ISA Server

nikodim · 16.06.2006. u 17:54

Platformo, ajde ovde ispisi sve sto te zanima o ISA-i, da ne razglabamo o tome tamo gde mu nije mesto.

Modovi, nadam se da cete imati malo strpljenja dok se cova ne pojavi na forumu i tema ne krene da se razvija...

BGD-Platform · 17.06.2006. u 01:02

Ih, tek sam sada doso iz grada...
Choveche sta bi ono 6 : 0 ? :shock:

Znachi ovako ISA verzija 2004... problem je oko SSL/a Secure Socket Layer/a ...
Znam od chega je sachinjen, znam da je podesen po default/u na 443 portu, znam kako funckionise, imam sve sto mi je potrebno od podataka i knjiga u vezi njega, ali ne kapiram i dalje kako to u praksi stvarno funkcionise, bio sam i na teach learningu, ali mhmhmh ono.... A nebih jos dizao ni server za ISU i chachkao dok se nekonsultujem sa nekim, to jest vama...

Pa sam mislio ako je neko vec radio server audentifikaciju i klijent audentifikaciju zajedno sa SSL enkriptovanom konekcijom u praksi da mi objasni kako to stvarno funkcionise, ujedno i drugima.

Eh da, i ovo isto, kako da RPC sa porta 135, da podesim da bude na HTTP to jest kako da uradim proceduru, remote RPC preko HTTP znachi da radi samo na portu 80. To nema sanse da skapiram...

Arh naleteo mi taj bag da blejim u prazno... nisam namerno hteo da trazim na google, jer mi nije to potrebno vec imam sve sto mi treba, bitna mi je vasa konsultacija, na to sam mislio.

Eh da izlazi i verzija 2006 beta verzija pa bacite pogled http://www.microsoft.com/isaserver/default.mspx

nikodim · 17.06.2006. u 11:01

Razbise nas... totalno... brutalno...

Predlog:
M;ozes da instaliras ISU na compu koji ima dva mrezna interfacea. OD koji bi jedan igrao ulogu internog a drugi externog (ili javnog interfacea). Kada je instaliras ISA je potpuno otvorena, dakle kroz nju sve prolazi bez restrikcija. Kreiras filtere kojima dozvoljavas komunikaciju sa odredjenih adresa n odredjene adrese... po nekom portu. Na kraju, postavis pravilo kojim sve zabranjujes, i koje ce ti u tom nizu stajati kao poslednje... Tako ces zatvoriti sve sem onog sto si dozvolio, dakle nema drugih prolaza.
E sada... pod ISA-om, naravno, imas i routiranje, logicno... ali i NAT. NAT ti pomaze da sakrijes svoju internu mrezu iza jedne javne IP adrese (ili ne mora biti javna ako se i ona negde NAT-uje). Pored NAT-a... imas i takozvani PAT, sto bi znacilo Port Address Translation, dakle kao i kod NAT-a prevodjenje adresa tako i kod PAT-a prevodjenje izvornog ili odredisnog porta u neki drugi. Sto ti opet pomaze da se sakrijes i zastitis od napada spolja.
Recimo, pravis filter po kom ces dozvoliti da ti upit sa adrese 10.18.16.55 i odredisnom adresom 212.200.122.232, bude dozvoljen. U tom filteru otvaras port 80 za HTTP kao izvorni ili destinacioni port, dok za destinacioni ili izvorni stavis bilo koji... Tako ce ISA upite sa jedne adrese i jednog porta prevoditi u adresu svog externog interfacea i nekog drugog porta koji ti odredis... Na taj nacin se stitis od napada, jer je sasvim logicno da ako neko nesto pokusava, to radi po standardnim vrednostima. pa tako i ti mozes menjati portove za pomenute servise... samo moras voditi racuna (a mene to cesto zbuni) sta mi je izvorni a sta destinacioni NAT... onda malo stanes, zamislis se... pa nastavis dalje.

nikodim · 17.06.2006. u 11:02

E... odoh da pogledam cega to nonov i bitnog ima u 2006-ici...

nikodim · 18.06.2006. u 14:03

Platformo... sta bi... Da li si na kraju odradio taj PAT?

Leka · 18.06.2006. u 15:57

BGD-Platform:
Ih, tek sam sada doso iz grada...

I kako ocenjujete higijenu u gradu?

BGD-Platform · 18.06.2006. u 17:39

Nikodime, nisam ni seo kako treba imao sam burnu noc a i bio Cecin koncert jbt

)) , razmatram jos, sto bi ti rekao "stanes, razmislis, nastavis dalje..." Tek sam podigo server i isu, i zanimljivo je to sto sam prvo primetio jeste, da je on po default/u postavio sam svoje neke polise, a setovane su po prilichno dobro. Znachi fora je prvi put kada je podignes ona se automatski zastiti od bilo kakvih upada. Posle ostaju samo podesavanja vezana za povezivanje drugih masina tipa SQL./a DC/ra i korisnika u intranetu i dolazecih iz interneta. Da znam na sta si mislio kada si spomenuo PAT i iz toga sam dobio odgovor na moje pitanje gore, Za prelazak na NAT, razumeo sam sta je to i veoma je prosto da odradim, fora je da korisnici koji su u intranetu a pristupaju ka internetu koriste samo jednu glavnu ip adresu i kriju se iza ise to jest isa ih predstavlja na internetu. Sto znachi da deset rachunara koji pristupa na net, server na koji se kache prepoznace ih kao jednu "default masinu". Eh da koliko sam do sada razuemo poenta je setovanje samih filtera unutar ise jer tu lezi glavni posao, mislim mozda i gresim nisam toliko zalazio jos ali za sada ovako razmisljam.

E sad nisam zalazio dublje jer pravo da ti kazem nisam ni imao vremena a i ovi dani sada su mnogo dobri da bih sedeo kuci. Ali za sada videcu polako. I nikodime kakvi su utisci za 2006/icu ja nisam imao toliko vremena da se bakcem stim, ako si nesto chachkao oko nove ISA/ije udri ovde.

BGD-Platform · 18.06.2006. u 17:42

Hehehehe Leko, Leko ... po dooobro.... znas kako.... u gradu... ima sve ribe sve majke ti ... avi kako te bate ?

))

nikodim · 18.06.2006. u 19:10

Iskreno, ISU poznajem prilicno povrsno... malo sam radio na 2000 i 2004 a 2006... tek kada je budem svojerucno ispipao.

Inace... napravis pravila koja posle razmestas... dakle, kreiras filtere prema svojim potrebama. mada ISA u sebi ima i gotove vec definisane profile koej mozes upotrebiti... Mada to nije to...

BGD-Platform · 19.06.2006. u 02:28

2000 je daleko bila losija sto se tiche interfejsa a i sam raspored i lokacija podesavanja je bila dosta "losa", instalirao sam bio prvo nju i kada sam pogledao kako je komplikovano da se snadjes u njoj bez obzira sta sam imao neke predznanje oko nje, nisam hteo da razmisljam o tome i odmah sam je obrisao i stavio 2004 u kojoj je interfejs mnogo bolji i prilagodniji korisnicima to jest adminima i Inzenjerima. Ne znam, ja sam resio da malo dublje prochachkam oko nje... Razmisljam... "ako vec nesto radim da odradim do kraja". Da, bas sam sada gledao outbound i inbound pravila kao i za perimetar mrezu, jako dobra setovanja mozes da napravis, i chak ima podrsku za pravila recimo kada izdajes neki sajt imas da dodas pravila to jest skracenice koje preporuchuju programeri recimo tipa (GET, POST, HEAD) chak i opcije za MIME klijente i MAPI za ehchange servere i setovanje samih opcija kao i za mail na SMPT i POP3. Samo moram malo vise da se potrudim ako vec hocu nesto da nauchim kako treba.

Da video sam ISA koje filtere po defaultu kreira, sto mislis da nije to to ? (pitam ovako pozitivno), nemam pojma meni sve to ok izgleda. Zasticuje samu sebe od bilo chega po default/u dize firewall i nedozvoljava bas bilo koji prstup od strane intraneta iliti pak interneta.

BGD-Platform · 19.06.2006. u 02:51

BGD-Platform:
Zasticuje samu sebe od bilo chega po default/u dize firewall i nedozvoljava bas bilo koji prstup od strane intraneta iliti pak interneta.

Mala zabuna. Ne dize firewall sama vec tek kada sam ukljuchis firewall tada se zasticuje i aktivira se. Ako neko prati osim nas, ovu temu, da zna da se ne zaebe.

BGD-Platform · 19.06.2006. u 13:30

Nije te zbunio u pravu je sasvim, port 80 ti sluzi za komuniciranje i primanje naloga od strane korisnika ka serveru (lupam neki korisnik se nakachi na tvoj server i kaze cao ja sam taj i taj, server mu kaze dobro, o chemu hoces da razgovaramo?, klijent mu zada neki upit, server mu kaze "ok na kom portu hoces da prichamo o tom upitu" i tu konfigurises portove za koje znas da su ranjivi i podesis samo one koji su "donekle sigurni.

E sada moguce da te je zbunilo to sto konfigurises port 80 za internet, a neki drugi port izaberes za Intranet, znachi za unutrasnju mrezu u kojoj su obichni radnici. Kapiras ? Izvorni destinacioni "spoljasnji internet", destinacioni izvorni "intranet unutrasnja mreza" ili obrnuto sad sam se i ja zbunio a mrzi me da proverim sada

), ali u glavnom to bi trebalo da bude to to...

Aj prvi post da probam da odgovorim... pazi dvr_liberty... imas kategoriju inbound i outbound ulazno izlazni sabracaj, e sada ... poenta je u tome da definises te dve stvari prvo, moguce da si tu zapeo, moguce da si pomesao inbound i outbound "ulaz i izlaz saobracaja", to se i meni desava, nije to nikakav veliki problem. Mislim nisam siguran, hajde malo konkretnije kazi sta si radio pa da svi pomalo prokomentarisemo.

E sad ovo sto si blokirao pa ti neradi, koji si "konkretno" saobracaj blokirao i u kojoj si to polisi radio, sta vredi ovako na slepo prichati... ako prichamo prichamo do kraja.

Daljinski mozes da pristupis (ovo nisam jos radio ovo ce Nikodim mozda moci da ti pomogne, nemam praksu oko ovoga) kreiranjem VPN (virtual private network), znachi moras da napravis tunel koji ce ti dopusti da se prikachis na ISU uz remote kontrol. Evo ti primer. Na ISI moras da napravis pravilo takvo da bude da sa te odredisne ip adrese i te mac adrese dozvoli pristup na ISU. Ukoliko se konektujes sa dinamchkom IP adresom onda ces morati na ISI konfigurisati MAC adresu tog rachunara to jest adapter. Eh da ISA je sada donekele pametnija i ne prolazi kroz nju fake Mac adresa tako da je to zanemarljivo, posto prolazi kroz nekoliko faza provera pre bilo kakvog "daljeg komuniciranje". Moraces posebnu konekciju napraviti kao sto pravis kada hoces da ides recimo preko svog provajdera na internet, stim sto ces morati da izaberes u opcijama umesto provajdera, VPN (virtual private network).

Eh, sad ako sam negde omaknuo sory (ispravite me), al nebi trebalo da sam omanuo...

nikodim · 20.06.2006. u 22:26

dvr_liberty:
Kako mogu da filtriram nepoželjne lokacije?

Bio sam na koncertu pa sa istog na posao... tako da sam poprilicno umoran... Ovo pitanje je kratko pa cu samo na njega da odgovorim, posto znam odgovor.

Imas mogucnost da pravis listu IP adresa kojima se moze a kojima ne moze pristupati, kao i pomenuto kreiranje filtera. Mada, koliko se secam u ISA-i postoji i poseban deo u kom mozes praviti pravila za pristup WEB-u...
Ako si na to mislio kao na "lokaciju".

LJudi, pozdravljam vas pa se tipkamo oviJeg dana.

BGD-Platform · 20.06.2006. u 23:06

dvr_liberty, jesi li instalirao ISU, i koji su tvoji prvi utisci na nju, sta si prvo zapazio na njoj ?

nikodim · 21.06.2006. u 17:27

dvr_liberty:
E da,platforme imaš li ti ISU i da li bih ja mogao da je dobijem,meni ujak ne može da da ovu iz firme i nisam ga ni pitao zašto,100% ima neka fora,pa čovek mi sve daje programe koje imaju u firmi,verovatno ima neki razlog zašto mi neda........

Verovatno zbog toga ste je u pitanju legalna verzija...

nikodim · 21.06.2006. u 17:29

Nego... okacio si ti slike, OK... nego nije mi jasno sta te tu muci, samo si ih postavio bez objasnjenja. A stvar deluje prilicno jednostavno...

nikodim · 21.06.2006. u 17:33

dvr_liberty:
Koji port da izaberem za Intranet,sve mi je ovo malo konfuzno,ali icemo korak po korak,ja to malo sa ujakom kao ucim,ali covek nema vremena da mi sve objasnjava............

Pogledaj spisak portova na IANA sajtu... tamo imas sve sto ti treba. Ali osnovno bi bilo, recimo, da znas da ti HTTP radi na portu 80.

BGD-Platform · 21.06.2006. u 18:23

E da,platforme imaš li ti ISU i da li bih ja mogao da je dobijem,meni ujak ne može da da ovu iz firme i nisam ga ni pitao zašto,100% ima neka fora,pa čovek mi sve daje programe koje imaju u firmi,verovatno ima neki razlog zašto mi neda........

Da, pa naravno da imam. Samo isti je problem i kod mene imam verziju koju sam dobio u skoli od profesora i pitanje je da li smem da je dajem drugima, moracu prvo sa njim da se konsultujem. Jel imas ti Windows Server 2003 instaliran na svojoj masini ?

nikodim · 22.06.2006. u 18:13

To ce biti tvoj "problematicni" manual...

BGD-Platform · 24.06.2006. u 18:06

Nemogu da ti posaljem ISU, sory brate, ako nadjem nekog pirata to cu ti poslati posto na ovoj isi vec imam genersian unutar instalacije serial number, za sada se snadji nekako.Moram da vidim ovih dana da isprobram u praksi VPN bas me kopka da vidim kako to funkcionise, pa ako uspem, napisacu vam ovde od A do S da imate kako da svi odradimo to.

Do sledeceg susreta

Aj pa se chujemo...

nikodim · 24.06.2006. u 20:09

Ehejj... klege... Vidi, na Torentu mozes da nadjes sta god pozelis, pa tako i ISA-u, pokusaj, nema sanse da omanes. Ako se dobro secam kompletna instalacija ima negde oko 200 do 300MB, kao i Excange.

nikodim · 25.06.2006. u 17:33

Uzmi onaj Mikro Torent, za njega ti netrema instalacija... dovoljno je da ga pokrenes...imas mali file koji ti odraduje posao bez ikakve instalacije.

nikodim · 26.06.2006. u 17:03

Daj mi mail pa cu ti poslati, ima svega 130kb.... mislim na Torent...

nikodim · 28.06.2006. u 19:21

Evo... upravo ti saljem Torent...

Ajde skidaj tu ISA-u... vec jednom.

nikodim · 02.07.2006. u 10:12

Portove slobodno ostavi onakvima kakvi jesu. A sto se registracije tice... meni j edo sada nij etrazio nigde. POslao sam ti adresu na kojoj ces moci da pretrazis torent sajtove... odatle ides na sajt koji ima ono sto je tebi potrebno, skines jedan mali file koji posle otvoris u tom programcicu i gotovo...

Ne znam sta ti nije jasno... zaista je jednostavan za koriscenje.

ISA Server

Poznat

Iskusan

Poznat

Poznat

Poznat

Aktivan član

Iskusan

Iskusan

Poznat

Iskusan

Iskusan

Iskusan

Poznat

Iskusan

Poznat

Poznat

Poznat

Iskusan

Poznat

Iskusan

Poznat

Poznat

Poznat

Poznat

Poznat