HeckMc 10 Posted July 31, 2006 Report Posted July 31, 2006 Hallo zusammen, mein Ausprobieren geht weiter und diesmal hab ich es auf den ISA-Server abgesehen. Der ISA-Server ist als Edge-Firewall eingerichtet. Jetzt möchte ich folgende Konstellation einrichten: Die Clients sollen lediglich Webzugriff über den Webproxy des ISA-Server erhalten. Eine direkte Webverbindung soll nicht möglich sein. Aber hier scheitere ich leider immer. Bei den Clients habe ich folgende eingestellt: Im Browser: Proxy: 192.168.0.110:8080 (ISA-Server) IP-Konfig: IP: 192.168.0.25/24 Gateway: 192.168.0.110 DNS: 192.168.0.100, 192.168.100.1 (eine Firewallregel zum weiterleiten der DNS-Anfrage ist vorhanden) Soweit meine Ausgangssituation. Wenn ich nun mit dem Client eine Website aufrufen möchte, geht das nur wenn ich folgende Firewallregel definiere: Protokoll: http, https von: Intern nach: Extern Somit habe ich aber auch die Möglichkeit direkt, also ohne den Proxy auf die Website zu zugreifen. Welche Regel kann ich erstellen, so dass der Zugriff nur über den Proxy geht, nicht aber direkt. Danke schonmal im Voraus. Gruß Quote
Christoph35 10 Posted July 31, 2006 Report Posted July 31, 2006 Du kannst z.B. die Zugriffsregel so einstellen, dass nur authentifizierte User surfen können (default ist: all users ->auch anonym). Christoph Quote
HeckMc 10 Posted July 31, 2006 Author Report Posted July 31, 2006 Ich kann also nicht hingehen (was beim ausprobieren ja auch nicht funktioniert hat, aber da dachte ich ich hab was vergessen) und folgendes definieren: Protokoll: http,https von: Intern nach: Lokaler Host UND: Protokoll: http, https von: lokaler Host nach: Extern Ich hatte gedacht, dass ich das so irgendwie hinbekomme. Wie gesagt ist ja nur zum ausprobieren. Mein Gedanke war, das so wie ich es jetzt habe, ja jede Software direkt über http kommunizieren kann. Da seh ich eine Sicherheitslücke (oder ist es gar keine?). Achso noch eine Frage zu Christophs Antwort: Verhindere ich damit, dass ein Programm Zugriff auf das Internet bekommt? Oder würde der Benutzerkontext in dem es ausgeführt wird ausreichen? Sprich wenn User Willi angemeldet ist und das Programm greift auf das Internet zu, wird dann die Windows-Anmeldung für den Zugriff ausreiche oder müsste sich das Programm anderweitig authentifizieren? Quote
Christoph35 10 Posted August 1, 2006 Report Posted August 1, 2006 Protokoll: http,https von: Intern nach: Lokaler Host UND: Protokoll: http, https von: lokaler Host nach: Extern Wenn Du den Proxy im Browser einträgst reicht die Regel action: zulassen protocol: http und https von: internal nach: external condition: authenticated users Zwei Regeln brauchts dann nicht, der ISA fängt das ab, checkt die Auth. und gewährt Zugang zum Internet oder eben nicht. Verhindere ich damit, dass ein Programm Zugriff auf das Internet bekommt? Oder würde der Benutzerkontext in dem es ausgeführt wird ausreichen? Kommt drauf an, wie der Client konfiguriert ist (SecureNAT Client -> def. GW = ISA Server oder führt zum ISA) oder Firewall Client und natürlich auf die Firewall Regeln, NetzwerkRegeln etc. Ich würde dir empfehlen, mal das Buch von T. Shinder zum ISA 2004 zu lesen (ist sozusagen ein Standardwerk). Da steht alles bestens erklärt. Christoph Quote
HeckMc 10 Posted August 1, 2006 Author Report Posted August 1, 2006 Danke für den Literatur-Tipp. Mit dem Buch werd ich mich mal auseinandersetzen. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.