ISA hangolás I.
2004/02/22 22:11
1127 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Miután feltelepítettük és birtokba vettük az ISA Server-t, rögvest észlelhetjük, hogy megállt az élet, se ki, se be, nem működik semmi. Jól van ez így, hiszen így alapból védve vagyunk...

Valóban jó ez így, biztonsági szempontból tényleg így kell működnie egy kiemelt védelmi funkciót ellátó szoftvernek, csak hát igy rögtön szembe nézhetünk egy humán erőforrás problémával :D Hogyan tovább? Mi az, hogy alapból nem működik? Ezért nézzük az első lépéseket, amely az alapszintű hangolási feladatok közé tartoznak.

Protokollok engedélyezése a belső felhasználóknak

Ahhoz hogy a belső gépekről a felhasználók elérjék az internet különböző szolgáltatásait, két dologra lesz szükség. Valamilyen módon ISA klienseknek kell lenniük (lásd a sorozat előző cikke) és készítenünk kell számukra protokoll szabályokat. Alapos lehetőségünk van ez utóbbi finomszabályzására, hiszen megfelelő körülmények között (a kliens típusa szerint) akár felhasználónként, csoportonként, gépenként, időszak és tartalom vagy ezek kombinációja alapján is konfigurálhatjuk a szükséges protokollokat. Nézzünk most meg konkrétan egy olyan szabály létrehozását lépésenként, ahol feltételezzük, hogy a kliens gépek a 10.0.0.1 és 10.0.0.10 IP tartományba tartoznak és minden gépre csak a HTTP/HTTPS és FTP protokollokat engedjük, és ezeket is csak a tanítás után:

Korlátozott protokoll elérés a belső klienseknek

  • Első lépésben készítsünk egy Client Address Set-et: Policy Elements/Cliens Address Sets majd jobb gomb és New > Set.... Adjuk meg a gyűjtő nevét (ebben a példában: "Az első tíz gép"), majd az IP tartományt az Add... paranccsal (10.0.0.1-10.0.0.10).
  • A második (de még mindig előkészítő) lépés az, hogy gyártunk egy időszakra vonatkozó korlátot. Ehhez menjünk a Policy Elements/Schedules elemre, majd majd jobb gomb és New > Schedule.... Adjuk meg az időszak nevét (Tanítás után) és a jelöljük ki az időtartamot, mondjuk az ábrához hasonló módon.
    Az időszaki korlátozás elkészítése
  • Most már jöhet a szabály maga. Válasszuk az ISA Management MMC-ben faszerkezetében az Access Policy kategóriából a Protocol Rules-t, majd a New > Rule... opciót a jobb gombbal e kategória nevén, majd adjunk nevet a szabálynak.
  • A következő lépésben válasszuk ki az Allow (Engedélyezés) opciót.
  • A protokollok közül jelöljük ki először a Selected protocols-t választjuk, majd a listából, csak a HTTP, HTTPS, FTP Download only-t (ha az engedélyezés után bekattintjuk a Show only selected protocol pipát, akkor átláthatóbb lesz)
    A felhasználók csak ezeket a protokollokat használhatják
  • A következő ablakban az időzítést tudjuk beállítani, állítsuk is be az általunk készített, a legördülő listában már látható "Tanítás után" időszakot.
    Az időszaki korlátozás kiválasztása
    - Most jön a konkrét célgépek beállítása amelyekre vonatkozik majd a szabály, mi válasszuk a Specified computers (Client address sets) opciót, majd Next és a következő panelen az Add... gombbal hozzátehetjük az általunk készített gyűjtőt ("Az első tíz gép").
    A célgépeket tartalmazó Client Address Set kiválasztása
  • Végül megtekinthetjük az összegző ablakot, amely nyugtázása után elérhetővé válnak a kiválasztott protokollok a belső felhasználóknak. Körülbelül 1 perc után az ISA szerver ujraolvassa a konfigurációt, így ezután már érvényesül is.

Kiegészítések

Ha ezt megtettük akkor még csak az IP tartományunk első 10 címével működő gép számára engedélyeztük az internet hozzáférés bizonyos protokolljait. Ettől még a többi gépen semmi nem működik, hiszen nincs rájuk vonatkozó szabály. Amennyiben mondjuk a rendszergazdai gép vagy a belső szerver(ek) számára készítünk szabályt (az ISA-t tartalmazó szerver kivétel, arra majd csomagszűrők vonatkoznak!), akkor újabb szabályokat kell generálnunk, ugyanezekkel a lépésekkel, nyilván különbségek lesznek pl. a protokolloknál (mondjuk mi úgy ítéljük meg, hogy bátran szembe merünk nézni a gépünkön az All IP Traffic lehetőséggel :D) vagy pl. egész nap szeretnénk elérni a netet.

Protokollok elérés a szerveren

Ahhoz hogy a szerveren böngészni, Windows Update-et használni, letölteni vagy bármilyen más protokollt használni tudjunk, csomagszűrőket kell készítenünk. Ezt a Access Policy/IP Packet Filters pontban tehetjük meg a következő módon:

  • Jobb gomb az IP Packet Filters bejegyzésen > New > Filter...
  • Első lépésben adjunk nevet a filternek, majd a következő panelen jelöljük ki, hogy engedélyező filter legyen (Allow packet transmission)
  • Válasszunk az előre definiált filterek közöl vagy készítsünk sajátot. Mivel a szimpla HTTP elérés nincs a definiáltak között vállaszuk a Custom... pontot.
  • A képhez hasonlóan készítsük el a filtert (TCP, Outbond, Dynamic, Fixed port, 80).
    A HTTP engedélyező csomagszűrő részletei
  • Ezután állítsuk be a filter érvényesülési hatályát. Alapesetben válasszuk ki a Default IP address(es) on the external interface(es) pontot, amely a külső hálózati interfész IP címét jelöli.
  • A következő lépésben állítsuk be azokat a címeket, amelyekre vonatkozik a szabály. Ennek akkor van igazan értelme, ha egy olyan csomagszűrőt készítünk amely a mi ISA szerverünk valamely szolgáltatását mutatja meg kifelé, de nem akarjuk csak bizonyos gépeknek megadni. Jelen szabálynál sok értelme nincs, tehát válasszuk a All Remote Computers-t.
  • Az összegző képernyő nyugtázása után elkészült a csomagszűrő és így már van lehetőségünk a böngészőt használni a szerveren is.

Amennyiben más protokollokra is ki akarjuk terjeszteni az engedélyezést, újabb packet filtereket kell gyártanunk a megfelelő portokkal.

Ebben segítség lehet az alábbi felsorolás

  • HTTP:80,TCP,Outbound
  • HTTPS: 443,TCP,Outbound
  • Gopher: 70,TCP,Outbound
  • FTP: 21,TCP,Outbound
  • POP3:110,TCP,Outbound
  • POP3S: 995,TCP,Outbound
  • SMTP: 25,TCP,Outbound
  • SMTPS: 465,TCP,Outbound
  • NNTP:119,TCP,Outbound
  • NNTPS: 563,TCP,Outbound

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek