mercoledì, gennaio 30, 2008

Windows Vista + One Care: Il mistero delle connessioni VPN

Un problema che si verifica su postazioni Windows Vista con Microsoft One Care in esecuzione è l'impossibilità di creare connessioni VPN uscenti.

Il problema è stato evidenziato da NSW sul forum di ISAServer.it  In questo articolo vedremo cosa fare per poter creare su Windows Vista connessioni di rete funzionanti per creare una VPN Client/Server con il nostro ISA Server 2006.

Scenario:
Dominio Active Directory:
corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge, VPN Server 
JMP-NB: Client non di dominio - Notebook - con Windows Vista Business e Microsoft One Care

JMP-ISA è configurato come server VPN per consentire l'accesso da remoto al dominio corp.isaserver.it. La configurazione di ISA Server come VPN Server è opertiva e funzionante così come l'accesso al rete interna da parte dei client VPN. La configurazione di ISA Server 2006 come server VPN sarà oggetto di un nuovo articolo.

PROBLEMA RISCONTRATO su JMP-NB:
Creando una connessione VPN tramite il Wizard di Windows Vista, quindi nessuna impostazione particolare ma la sola impostazione di default, si verifica il seguente errore quando tentiamo di connetterci al nostro server VPN - vpn.isaserver.it -:

errore 807 vista 

Controllando il registro eventi di Windows Vista e non si ottengono altre informazioni, che permettano di capire l'origine del problema:

registro eventi vista 
Allo stato attuale non riusciamo a connettere la nostra postazione Windows Vista alla rete interna di corp.isaserver.it.

MICROSOFT ONE CARE
Su JMP-NB è in esecuzione Microsoft One Care. Andiamo a verificare come si comporta One Care con le connessioni VPN. Lanciamo Microsoft One Care ed andiamo nella sezione Firewall e poi facciamo clic sul pulsante Impostazioni avanzate

 One Care Vista
Dopodichè selezioniamo la sezione Porte e protocolli e, scorrendo l'elenco delle porte e protocolli, vediamo che la voce Rete privata virtuale (IPSec o PPTP) non è abilitata. Con questa configurazione, quella di default, Microsoft One Care NON consente la creazione di connessioni VPN uscenti.
Per risolvere il "mistero" delle connessioni VPN abilitiamo la voce Rete privata virtuale (IPSec o PPTP) e facciamo clic su OK.

One Care Abilita VPN

Chiudiamo le finestre di One Care facendo clic su OK. Adesso proviamo nuovamente a connetterci alla rete interna di corp.isaserver.it tramite il nostro server VPN.

CONNETTIAMOCI VIA VPN A CORP.ISASERVER.IT
Su JMP-NB lanciamo la connessione VPN a corp.isaserver.it e  vedremo andare a buon  fine la connessione...

registrazione-vpn 
...in più ci viene proposta la schermata di selezione, sempre da Microsoft One Care, del livello di protezione.

one-care-select-network
Connettiamoci alla rete aziendale selezionando Domestica o di lavoro. Adesso siamo connessi alla rete interna di corp.isaserver.it. Per scrupolo verifichiamo la connettività con il dominio corp.isaserver.it con qualche semplice test.

TEST DI CONNETTIVITA'
Facciamo due semplici test di connettività per verificare l'effettiva raggiungibilità dei server interni.
1° test: 
Ping sul domain controller JMP-DC.corp.isaserver.it
Esito:
OK

ping-jmp-dc 
2° test: 
Accesso allo share \\JMP-DC.corp.isaserver.it\SYSVOL sul domain controller.
Esito:
OK

share-jmp-dc
share-jmp-dc-02

COSA REGISTRA ISA SERVER 2006
Se lanciamo la consolle di amministrazione di ISA Server 2006 vedremo che nella sezione Monitoring | Session | Session Type VPN Clients, sarà visualizzata la nostra connessione VPN.

session-vpn-isa 
Nella sezione Monitoring | Logging vedremo il tracciato record della connessione PPTP
isa-log-vpn
Conclusione

In questo breve articolo abbiamo visto come consentire connessioni VPN uscenti da sistemi Microsoft Windows Vista che utilizzano Microsoft One Care come prodotto di protezione. Lascia effettivamente perplessi il fatto che non venga notificato, sia negli eventi di sistema sia negli eventi di One Care, il blocco della connessione VPN da parte di quest'ultimo. Non ho fatto una verifica con One Care su Windows XP, ma mi aspetto che il problema sia identico visto che la causa è One Care e non Windows. Come server VPN abbiamo utilizzato ISA Server 2006, ma poteva trattarsi di un qualunque altro server VPN Windows.

Per domande su One Care vi rimando ai newsgroup Microsoft, per ciò che riguarda invece ISA Server con domande, commenti o suggerimenti il luogo ideale è sempre il forum di ISAServer.it.
Buona lettura

Etichette: , , , ,

domenica, gennaio 27, 2008

Distribuire il Firewall Client con le Group Policy

Quello che vedremo in questo articolo è la distribuzione del firewall client di ISA Server mediante le Group Policy. Utilizzare le group policy ha l'indubbio vantaggio di permetterci di gestire in maniera centralizzata l'intero ciclo di gestione del software: installazione, aggiornamento, disinstallazione.

Questo è possibile solo se abbiamo un dominio Active Directory e le postazioni su cui deve essere installato il firewall client appartengono al dominio.

Combinando l'utilizzo delle Group Policy con l'Automatic Discovery possiamo rendere la nostra infrastruttura flessibile e dinamica, riducendo al minimo gli interventi sui client.

Scenario:
Dominio:
corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: File server per la distribuzione del software  via GP 
JMP-PC0n: Client di dominio su cui sarà installato il firewall client


STRUTTURA DELLE OU IN ACTIVE DIRECTORY
Per prima cosa dobbiamo strutturare la nostra Active Directory in maniera tale che la Group Policy che andremo a creare sia applicata solo ai computer client e non ai server.

Importante:
Il firewall client non va installato sui domain controller, su ISA Server e sui server di dominio pubblicati. Il Firewall Client va installato prevalentemente su postazioni desktop. Per installare il Firewall Client sulle sole postazioni desktop/notebook creare una organizational unit che contiene solo i computer account delle sole postazioni desktop.

Di seguito la struttura delle Organizational Unit del dominio corp.isaserver.it per la distribuzione del firewall client alle sole postazioni Desktop/Notebook

Active Directory 

CREAZIONE DELLO SHARE DI DISTRIBUZIONE SU JMP-MAIL

Su JMP-MAIL creiamo uno share per la distribuzione del firewall client con le seguenti caratteristiche:
NTFS Path: C:\Software
Share Name: Software
Share Permission: Everyone, Read  (Default)

Lo share sarà così visibile sulla rete come:
\\jmp-mail.corp.isaserver.it\software

Copiamo dal CD di installazione di ISA Server 2006 il contenuto della cartella \client che contiene i seguenti file:
ms_fwc.msi
setup.exe
setup.ini

più altri due file, ma se abbiamo sistemi Windows XP Pro o successivi possiamo evitare di copiarli,:
instmsia.exe - Windows Installer 2.0 Redistributable for Windows 95, 98, and Me  
instmsiw.exe -
Windows Installer 2.0 Redistributable Windows 2000 and Windows NT 4.0

CREAZIONE DELLA GROUP POLICY E PUBBLICAZIONE DEL SOFTWARE
Da JMP-DC lanciamo Active Directory Users and Computer e facciamo clic con il tasto destro del mouse sulla organization unit corp.isaserver.it/Desktop.
Selezioniamo Properties | Group Policy. Facciamo clic sul pulsante New e chiamiamo la Group Policy con il nome: ISA Firewall Client.

group policy properties 
Facciamo clic sul pulsante Edit. Facciamo clic con il tasto destro del mouse sul nodo Software Installation che troviamo in Computer Configuration > Software Settings.

group policy publish
 
Selezioamo New > Package... ed inseriamo nel campo File Name il percorso UNC completo al file MSI di installazione del firewall client:
\\jmp-mail.corp.isaserver.it\software\ms_fwc.msi

fwc 
dopodiché facciamo clic sul pulsante Open. Verifichiamo che sia selezionata l'opzione Assigned e facciamo clic su OK.

assigned
A questo punto abbiamo finito di configurare la group policy! Ecco il risultato della configurazione della ISA Firewall Client.

group policy publish finish
Chiudiamo Group Policy Editor e facciamo clic sul pulsante Close.

INSTALLAZIONE DEL FIREWALL CLIENT SU JMP-PC01
Per avviare l'installazione del firewall client basterà avviare JMP-PC01. Durante la fase di avvio - Start Up - del computer verrà installato il firewall client.

FWC client install 

Nota: Nel dominio corp.isaserver.it è stato configurato l'utilizzo dell' Automatic Discovery; in questo modo non è necessario nessun tipo di intervento di configurazione del firewall client.

L'impostazione di default post installazione del firewall client prevede l'utilizzo dell'Automatic Discovery, quindi avendolo già configurato nel dominio non devo fare altro!!
Il firewall client risulterà così installato e attivo...

default fwc install
Nella tray bar di JMP-PC01 è chiaramente visibile il firewall client Attivo.

default fwc install traybar 
Conclusioni
In questo articolo abbiamo visto come utilizzare le group policy per installare il firewall client sulle nostre postazioni desktop del dominio. Se implementiamo anche l'Automatic Discovery l'attività di configurazione del firewall client sui client si azzera!! Un motivo in più per implementarla.
Per domande e commenti il luogo ideale è sempre il forum di ISAServer.it.

Buon Lavoro con ISAServer.it

venerdì, gennaio 25, 2008

Utilizzare i Certificati wildcard per pubblicare via SSL più siti Web

In questo articolo vedremo come utilizzare ISA Server 2006 per pubblicare via SSL più siti web interni con un solo web listener ed una sola web publishing rule.

ISA Server 2006 sarà configurato in maniera tale che la comunicazione su Internet sia protetta mediante l'uso di HTTPS, mentre la comunicazione in LAN con i server Web - in particolare fra ISA ed il server Web pubblicato - avvenga via HTTP.
I siti web a cui gli utenti Internet avranno accesso sono:

https://intranet.corp.isaserver.it ed anche https://www.corp.isaserver.it

Gli hostname www e intranet sono creati nella zona primaria corp.isaserver.it in hosting su un server DNS pubblico.

Scenario:
Dominio:
corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: Web server

Sul JMP-MAIL sono in esecuzione i seguenti siti Web:

  • intranet.corp.isaserver.it
  • www.corp.isaserver.it

Nota: in questo articolo non vedremo la generazione del certificato digitale del tipo *.corp.isaserver.it e la sua installazione su ISA Server 2006. Sarà oggetto di un nuovo articolo.

Per raggiungere il nostro obiettivo dobbiamo per prima cosa creare un Web listener.

CREAIMO UN WEB LISTENER PER HTTPS
Lanciamo la consolle di amministrazione di ISA Server 2006 e facciamo clic sul nodo Firewall Policy. Dopodiché, nella sezione Toolbox selezioniamo Netwrok Objects e poi la cartella Web Listeners. Con il tasto destro del mouse selezioniamo New Web Listener.... Creiamo un Web listener con le seguenti caratteristiche:

Name:
Secure Listener
Client connection: Secure (SSL/HTTPS)
Listen on: External
Client Authentication Method: No Authentication
SSO Enabled: No

 Listener Wizard
Applichiamo le modifiche per salvare il Web listener che abbiamo appena creato.

Apply Modifiche 
Se non abbiamo commesso errori vedremo il nostro Secure Listener nell'elenco dei Web listeners.

secure listener

Completata questa operazione possiamo passare alla pubblicazione dei siti web interni in hosting su JMP-MAIL.

PUBBLICHIAMO I SERVER WEB
Dalla Consolle di gestione di ISA Server 2006, lanciamo il wizard per la pubblicazione di un server web; nella  sezione dei Tasks selezionare Publish Web sites.

publish web sites 
seguiamo le istruzione del wizard ed inseriamo i seguenti valori:

Name:
Secure Web Sites Publishing
Action: Allow
Publishing Type: Publish a single Web site
Connect the published Web server using HTTPS: No
Site: jmp-mail.corp.isaserver.it
Public Name: All incoming names
Listener: Secure Listener
Accepted user sets: All users


Importante: Durante la creazione della regola Secure Web Sites Publishing , nella sezione Internal Publishing Details, è necessario selezionare la voce Forward the original host header instead of the actual one specified.... Di default questa voce non è selezionata.

forward the original host header
In caso contrario verrà inviato al server web interno l'host header jmp-isa.corp.isaserver.it, impedendo così un corretto indirizzamento da parte di IIS al sito web corretto.

Salviamo la configurazione in ISA Server 2006 Standard Edition facendo clic su Apply.

A questo punto vedremo la nuova publishing rule nella Firewall Policy di ISA Server 2006.

secure web sites publishing rule 
La configurazione è completata. Verifichiamo che tutto funzioni correttamente collegandoci da un client Internet ai due siti Internet pubblicati.

ACCESSO DA INTERNET AL SITO WEB  intranet.corp.isaserver.it
Da un client Internet lanciamo il browser ed inseriamo nella barra degli indirizzi la URL: https://intranet.corp.isaserver.it

https intranet corp isaserver.it 
vediamo di seguito cosa ha registrato ISA Server 2006 nei log

isa logging
Nota: In rosso è evidenziata la prima connessione fra il client Internet e ISA Server sulla porta 443, in blu la prima connessione fra ISA ed il server web interno sulla porta 80, in verde la connessione fra il client Internet ed il server web con ISA che fa da gateway con HTTS per la comunicazione su Internet e HTTP per la comunicazione con il server web interno.

ACCESSO DA INTERNET AL SITO WEB  www.corp.isaserver.it
Da un client Internet lanciamo il browser ed inseriamo nella barra degli indirizzi la URL: https://www.corp.isaserver.it

https www corp isaserver.it

Anche in questo caso abbiamo avuto accesso dal nostro client Internet  al nostro server web interno, comunicando via HTTPS su Internet, ed utilizzando HTTP fra ISA ed il server Web.

Conclusioni:
Utilizzando un certificato digitale installato su ISA Server 2006 con FQDN  *.dominio Internet pubblico, possiamo pubblicare, utilizzando le indicazioni di questo articolo quanti siti web vogliamo, garantendo che l'accesso pubblico sia protetto via SSL. Tutti i siti web devono essere ospitati sullo stesso server web, in questo caso era jmp-isa. Il reindirizzamento verso il sito web corretto viene operato da IIS, non da ISA Server 2006, sfruttando le informazioni contenute nell'host header inserito dall'utente nel campo indirizzo del proprio browser.

Per domande, approfondimenti e commenti, il luogo ideale è il forum di ISAServer.it

Buon lavoro con ISAServer.it

Etichette: , ,

martedì, gennaio 22, 2008

Automatic Discovery con ISA Server 2006/2004

Una delle funzionalità più comode disponibili con ISA Server è la possibilità di configurare automaticamente sia i Web Proxy Client che i Firewall Client installati.

In questo post vedremo il funzionamento dell'automatic discovery mediante l'utilizzo del protocollo WPAD - Web Proxy Automatic Discovery Protocol -.

Sia il firewall client che il Web Proxy client - Internet Explorer 5 e versioni successive - supportano WPAD.

Il processo di configurazione  è abbastanza semplice, infatti il client deve:

  1. localizzare ISA Server all'interno della rete
  2. scaricare il file di configurazione da ISA Server

Il primo punto prevede:

  • Configurazione del server DNS e/o DHCP
  • Configurazione di ISA Server per la pubblicazione della configurazione

Scenario:
Dominio:
corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: DHCP server

Configurazione del server DNS
Lanciamo la consolle di Amministrazione del server DNS utilizzato dai client. Andiamo in JMP-DC > Forward Lookup Zones > corp.isaserver.it.

Creiamo un nuovo alias wpad con le seguenti caratteristiche:
alias name: wpad
FQDN for target host: jmp-isa.corp.isaserver.it
 
00

Nella zona corp.isaserver.it vedremo il resource record wpad.corp.isaserver.it.

01 
Utilizzeremo la configurazione del DNS quando non utilizziamo il server DHCP per distribuzione della configurazione.

Osservazione: Configurare sia DNS che DHCP non è un problema, l'importante è ricordarsi che sono stati configurati entrambi. La differenza fra le due modalità risiede principalmente nel fatto che, di default, il client DHCP scarica la configurazione dalla porta 8080 di ISA Server, mentre il client NON DHCP scaricano la configurazione dalla porta 80 di ISA Server.

La configurazione del server DNS è finita!


Configurazione del server DHCP
Lanciamo la consolle di configurazione del server DHCP.
Con il tasto destro del mouse facciamo clic sul server jmp-mail.corp.isaserver.it e facciamo clic sulla voce Set Predefined Options...

02
Dopodiché facciamo clic sul pulsante Add ed inseriamo i seguenti valori:
Name: wpad
Data Type: String
Code: 252
Description: ISA Server WPAD

facciamo clic su OK ed inseriamo nel campo:
value: http://jmp-isa.corp.isaserver.it:8080/wpad.dat

03

Facciamo clic su OK ed il gioco è fatto!

Adesso rendiamo attiva la nuova opzione. Sempre dalla consolle di amministrazione del DHCP facciamo clic con il tasto destro del mouse sulla cartella Server Options e selezioniamo Configure Options.... Fra le opzioni disponibili selezioniamo la 252 WPAD e facciamo clic su OK.

04 

Sarà visibile la nuova opzione nella consolle di amministrazione del server DHCP

05 
Il nostro server DHCP è configurato e pronto per svolgere al meglio il proprio lavoro. Adesso tutti i client DHCP sono in grado di rilevare automaticamente ISA Server...

Il lavoro ancora non è finito, dobbiamo configurare ISA Server...niente di più facile!!

Configuriamo ISA Server 2006
Lanciamo la consolle di Amministrazione di ISA Server, andiamo nella sezione Configuration > Networks
Facciamo clic con il tasto destro del mouse sull'oggetto network che pubblicherà le informazioni di configurazione e ne visualizziamo le proprietà - basta un doppio clic sull'oggetto -. In questo caso l'oggetto Internal.
Selezioniamo la sezione Automatic Discovery e selezioniamo la voce Publish Automatic discovery information for this network.

06
Facciamo clic su OK e salviamo le modifiche nella configurazione di ISA Server ed il gioco è fatto!!

Il lavoro è praticamente finito, basterà verificare che i Web Proxy Client ed i Firewall Client siano configurati per rilevare automaticamente la configurazione.

Configurazione di Internet Explorer:

07

Configurazione del Firewall Client:

08 
Il lavoro è completato!!

Domande e Commenti sul forum di ISAServer.it

Buon lavoro!

Etichette: , ,

Pubblicare un Server HTTPS con ISA Server 2006

In questo post vedremo come pubblicare con ISA Server 2006 un server HTTPS presente in LAN. Sul server WEB e' gia' presente un certificato digitale SSL per la crezione di connessioni sicure. Il server web sarà raggiungibile da Internet tramite la URL:
https://www.corp.isaserver.it

ISA Server 2006 Standard, che chiameremo JMP-ISA, è configurato in modalita' Edge - 2NIC: 1 Internal, 1 External -. ISA Server è membro del dominio Active Directory corp.isaserver.it. La NIC External connette ISA Server 2006 direttamente ad Internet con un indirizzo IP pubblico.

Il server web interno è installato su un server membro del dominio, che chiameremo JMP-MAIL. Sul server è presente il certificato digitale SSL associato al dominio www.corp.isaserver.it. Questo è l nome di dominio che sarà utilizzato dagli utenti Internet per accedere al nostro server Web HTTPS. 

Tralasciamo la configurazione del server IIS per l'hosting di siti web SSL e la configurazione dei server DNS, interno e pubblico, per il reindirizzamento verso il sito HTTPS per gli utenti interni al dominio e gli utenti Internet. Una nota, verificare sempre che l'FQDN utilizzato dagli utenti Internet sia mappato sull'indirizzo IP pubblico di ISA Server.

Vediamo la pubblicazione del sito HTTPS con ISA Server 2006 Standard.

Una volta lanciata la Management Consolle di ISA Server 2006 basta andare nella sezione Firewall Policy e lanciare, dalla sezione Tasks il wizard Publish Non-Web Server protocols. Ci basterà inserire le seguenti informazioni:

Name: Secure Corporate Web Site
Published Server: <IP privato di JMP-MAIL>
Published Service: HTTPS Server
Listen on: External

publishjmp-mail 
Una volta le modifiche nella Firewall Policy possiamo procedere con la verifica di accesso al server HTTPS interno:

01 

Ci basta lanciare Internet Explorer ed inserire la URL del server web pubblicato: https://www.corp.isaserver.it

02

Vediamo nella barra degli indirizzi l'utilizzo del protocollo HTTPS ed in basso a destra il simbolo lucchetto. Facendo doppio clic sul lucchetto è possibile visualizzare il certificato digitale installato sul server IIS che ne certifica l'autenticità:

03

L'operazione di pubblicazione del server SSL è stata estremamente semplice e veloce. In un prossimo post vedremo come installare la CA per la generazione di certificati digitali utilizzabili per proteggere server Web, server di posta e creare tunnell IPSec.

Presto sarà disponibile il nuovo programma degli eventi tecnico formativi di ISAServer.it. Aggiornamenti sia sul blog, sul forum che sul portale CTTDays.org.

Buon lavoro con ISAServer.it

Etichette: ,

lunedì, gennaio 21, 2008

Come ISA Server 2006/2004 elabora la Firewall Policy

In seguito al post fatto da Andre321 sul forum di ISAServer.it ho pensato di chiarire come ISA Server elabora la Firewall Policy, concentrando l'attenzione sugli aspetti principali, rimandando ad altri post ulteriori approfondimenti.

La Firewall Policy è costituita da due gruppi di Access rule:

1. Regole di Sistema (System Policy)

2. Regole definite dall'amministratore (Access Rule)

Nota: Le regole di sistema non sono eliminabili dall'amministratore del firewall.Non e' possibile per l'amministratore del firewall creare nuove regole di sistema dalla consolle di amministrazione di ISA Server. Solo alcune regole di sistema sono attivabili/disattivabili o modificabili, limitatamente ad alcuni attributi, dall'amministratore.

In questo post ci concentreremo principalmente sulla elaborazione delle Access rule create dall'amministratore per controllare il traffico uscente.

Scenario

Consideriamo una configurazione di ISA Server di tipo Edge - 2 NIC: 1 Internal, 1 External - e membro di dominio. La rete External connette ISA Server ad Internet.

Tipologia di Accesso

Sono definite tre tipologie di accesso identificate da tre diversi User:
User1 si connette da una postazione configurata come WebProxy Client - es. una postazione Internet -.
User2 si connette da una postazione configurata come SecureNAT Client - es. un server pubblicato -.
User3 da una postazione configurata con il Firewall Client - es. un postazione di dominio -.

Tipologia di Traffico
Sono identificati due tipologie di traffico:
A. Traffico HTTP (Anonimo) 
B. Qualunqe altro tipo di traffico - es. FTP, POP3 ecc. - (Autenticato)

Per raggiungere il nostro obiettivo creiamo una Firewall Policy cosi' strutturata:

1. Regola #1
2. Regola #2

Regola #1:
Action: Allow
Protocol: HTTP
From: Internal
To: External
Schedule: Always
User: All Users

Questa regola dice:
E' consentito l'utilizzo del protocollo HTTP dalla rete Internal verso la rete External da parte di tutti gli utenti (accesso anonimo)

Regola #2:
Action: Allow
Protocol: All Outbound Traffic
From: Internal
To: External
Schedule: Always
User: All Authenticated Users

Questa regola dice:
E' consentito l'utilizzo di qualunque protocollo dalla rete Internal verso la rete External da parte di tutti gli utenti riconoscibili (accesso autenticato)

Come ISA Server analizza le richieste
Per prima cosa ISA Server verifica che sia presente una Network rule fra la rete di origine - Internal - e quella di destinazione - External -. Se non esiste una regola che collega la rete di origine con quella di destinazione la richiesta viene rifiutata!!

Nota: Questa condizione non si applica per i client WebProxy.

Una volta verificata l'esistenza della Network rule, ISA Server inizia l'elaborazione delle Access rule in base all'ordine con cui sono visualizzate nella Consolle di Amministrazione - sezione Firewall Policy -.

Ciascuna Access rule e' composta da una serie di componenti - es. Protocol, Source, Users ecc. -. Una Access rule viene elaborata se e solo se tutti i campi sono verificati, in caso contrario ISA potra' procedere con l'elaborazione della regola successiva o negare immediatamente l'accesso senza procedere con le regole successive.

I campi della Access rule vengono elaborati seguendo un preciso ordine:

1. Protocol

2. From (source) address e port

3. Schedule

4. To (destination) addresses, names, URLs

5. Users

6. Content groups

Alla luce di quanto detto consideriamo il caso in cui i nostri tre utenti tipo generano traffico secondo le due tipologie di traffico che stiamo considerando.

Ecco come vengono elaborate le richieste per i vari utenti.

CASO A - Traffico HTTP
Gli utenti User1, User2 e User3 vogliono accedere al forum di ISAServer.it - http://www.isaserver.it/forum -.

User1(WebProxy) genera traffico HTTP

  Regola #1 Richiesta Esito
Protocol HTTP HTTP PASS
From Internal <IP Client in LAN> PASS
Schedule Always * PASS
To External www.isaserver.it/forum PASS
Users All Users Dominio\User1 PASS
Content All Content * PASS

Tutti i campi sono verificati, si applica la Regola#1 a User1.

Esito: User1 esce su Internet ed ISA non procede con l'elaborazione della Firewall Policy.

User2(SecureNAT) genera traffico HTTP

  Regola #1 Richiesta Esito
Protocol HTTP HTTP PASS
From Internal <IP Client in LAN> PASS
Schedule Always * PASS
To External www.isaserver.it/forum PASS
Users All Users* Anonimo** PASS
Content All Content * PASS

(*) All Users include anche l'utente Anonimo
(**) Il client SecureNAT si presenta sempre come Anonimo

Tutti I campi sono verificati, si applica la Regola#1 a User2.

Esito: User2 esce su Internet ed ISA non procede con l'elaborazione della Firewall Policy.

User3(Firewall Client) genera traffico HTTP

  Regola #1 Richiesta Esito
Protocol HTTP HTTP PASS
From Internal <IP Client in LAN> PASS
Schedule Always * PASS
To External www.isaserver.it/forum PASS
Users All Users Dominio\User3 PASS
Content All Content * PASS


Tutti I campi sono verificati, si applica la Regola#1 a User3.

Esito: User3 esce su Internet ed ISA non procede con l'elaborazione della Firewall Policy.

CASO B - Traffico NON HTTP
Gli utenti User1, User2 e User3 vogliono accedere al sito FTP di Microsoft - ftp.microsoft.com  -.


User1(WebProxy) genera traffico FTP Download

  Regola #1 Richiesta Esito
Protocol HTTP FTP FAIL


Non essendo verificato il protocollo, ISA Server passa alla Regola successiva

  Regola #2 Richiesta Esito
Protocol All Out. Tr. FTP PASS
From Internal <IP Client in LAN> PASS
Schedule Always * PASS
To External ftp.microsoft.com PASS
Users All Auth. Users Dominio\User1 PASS
Content All Content * PASS


Tutti I campi sono verificati, si applica la Regola#2 a User1.

Esito: User1 puo' scaricare da Internet file via FTP , ISA non procede con l'elaborazione della Firewall Policy e si mette in attesa di elaborare una nuova richiesta.

User2(SecureNAT) genera traffico FTP Download

  Regola #1 Richiesta Esito
Protocol HTTP FTP FAIL


Non essendo verificato il protocollo, ISA Server passa alla Regola successiva

  Regola #2 Richiesta Esito
Protocol All Out. Tr. FTP PASS
From Internal <IP Client in LAN> PASS
Schedule Always * PASS
To External ftp.microsoft.com PASS
Users All. Auth. Users Anonimo FAIL
Content All Content * PASS


Questa condizione va analizzata con attenzione; in questo caso la regola richiede il riconoscimento dell'utente (All Authenticated Users).

Vediamo come si comporta ISA Server quando una Access Rule richiede l'autenticazione dell'utente:

- Se l'utente fornisce le proprie credenziali ed e' membro del gruppo inserito nella regola, allora viene processata la regola (Allow o Deny), ISA Server NON prosegue a leggere la Firewall Policy ed e' pronto per processare una nuova richiesta.

- Se l'utente fornisce le proprie credenziali ma NON e' membro del gruppo inserito nella regola, allora ISA passa ad analizzare la regola successiva. ISA Server continua a scorrere la Firewall Policy fino a trovare una Access rule che si applica al tipo di traffico generato dall'utente. Se non trova nessuna Access rule definita dall'amminstratore allora applicherà l'ultima Access rule in  eleneco che, solitamente, e' quella di default.

-
Se l'utente non fornisce le proprie credenziali presentandosi come Anonimo, ISA nega immediatamente l'accesso all'utente, interrompe l'elaborazione delle Firewall Policy e si mette in attesa di elaborare una nuova richiesta.

Nel caso di client SecureNAT l'utente si presenta SEMPRE come anonimo, quindi NON riconoscibile. Non potendo riconoscere l'utente, cosi' come richiesto dalla Access rule, ISA Server nega l'accesso e non procede oltre con l'elaborazione della Firewall Policy.

In questo caso User2 si presenta come anonimo. ISA non potendolo riconoscere blocca l'accesso e NON procede oltre.

Esito: User2 NON puo' scaricare da Internet file via FTP , ISA non procede con l'elaborazione della Firewall Policy e si mette in attesa di elaborare una nuova richiesta.

Nota:
Un client SecureNAT e' un client in cui e' stato inserito il default gateway nella configurazione del TCP/IP; nessun'altra configurazione e' stata fatta sul browser Internet.

User3(Firewall Client) genera traffico FTP Download

  Regola #1 Richiesta Esito
Protocol HTTP FTP FAIL


Non essendo verificato il protocollo, ISA Server passa alla Regola successiva

  Regola #2 Richiesta Esito
Protocol All Out. Tr. FTP PASS
From Internal <IP Client in LAN> PASS
Schedule Always * PASS
To External ftp.microsoft.com PASS
Users All. Auth. Users User3 PASS
Content All Content * PASS

Tutti I campi sono verificati, si applica la Regola#2 a User3.

Esito: User3 puo' scaricare da Internet file via FTP , ISA non procede con l'elaborazione della Firewall Policy e si mette in attesa di elaborare una nuova richiesta.


Conclusioni:
ISA Server elabora le regole nell'ordine con cui sono inserite nella Firewall Policy. La regola da applicare viene riconosciuta analizzando nell'ordine i seguenti parametri:

1. Protocol

2. From (source) address e port

3. Schedule

4. To (destination) addresses, names, URLs

5. Users

6. Content groups

Se Tutti i campi solo validati allora si applica la regola, in caso contrario ISA continua l'elaborazione con la regola successiva.

Nel caso in cui la regola richiede all'utente di identificarsi - es. quando si utilizzano gruppi di utenti - e l'utente non e' in grado di fornire le proprie credenziali, ISA Server blocca la richiesta e non procede con l'elaborazione.

E' comunque importante evidenziare che questo avviene solo se l'utente ha generato un tipo di traffico - es. FTP, HTTP; POP3 ecc. - che e' analizzato dalla regola che prevede l'autenticazione.

Buon lavoro con ISAServer.it

mercoledì, gennaio 09, 2008

Forefront TAP - Aperte candidature per "Stirling"

Sul sito web Connect di Microsoft sono aperte le candidature per il nuovo prodotto di sicurezza di casa Microsoft, nome in codice "Stirling", per la gestione centralizzata della sicurezza dei prodotti Client e Server Microsoft: Exchange, SharePoint, ISA e OS Client/Server.

Di seguito la descrizione dal sito Connect:
"...The Forefront security product codenamed "Stirling" is a single product that delivers unified security management and reporting with comprehensive, coordinated protection across clients, server applications, and the network edge. Forefront codename Stirling not only provides centralized management for the latest versions of Microsoft Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint and
Microsoft Internet Security and Acceleration Server; but it also enables information sharing across those standalone protection products to better protect customers against emerging and blended malware threats.
..."

E' possibile inviare la propria candidatitura fino al: 31/1/2008

Ulteriori info qui:
https://connect.microsoft.com/programdetails.aspx?ProgramDetailsID=1791

Etichette: , ,