Valóban jó ez így, biztonsági szempontból tényleg így kell működnie egy kiemelt védelmi funkciót ellátó szoftvernek, csak hát igy rögtön szembe nézhetünk egy humán erőforrás problémával :D Hogyan tovább? Mi az, hogy alapból nem működik? Ezért nézzük az első lépéseket, amely az alapszintű hangolási feladatok közé tartoznak.
Protokollok engedélyezése a belső felhasználóknak
Ahhoz hogy a belső gépekről a felhasználók elérjék az internet különböző szolgáltatásait, két dologra lesz szükség. Valamilyen módon ISA klienseknek kell lenniük (lásd a sorozat előző cikke) és készítenünk kell számukra protokoll szabályokat. Alapos lehetőségünk van ez utóbbi finomszabályzására, hiszen megfelelő körülmények között (a kliens típusa szerint) akár felhasználónként, csoportonként, gépenként, időszak és tartalom vagy ezek kombinációja alapján is konfigurálhatjuk a szükséges protokollokat. Nézzünk most meg konkrétan egy olyan szabály létrehozását lépésenként, ahol feltételezzük, hogy a kliens gépek a 10.0.0.1 és 10.0.0.10 IP tartományba tartoznak és minden gépre csak a HTTP/HTTPS és FTP protokollokat engedjük, és ezeket is csak a tanítás után:
Korlátozott protokoll elérés a belső klienseknek
- Első lépésben készítsünk egy Client Address Set-et: Policy Elements/Cliens Address Sets majd jobb gomb és New > Set.... Adjuk meg a gyűjtő nevét (ebben a példában: "Az első tíz gép"), majd az IP tartományt az Add... paranccsal (10.0.0.1-10.0.0.10).
- A második (de még mindig előkészítő) lépés az, hogy gyártunk egy időszakra vonatkozó korlátot. Ehhez menjünk a Policy Elements/Schedules elemre, majd majd jobb gomb és New > Schedule.... Adjuk meg az időszak nevét (Tanítás után) és a jelöljük ki az időtartamot, mondjuk az ábrához hasonló módon.
- Most már jöhet a szabály maga. Válasszuk az ISA Management MMC-ben faszerkezetében az Access Policy kategóriából a Protocol Rules-t, majd a New > Rule... opciót a jobb gombbal e kategória nevén, majd adjunk nevet a szabálynak.
- A következő lépésben válasszuk ki az Allow (Engedélyezés) opciót.
- A protokollok közül jelöljük ki először a Selected protocols-t választjuk, majd a listából, csak a HTTP, HTTPS, FTP Download only-t (ha az engedélyezés után bekattintjuk a Show only selected protocol pipát, akkor átláthatóbb lesz)
- A következő ablakban az időzítést tudjuk beállítani, állítsuk is be az általunk készített, a legördülő listában már látható "Tanítás után" időszakot.
- Végül megtekinthetjük az összegző ablakot, amely nyugtázása után elérhetővé válnak a kiválasztott protokollok a belső felhasználóknak. Körülbelül 1 perc után az ISA szerver ujraolvassa a konfigurációt, így ezután már érvényesül is.
Kiegészítések
Ha ezt megtettük akkor még csak az IP tartományunk első 10 címével működő gép számára engedélyeztük az internet hozzáférés bizonyos protokolljait. Ettől még a többi gépen semmi nem működik, hiszen nincs rájuk vonatkozó szabály. Amennyiben mondjuk a rendszergazdai gép vagy a belső szerver(ek) számára készítünk szabályt (az ISA-t tartalmazó szerver kivétel, arra majd csomagszűrők vonatkoznak!), akkor újabb szabályokat kell generálnunk, ugyanezekkel a lépésekkel, nyilván különbségek lesznek pl. a protokolloknál (mondjuk mi úgy ítéljük meg, hogy bátran szembe merünk nézni a gépünkön az All IP Traffic lehetőséggel :D) vagy pl. egész nap szeretnénk elérni a netet.
Protokollok elérés a szerveren
Ahhoz hogy a szerveren böngészni, Windows Update-et használni, letölteni vagy bármilyen más protokollt használni tudjunk, csomagszűrőket kell készítenünk. Ezt a Access Policy/IP Packet Filters pontban tehetjük meg a következő módon:
- Jobb gomb az IP Packet Filters bejegyzésen > New > Filter...
- Első lépésben adjunk nevet a filternek, majd a következő panelen jelöljük ki, hogy engedélyező filter legyen (Allow packet transmission)
- Válasszunk az előre definiált filterek közöl vagy készítsünk sajátot. Mivel a szimpla HTTP elérés nincs a definiáltak között vállaszuk a Custom... pontot.
- A képhez hasonlóan készítsük el a filtert (TCP, Outbond, Dynamic, Fixed port, 80).
- Ezután állítsuk be a filter érvényesülési hatályát. Alapesetben válasszuk ki a Default IP address(es) on the external interface(es) pontot, amely a külső hálózati interfész IP címét jelöli.
- A következő lépésben állítsuk be azokat a címeket, amelyekre vonatkozik a szabály. Ennek akkor van igazan értelme, ha egy olyan csomagszűrőt készítünk amely a mi ISA szerverünk valamely szolgáltatását mutatja meg kifelé, de nem akarjuk csak bizonyos gépeknek megadni. Jelen szabálynál sok értelme nincs, tehát válasszuk a All Remote Computers-t.
- Az összegző képernyő nyugtázása után elkészült a csomagszűrő és így már van lehetőségünk a böngészőt használni a szerveren is.
Amennyiben más protokollokra is ki akarjuk terjeszteni az engedélyezést, újabb packet filtereket kell gyártanunk a megfelelő portokkal.
Ebben segítség lehet az alábbi felsorolás
- HTTP:80,TCP,Outbound
- HTTPS: 443,TCP,Outbound
- Gopher: 70,TCP,Outbound
- FTP: 21,TCP,Outbound
- POP3:110,TCP,Outbound
- POP3S: 995,TCP,Outbound
- SMTP: 25,TCP,Outbound
- SMTPS: 465,TCP,Outbound
- NNTP:119,TCP,Outbound
- NNTPS: 563,TCP,Outbound