sabato, giugno 09, 2007

ISA Server 2006/2004: Implementare un Accesso ad Internet diversificato fra Utenti di Dominio e Utenti NON di Dominio

Introduzione
In seguito al recente post di Simone73 sul forum di ISAServer.it ho deciso di pubblicare questa breve guida su come implementare un accesso ad Internet che preveda solo due classi di accesso:
1. "Utenti di dominio" con "Accesso Illimitato" ad Internet.
2. "Utenti NON di dominio" con "Accesso Limitato" ad Internet.


Utenti di dominio: Sono tutti gli utenti che hanno un account utente - Username/Password - ed un account computer in Active Directory.
Utenti NON di dominio: Sono tutti gli utenti che NON hanno un account utente e NON hanno un account computer in Active Directory - es. Consulenti esterni con portatile personale -.
Accesso Illimitato: Senza limitazioni su protocolli o destinazioni
Accesso Limitato: Con limitazioni su protocolli e destinazioni - es. Accesso solo via HTTP/HTTPS verso siti approvati -


Scenario:
Possiamo considerare il caso di una PMI – es. Luca Conte Srl – che abbia la necessità di consentire libero accesso ad Internet al personale interno ma accesso limitato al personale esterno – es. consulenti, venditori ecc. -. L’accesso limitato sarà ANONIMO, l’accesso illimitato sarà AUTENTICATO.
L’accesso ad Internet Limitato sarà consentito solo via Browser per i protocolli WEB: HTTP, HTTPS.
Ricordiamoci che l’accesso Limitato è considerato tale solo perchè pone un vincolo non tanto sui protocolli quanto sui siti WEB visitabili - White List -.
L’accesso ad Internet Illimitato sarà consentito dalle postazioni dove è presente il Firewall Client, il processo di autenticazione sarà completamente trasparente per l’utente in quanto saranno utilizzate le credenziali di accesso al dominio – Username/Password -. Il firewall Client sarà già presente sulle postazioni di dominio PC01 e PC02. Non sarà invece presente sulla postazione NB01.
Come illustrato nella figura seguente abbiamo un Domain Controller - DC01 -, Windows Server 2003 Standard Edition, su cui è installato ISA Server 2006 Standard Edition in configurazione Edge Firewall. Su DC01 è in esecuzione anche il servizio DNS configurato per risolvere i nomi su Internet.


Nota: Su DC01 NON deve essere installato il Firewall Client!!

DC01 è dotato di due schede di rete: 1-LAN, 1-WAN.
FW01 è un router/firewall hardware con funzioni di NAT.

Per poter ottenere ciò che vogliamo dobbiamo creare DUE SOLE regole e posizionarle nell’ordine corretto. L’ordine è IMPORTANTE.

NOTA:
E’ importante ricordare che ISA Server processa le regole dall’alto verso il basso e si ferma nell’elaborazione della Firewall Policy nel momento in cui trova “UNA” regola applicabile – sia Allow che Deny - alla richiesta di accesso.


Una volta definito il nostro scenario di riferimento mettiamoci all’opera.

Creazione dei Gruppi di Utenti
Per poter ottenere il risultato che ci siamo prefissi possiamo utilizzare i gruppi già presenti sul nostro ISA Server 2006. In particolare i gruppi: All Users e All Authenticated Users.
Il primo gruppo lo utilizzeremo nella Access rule per un accesso Limitato ad Internet; il secondo invece lo utilizzeremo nella Access rule per un accesso Illimitato ad Internet.
Quindi non dobbiamo fare nessuna modifica in Active Directory e possiamo spostarci subito nella consolle amministrativa del nostro ISA Server 2006.

Creazione dell’elenco delle URL autorizzate
Per poter definire un elenco di URL – siti Internet - autorizzati dobbiamo creare un oggetto URL Set.
Dalla consolle di ISA Server ci basta fare clic su Firewall Policy e, dalla barra dei comandi, selezioniamo VIEW SWITCH TO Toolbox.


Ripetiamo nuovamente il passaggio VIEW SWITCH TO Toolbox e adesso selezioniamo Toolbox Network Objects. Ci postiamo nella parte destra della consolle di amministrazione di ISA Server e facciamo clic, con il tasto destro del mouse, su URL Sets – la quartultima voce - e selezioniamo New URL Set...
Inseriamo nel campo Name il nome che vogliamo assegnare all’oggetto – es. ALLOWED URL -, dopodiché facciamo clic sul pulsante ADD per inserire una URL autorizzata; per aggiungere nuove URL dobbiamo fare nuovamente clic su ADD; di seguito un esempio di URL autorizzate:
*.isaserver.it
*.lucaconte.it
*.compaq.com
*.ibm.com
*.hp.com



NOTA: Quello che è importante notare è che NON DOBBIAMO inserire nessuna specifica di protocollo – es. HTTP o HTTPS – cosi come non abbiamo specificato la parte host – es. www -. Questo per consentire l’accesso a domini di terzo livello – es. formazione.isaserver.it – e cartelle virtuali – es. www.isaserver.it/forum o www.isaserver.it/blog -.

Una volta completato l’elenco delle URL autorizzate facciamo clic su OK, applichiamo le modifiche, e passiamo alla creazione delle Access rule.

Creazione della Access rule Accesso WEB Limitato
Il processso di creazione della Access Rule è estremamente banale, ci basterà seguire il Wizard per la loro creazione, avendo però l’accortezza di impostare i seguenti valori:

Name:
Accesso WEB Limitato
Description: Uso Autorizzato solo per il personale Esterno all’azienda
Type
: Allow
Protocols: HTTP,HTTPS
From: Internal
To: ALLOWED URL
Users: All Users

Creazione della Access rule Accesso WEB Illimitato
In questo caso creeremo una Access rule con i seguenti valori:

Name: Accesso WEB Illimitato
Description: Uso Autorizzato solo per il personale Interno all’azienda
Type: Allow
Protocols: All Outbound Protocols
From: Internal
To: External
Users: All Authenticated Users

IMPORTANTE:
A questo punto abbiamo creato le due Access rule, prima di applicare le modifiche verifichiamo che la regola Accesso WEB Limitato venga processata PRIMA della regola Accesso WEB Illimitato.
La nostre Access rule dovranno presentarsi in quest’ordine:


NOTA: Le nostre due regole dovranno essere posizionate DOPO le regole di pubblicazione e dopo le regole che interessano i servizi infrastrutturali in esecuzione su DC01 –es. DHCP, DNS, WINS, CIFS -.

A questo punto possiamo applicare le modifiche. Facciamo il reset delle Sessioni attive così da rendere immediatamente operative le nuove regole e nella sezione monitoring avviamo il Logging per verificare che le nostre regole si comportino a dovere.

WEB Limitato
Esempio di LOG per Accesso WEB Limitato ad un sito WEB NON presente nella ALLOWED URL – es. www.ansa.it -



Cosa visualizza il client:

Esempio di LOG per Accesso WEB Limitato ad un sito WEB presente nella ALLOWED URL – es. www.lucaconte.it -


Cosa visualizza il client:


WEB Illimitato
Esempio di LOG per Accesso ad un sito WEB NON presente nella ALLOWED URL – es.
www.ansa.it


Cosa visualizza il client:


Consclusioni:
Abbiamo visto come sia semplice razionalizzare l’utilizzo di Internet fra due tipologie di utenti: Dominio, Non di dominio; limitando al tempo stesso il raggio di azione degli utenti che non sono sotto la nostra diretta responsabilità. Questa configurazione di base può essere modificata ed adattata ad altre modalità di utilizzo. Ad esempio si potrebbe decidere di implementare una WHITE LIST – elenco di siti autorizzati – per tutti gli utenti del dominio impedendo utilizzi illegali della nostra rete aziendale – es. download di materiale protetto da copyright da Internet -. Questo sarà comunque oggetto di un altro post ;-).

Per domande/commenti potete srivere direttamente sul blog oppure postare sul forum nella sezione Caffè con gli autori.

Buon lavoro con ISAServer.it
Luca

Luca Conte - ISAServer.it - Tutti i diritti riservati. Vietata la riproduzione senza consenso scritto dell'autore.
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.

6 Comments:

At 2:39 AM, Blogger Marcello said...

Ciao Luca,
anche se sarai subissato di complimenti, ti... becchi anche i miei!
Soprattutto dopo aver letto la tua biografia e dato un'occhiata ai tuoi interessi!
Questo è il mio primo post e sono anche un neofita nell'uso di ISA Server; anzi: se torno da lavoro col mal di testa è per "colpa" tua, visto che ho deciso di adottarlo dopo aver visitato il forum ;)
Ho letto con interesse i tuoi articoli ed i forum che in pratica costituiscono il mio "materiale didattico"!
Ci sarebbero un mucchio di cose che vorrei chiederti ma avrai un sacco di post da leggere e non vorrei toglierti troppo tempo!

In particolare, in riferimento a quest'articolo e alla discussione con Simone73 ti chiedo di togliermi alcune perplessità:

1)Può coesistere ISA Server 2006 su un Win2K3 Server con implementato AD e funzionare correttamente?
2)Se si, come impostare correttamente le policy per gestire i gruppi di utenti in AD (non solo quelli di default di ISA) e gli utenti non autenticati?
3)Infine, come fare affinché gli utenti client autenticati possano scaricare la posta (di provider esterni es. Libero.it) con O.Express?

La rete è composta da 15 PC WinXp suddivisi in due Subnet e connessi a Win2K3 sul quale è installato DNS, AD, Routing, IIS e DHCP!

Da qualche giorno sto facendo dei test con ISA Server dopo la smessa lavori, installandolo direttamente sul server!
L'obiettivo è quello di consentire la navigazione tra le due sottoreti + le risorse del Server e su internet ai soli utenti autenticati e che godono di determinati privilegi!
I computer privati che si connettono ad una eventuale presa di rete dovrebbero rimanere "isolati"!

Su un Client (di prova) ho installato il FWClient (che si connette)!
Seguendo le indicazioni sul forum riesco ad ottenere questi risultati:
- Il Server naviga in Internet e O.Express legge la posta.
- Il Client naviga solo se imposto il Server come proxy.
- Il Client non riesce a leggere la posta con O.Express (anche escludendo il proxy)
- Il Client non "vede" il server a meno di impostare la policy in ISA come "All Users" (ovvero non riesco a gestire gli Utenti/Gruppi di AD).

So di essere stato impreciso e sicuramente avrò omesso qualcosa ma ti pregherei di darmi una linea guida da seguire...!

Ti ringrazio per il tuo tempo e scusami se in qualche modo ho infranto un'eventuale regola di cortesia: non sono abituato a chiedere senza poter dare; spero che in qualche modo io possa controcambiare in futuro!

 
At 8:23 PM, Blogger Luca Conte MCSE MCT MCSA said...

Ciao Marcello,
grazie per i complimenti...non sono mai abbastanza :-).

Il luogo ideale per affrontare le tue problematiche e condividerle con gli altri e' il forum di ISAServer.it - http://www.isaserver.it/forum -. Iscriviti e posta tranquillamente. Sia io che Giulio saremo ben lieti di darti una mano a mettere in produzione il tuo ISA Server ed a sfruttarlo appieno.

Per quanto riguarda il contraccambiare sarei ben lieto di averti fra i membri attivi del forum, luogo ideale di confronto, apprendimento....e perche' no, diventerdosi anche!! :-)

A presto sul forum di ISAServer.it con il tuo scenario.
Luca

 
At 2:26 PM, Blogger Mattatore TDE said...

Ottimo articolo

 
At 3:59 PM, Blogger Enrico said...

Ciao Luca,
Ho seguito la tua guida e ho provato ad applicare la tua regola sull'accesso limitato agli utenti della mia rete.
Ti descrivo la situazione e poi eventualmente mi saprai dire dove sbaglio :D
Io ho una piccola rete wifi aziendale dove gli utenti utilizzano i propri pc personali per connettersi ad internet
ed utilizzare 2 paginette. Il mio server isa nn è all'interno di un dominio e quindi deve filtrare gli IP che rilascio
manualmente e impedirgli praticamente qualunque cosa tranne l'accesso a 2 o 3 risorse su protocollo HTTP e HTTPS.
La prima cosa che feci è stata quella di creare una black list in cui di volta in volta inserivo i siti "canaglia"
ma quando ho "nasato" l'uso dei webproxy ho deciso di chiudergli tutto e fargli questo piccolo regalo...
una bella white list in cui mettere le sole risorse accessibili.
Ho creato due regole per la black dove in una apro tutto il traffico ad esclusione di FTP e istant messaging e
la seconda in cui chiudo l'http e l'https sui siti canaglia.
X la white list ho fatto come tu hai descritto ma anzichè fare il controllo sugli account,
ho direttamente chiuso tutto me compreso giusto per effettuare delle prove.
A questo punto ho aperto i siti permessi ma nn funziona nulla.
se però provo a fare una regola di accesso illimitato torna tutto ok ma sembra che questo accesso limitato non funzioni su alcuni siti.
Spero di aver fatto tutto correttamente e che la colpa sia magari dovuta ad altro però ...
xchè neanche google e libero mi si aprono???

ti allego gli screen delle mie regole...

ciao

http://i44.tinypic.com/15p6h4i.jpg

http://i39.tinypic.com/e6rho4.jpg

http://i44.tinypic.com/2cny2cj.jpg

se volessi contattarmi privatamente te ne sarei molto grato.
enri1981@libero.it

 
At 11:41 AM, Blogger nicola russo said...

Ciao Luca, volevo chiederti una cosa molto semplice, ho creato questa regola inserendo i siti dove gli utenti devono navigare ma ho notato che se abilito un link http funziona se ne abilito uno https invece non mi trova la pagina. Cosa potrebbe essere. Eppure ho inserito il protocollo https in protocolli.

 
At 12:24 PM, Blogger Luca Conte MCSE MCT MCSA VCP said...

Ciao Nicola,
dovresti verificare che il browser che utilizzi sia configurato per inviare ad ISA Server tutte le richieste sia HTTP sia HTTPS. Puoi verificarlo nella Strumenti| Opzioni Internet | Impostazioni LAN.
La porta dove, per default, ISA ascolta le richieste HTTP/HTTPS è la 8080.
Scrivi comunque sul forum, luogo ideale per parlarne.
Ciao
Luca

 

Posta un commento

<< Home