[ Kljaja @ 08.12.2002. 22:48 ] @
Da li neko ima iskustva sa ISA Serverom (firewall) ali da mu sve radi? Kada kazem da radi onda ne mislim na ona minimalna podesavanja protocol rules i site and content rules gde se sve stavi na allow all.

Ovako ide prica:

- Namestio sam u Site and content rules jedan rule ALLOW za sav sadrzaj i da mi je drugi rule DENY za "images". Kada sa klijenta pokusam da pristupim tom sadrzaju preko HTTP zabrana radi ali preko FTP-a ova zabrana nece da se izvrsi????
OVO JE POCETAK

Drugi primer:

- Protocol rules je namesten jedan rule koji je ALLOW samo za HTTP i FTP. Site and content rules je ostavljen default rule. IP Packet filters je ostavljen kako je i namesten po default-u ali sam mu iskljucio (disable) DNS filter.
DNS I DALJE RADI za Web proxy a za Firewall klijente nije hteo da radi?????


Onda sam Enable DNS filter, Firewall klijent i dalje nije mogao da razresi DNS imena, a to je pre prvog Disable DNS filter radio bez problema. Kao da je negde u Registry ovaj Disable DNS filter zapis ostao i nije hteo da se vrati na Enable.

Da li se uopste ovi zapisi upisuju u registry i gde?????

treci primer:

- Protocol rules imam jedan rule allow all i jedan DENY predefinisani protokol ICQ 2000. ICQ na klijentu je podesen da ide na ICQ server port 5190 i taj isti brani ovaj drugi protocol rule. ICQ I DALJE RADIIIIIIIIIIIIIIIIIIII???????????

cetvrti primer:

"Idem" na sajtove preko firewall klijenta (preko HTTP redirector) i sve radi lepo. Onda pravim protocol rule koji je DENY (icq 2000). Umesto da mi ovaj rule zabrani samo Icq on mi odjednom blokira odlazak na WEB preko firewall klijenta koji je pre toga besprekorno radio?????????

Posle ovoga sam formatirao ceo sistem i instalirao opet win2k advanced server, instalirao service pack 3 za win2k, instalirao isa server, instalirao isa server service pack 1. FIREWALL klijent je proradio????????

Da napomenem da SERVISE restarujem posle bilo kakve promene na ISA Serveru a nekad cak i restartujem racunar!!!!

ZAKLJUCAK:

Firewall na ISA Serveru - totalna NESIGURNOST


Da li neko ima drugacija iskustva sa malo jacim podesavanjima??????
[ Shadowed @ 09.12.2002. 12:30 ] @
Nije totalna nesigurnost samo treba umeti sa tim. Ja sam video da ISA odlicno radi kao Firewall ali je nisam ja podesavao. Kada sam ja kasnije na drugoj mrezi pokusao da namestim ISA server nisam uspeo (izgledalo mi je da je podesavanje lako ali nesto tu nije stimalo). Znaci moze ali...
[ mirko k @ 10.12.2002. 01:21 ] @
A gde si to video da ISA odlicno radi?

Izgleda da nisi procitao prvi pasus i poslednju recenicu.Momak je lepo pitao sa slozenijim podesavanjima, a ne da konfigurises samo jedan Protocole rule gde je sve allow i jedan Site and Content Rule gde je sve takodje allow i da to onda odlicno radi.

Znaci radi se o konfiguraciji sa vise Protocole Rule-ova koji su neki allow a neki deny, vise Site and Content Rule-ova koji su isto neki allow a neki deny,nekoliko IP Packet Filtera ( osim onih koji su tamo po default-u ), koji su pretezno deny. Znaci dosta zahtevno setovanje i da to kompaktno radi.

Sto se tice cache-a on dobro radi.

Inace da ISA i bivsi PROXY odlicno rade nebi se u svim firmama gde se trazi ozbiljniji security koristili hardverski firewall-i a ne software-ski.

Momak koji je postavio pitanje je polozio 70-227 ISA Server za MCSE i u najmanju ruku solidno poznaje materiju o kojoj je postavio pitanje tako da bi bilo dobro da se javi neko ko stvarno zna o cemu se radi i ko ima prakticna iskustva sa ISA-om, a ti koji su negde nesto videli....


[ bagins @ 10.12.2002. 22:49 ] @
Da, da...
To je sve zaista jako tuzno. Mnogo pompe oko ISA, ali on je OK samo kao cache server.
Slusaj, ovaj trik uglavnom pali:

1. Podesis sve rulove kako ti odgovara (naravno, gledas da ih sto manje menjas )
2. Proveris na teorijskom nivou da li bi sve trebalo da radi, jer u praksi uglavnom nece iz prve, iako je sve podeseno po PS-u.
3. Bekapujes konfiguraciju.
4. Reinstaliras ISA.
5. Odradis restore, restartujes servise i gle cuda: ISA proradi.
Pali u 80-90 % slucajeva.
6. Castis me pivom
[ sigma @ 11.12.2002. 00:55 ] @
Joja kada si polozio s'ISU ?

Znam da kada sam proveravao sa dva kompa da nije htelo pola stvari da mi radi ni iz prve ni iz druge ... pa sam na kraju odustao i necu da se bakcem sa isom dok ne polozim Infrastrukturu koja mi jede mnogo vremena

Mene samo interesuje da li se to tako baguje kada sve to lepo odradis na originalnom softveru i na BName masinama ?

[ mirko k @ 11.12.2002. 02:53 ] @
Posto se izgleda ukljucio neko ko zna znanje ( bagins ) ,

Da li ce posle svega ovoga sto si naveo da radi i SecureNAT client? Da preko HTTP Redirectora odlazimo na Web a ujedno i da koristimo sve ono zasta bi setovali Firewall client-a?

Da li se konfiguracije Back-to-back i Three-homed mogu negde primeniti kako treba ili su to primeri koji ispravno rade samo u literaturi?
[ Shadowed @ 11.12.2002. 14:58 ] @
Citat:
mirko k:
A gde si to video da ISA odlicno radi?

i
t
d

Nije bitno gde sam video (izmedju ostalog necu da pravim reklamu).
Ja ne mogu tek tako da znam da li je neko polagao Microsoftove kurseve.
Kao sto sam i rekao ja NE umem da radim sa ISA serverom pod cime podrazumevam da ne bih prihvatio da nekom to odrzavam ali i da su mi jasne mnoge stvari kad vidim podesavanja sto je i bio slucaj. Tada sam i video da je bilo 20-25 podesenih pravila. Da li je to malo strozije podesavanje od pocetno navedenog ili ne procenite sami (posto ja ocigledno ne umem da procenim).
Osim napomenutog bitno je pogledati i sam pocetak mog posta. Jedino korisno (mozda ne mnogo ali ipak korisno) misljenje koje sam ja mogao da dam da nije totalna nesigurnost a moj post samo o tome i govori.

Ne zelim da se svadjam ili bilo sta slicno ali ne bi trebalo da opruzujes druge da ne citaju cele postove a ti pri tom pravis pomenutu gresku...
[ mirko k @ 13.12.2002. 22:49 ] @
za Shadowed-a

Kakvo crno svadjanje, tu smo da se ispomazemo!

Mirko
[ bagins @ 13.12.2002. 23:29 ] @
Mirko, tree-homed lepo radi kada se (najzad) sve podesi kako treba. Back-to-Back nisam postavljao.
Snat najbolje radi kada ga podesis da bude i web proxy client. Istina ima tu malo vise price o tome kako se i kojim redosledom onda procesiraju rulovi u polisama pa me mrzi da pisem- nemoj mi zameriti.


Zar i ti sine Sigma? Baci mi private mail da vidim sta ima.
[ Kljaja @ 20.12.2002. 00:29 ] @
Citat:
sigma:
Joja kada si polozio s'ISU ?




KAD SAM POLIOZIO???

NISAM DOBRO CUO!!!!! :-)))))))))))))0