend in una installazione Back-to-Back.

Di seguito l'estratto dal documento ufficiale Microsoft:
"...
Network Topology Considerations
ISA Server is commonly used in the following network topologies:
• Edge configuration.
This includes the following topologies:
• ISA Server protecting the edge, with one adapter connected to the Internal network, and the other connected to the External network.
• A back-to-back configuration, with ISA Server as the front firewall protecting the edge, with an adapter connected to the External network and an adapter connected to a perimeter network. A back-end firewall (which may be ISA Server or a third-party product) configured between the perimeter network and the Internal network.
• A three-legged configuration, with ISA Server configured with three network adapters connected to the Internal network, the External network, and a perimeter network.
..."
fonte:
Microsoft Technet
**********
Al momento il supporto prende in considerazione solo Microsoft Virtual Server 2005 R2 e non altri ambienti di virtualizzazione come VMWare Server o ESX Server.

Di seguito il comunicato ufficiale in lingua inglese:
“....
ISA Server Support in a Virtual Environment
Problem: ISA Server 2004 is not supported in a virtual environment. ISA Server 2006 is supported in specific scenarios.
Solution: Installation of ISA Server 2006 on Microsoft Virtual Server 2005 R2 is supported. However, when ISA Server 2006 is running on a virtual server, it cannot protect the Windows operating system that hosts the Virtual Server software. With Virtual Server, ISA Server should not be used in an edge firewall scenario, and this configuration is not supported. You can use this configuration securely in other scenarios, for example:
• A laboratory deployment.
• A production environment in which ISA Server 2006 on Virtual Server provides Web proxy services such as forward proxy, publishing, and caching, and is protected by an edge firewall such as an additional ISA Server computer or array.
• There is no workaround for ISA Server 2004.
...”

Riferimenti:
Troubleshooting Unsupported Configurations in ISA Server
KB840319
KB897614
ISA Server Team Blog
Microsoft Virtual Server 2005 R2
Microsoft ISA Server 2006

Buon Lavoro con ISAServer.it
Luca

ISAServer.it è parte dell'ISA Advisory Group per ISA Server 2008? (aka Nitrogen)

Sono orgoglioso di comunicare che sono entrato a far parte dell’ISA Advisory Group per la nuova release di ISA Server, nome in codice NITROGEN. Questa è sicuramente una grande opportunita’ per poter vedere fin dall’inizio la nuova release di ISA Server.

Come membro del programma non mi è possibile divulgare informazioni ma, tramite l’apposita area sul forum di ISAServer.it, posso sicuramente fare miei i vostri commenti, critiche e suggerimenti per la nuova release di ISA Server.

Per postare i vostri commenti, suggerimenti e critiche utilizzate l’apposita sezione sul forum:
http://www.isaserver.it/forum/forum.asp?FORUM_ID=29

Questa è una grande opportunità per far sentire la nostra voce!

Buon lavoro con ISAServer.it
Luca