Jump to content

ISA Server Konfigurationsfrage


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Posted

Hallo zusammen,

 

mein Ausprobieren geht weiter und diesmal hab ich es auf den ISA-Server abgesehen.

Der ISA-Server ist als Edge-Firewall eingerichtet. Jetzt möchte ich folgende Konstellation einrichten:

 

Die Clients sollen lediglich Webzugriff über den Webproxy des ISA-Server erhalten. Eine direkte Webverbindung soll nicht möglich sein. Aber hier scheitere ich leider immer. Bei den Clients habe ich folgende eingestellt:

 

Im Browser: Proxy: 192.168.0.110:8080 (ISA-Server)

IP-Konfig: IP: 192.168.0.25/24

Gateway: 192.168.0.110

DNS: 192.168.0.100, 192.168.100.1 (eine Firewallregel zum weiterleiten der DNS-Anfrage ist vorhanden)

 

Soweit meine Ausgangssituation. Wenn ich nun mit dem Client eine Website aufrufen möchte, geht das nur wenn ich folgende Firewallregel definiere:

 

Protokoll: http, https

von: Intern

nach: Extern

 

Somit habe ich aber auch die Möglichkeit direkt, also ohne den Proxy auf die Website zu zugreifen. Welche Regel kann ich erstellen, so dass der Zugriff nur über den Proxy geht, nicht aber direkt.

 

Danke schonmal im Voraus.

 

Gruß

Posted

Ich kann also nicht hingehen (was beim ausprobieren ja auch nicht funktioniert hat, aber da dachte ich ich hab was vergessen) und folgendes definieren:

 

Protokoll: http,https

von: Intern

nach: Lokaler Host

 

UND:

 

Protokoll: http, https

von: lokaler Host

nach: Extern

 

Ich hatte gedacht, dass ich das so irgendwie hinbekomme. Wie gesagt ist ja nur zum ausprobieren. Mein Gedanke war, das so wie ich es jetzt habe, ja jede Software direkt über http kommunizieren kann. Da seh ich eine Sicherheitslücke (oder ist es gar keine?).

 

Achso noch eine Frage zu Christophs Antwort:

Verhindere ich damit, dass ein Programm Zugriff auf das Internet bekommt? Oder würde der Benutzerkontext in dem es ausgeführt wird ausreichen? Sprich wenn User Willi angemeldet ist und das Programm greift auf das Internet zu, wird dann die Windows-Anmeldung für den Zugriff ausreiche oder müsste sich das Programm anderweitig authentifizieren?

Posted

Protokoll: http,https

von: Intern

nach: Lokaler Host

 

UND:

 

Protokoll: http, https

von: lokaler Host

nach: Extern

 

Wenn Du den Proxy im Browser einträgst reicht die Regel

 

action: zulassen

protocol: http und https

von: internal

nach: external

condition: authenticated users

 

Zwei Regeln brauchts dann nicht, der ISA fängt das ab, checkt die Auth. und gewährt Zugang zum Internet oder eben nicht.

 

Verhindere ich damit, dass ein Programm Zugriff auf das Internet bekommt? Oder würde der Benutzerkontext in dem es ausgeführt wird ausreichen?

 

Kommt drauf an, wie der Client konfiguriert ist (SecureNAT Client -> def. GW = ISA Server oder führt zum ISA) oder Firewall Client und natürlich auf die Firewall Regeln, NetzwerkRegeln etc.

 

Ich würde dir empfehlen, mal das Buch von T. Shinder zum ISA 2004 zu lesen (ist sozusagen ein Standardwerk). Da steht alles bestens erklärt.

 

Christoph

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...