سوال در رابطه با تخصیص اینترنت به کاربران در یک محیط امنیتی

[richman]

با سلام به دوستان.در مکانی 12 کاربر وجود دارد که اینترنت به صورت وایمکس دارند و از فایروال آیزا استفاده میشود.مشکل اصلی اینجاست که به دلایل امنیتی خاص کاربران نباید بتوانند فایلی را آپلود کنند یا از شبکه خارج کنند ولی به راحتی بتوانند به اینترنت دسترسی پیدا کنند و دانلود انجام دهند.ترافیک اپلود کردن باید صفر باشد جتی یک فایل متنی هم نباید از طریق اینترنت خارج شود. از Bandwidth spilleter در ایزا استفاده کردیم ولی نمیشه اپلود را با ان صفر کرد اگر صفر کنیم session های اولیه با هیچ سایتی برقرار نمیشه و حتی ack و nack و..نیز با مشکل بر میخوره.اگر 1مگابایت ست کنیم که فایلهای زیر 1 رو میتونند اپلود کنند.
دوستان چه راه حلی را پیشنهاد میکنند؟دستگاه یا نرم افزار خاصی نیاز هست؟ خواهش می کنم مرا راهنمایی کنید.ممنون

---

موضوعات مشابه:

• سوئیچ مدیریتی دیتاشین !!!
• سوال در مورد تنظیم فایروال اسمارت سکیوریتی
• تخصیص کنترل پهنای باند با سوئیچ 3750
• یه سوال در مورد دوربین امنیتی

---

[masterweb]

حتی دانلود کردن هم احتیاج به آپلود داره
فکر کنم باید روی Deny کردن File Type ها در حالت Internal به External تمرکز کنید نه روی محدود کردن پهنای باند مثلا بلاک کردن Extention ها و فایلهای خاص که نمیخواین خارج شه از آیزا کمک بگیرید! اما این راه حل کاملا درستی نیست چون من اگر فایل رو با پسوند الکی سیو کنم بایپس میشه اما با مجموعه ای از کارها میتونید کاملا به اون چیزی که میخواین برسید مثلا

یک کمک دیگه برای جلوگیری از آپلود :

شما مثلا برای رول HTTP میتونید متد POST رو فیلتر کنید در نتیجه جلوی آپلود از طریق HTTP رو میگیرید ... البته پروتکل های دیگه و ترفندهای دیگه ای هم هست و خیلی کارها باید انجام داد اما چون من دیدم ذهنیت شما برای انجام این کار اشتباه است گفتم که بهتره روی این موضوع که گفتم تمرکز کنید

در نهایت با ISA SDK میتونید فیلتر دلخواه خودتون رو طراحی کنید و روی آیزا نصب کنید

[pardazande]

حتی دانلود کردن هم احتیاج به آپلود داره
فکر کنم باید روی Deny کردن File Type ها در حالت Internal به External تمرکز کنید نه روی محدود کردن پهنای باند مثلا بلاک کردن Extention ها و فایلهای خاص که نمیخواین خارج شه از آیزا کمک بگیرید! اما این راه حل کاملا درستی نیست چون من اگر فایل رو با پسوند الکی سیو کنم بایپس میشه اما با مجموعه ای از کارها میتونید کاملا به اون چیزی که میخواین برسید مثلا

یک کمک دیگه برای جلوگیری از آپلود :

شما مثلا برای رول HTTP میتونید متد POST رو فیلتر کنید در نتیجه جلوی آپلود از طریق HTTP رو میگیرید ... البته پروتکل های دیگه و ترفندهای دیگه ای هم هست و خیلی کارها باید انجام داد اما چون من دیدم ذهنیت شما برای انجام این کار اشتباه است گفتم که بهتره روی این موضوع که گفتم تمرکز کنید

در نهایت با ISA SDK میتونید فیلتر دلخواه خودتون رو طراحی کنید و روی آیزا نصب کنید

جسارتا میشه یه کمی در این مورد توضیح بدین. یه آموزش مقدماتی یا کامل رو میشه بر اساس تجربیات خودتون بزارین. مطمئنا دوستان زیادی نیاز به آموزش شما دارند.
ممنون و سپاسگزار

[masterweb]

منظورتون اگر ISA SDK هست که کاملترین مرجع خود مایکروسافت هست و کلی هم آموزش داره یا اینکه منظورتون عنوان تاپیک هست ؟ متاسفانه دقیقا متوجه نشدم

[patris1]

ای کاش اول کمی جستجو میکردید.
موفق باشید

Configuring the ISA Server 2006 HTTP Filter

کد:

http://forum.persiannetworks.com/f80/t33603.html

ISA Firewall Stateful Application Layer Inspection Filters

کد:

http://forum.persiannetworks.com/f80/t33594.html

[richman]

با تشکر از دوستانی که راهنمایی کردند.دوستان توجه دارند که نباید هیچ فایلی با هیچ پسوندی از هیچ طریق خارج بشه!!!!
یکی از دوستان میگفت باید حتما از سخت افزار ویژه استفاده کرد می خواستم ببینم بدون سخت افزار هم امکان پذیره؟ اگر ftp و POST را در HTTP ببندیم همه راه های آپلود رو بستیم؟؟؟؟؟؟؟؟؟

[masterweb]

بله فکر کنم بتونید اما فراموش نکنید باید پروتوکل های زیادی رو محدود کنید ، بطور کل نیاز به یک برنامه ریزی دقیق داره به نظر من باید شبکه رو به پرتهای مورد استفاده محدود کرد میدونید چرا ؟ حتی از طریق Remote Desktop و Share کردن درایو ها میتوان فایل رو منتقل کرد شما باید جلوی این پروتوکل رو بگیرید ، برای FTP هم کامند های آپلود رو ببندید ، بطور کل باید SSL رو ببیندید جز آدرسهایی که نیاز هست چون دیتا کد میشه و همچنین فیلترشکنها از این پروتوکل استفاده میکنند ، پروتوکل های IMAP/POP3 و SMTP هم باید برای ایمیل دستکاری شوند ، برنامه های جانبی مثل VNC باید محدود شوند ، L2TP و PPTP برای محدود کردن VPN باید بسته شوند . باید فایلهای قابل اجرا بر روی همه ی سیستم ها محدود و مونیتور بشوند ... همونطور که گفتم این چیزی که شما درخواست کردید یک پروژه خاص میباشد که باید طراحی و پیاده سازی بشه و کار ساده ای نیست
مثال :
همه ی اینها رو محدود کردید اگر من روی سیستم خودم TFTP رو در حالت Listen بذارم و یکی از اون شبکه با CMD وصل بشه بهم و فایل رو بفرسته چی کار میکنید ؟! این کار خیلی ساده ست

[richman]

سلام دوستان موارد زیر را امتحان کردم ولی جواب نداد!!!!!!!!!
1- ابتدا میخاستم متد POST را در HTTP ببندم ولی با این کار عملا در کار اینترنت کاربران اختلال وارد میشه چون با بلاک شدن متد POST دیگه حتی نمیشه تو یه سایت هم log in کرد یا مثلا در همین سایت پستی قرار داد!!!!!!!!!!
2- بعد رفتم روی بحث application layer filtering که مثلا در ترافیک HTTPP نتوانند فایل های Text or document را عبور دهند ولی با توجه به اینکه نمیتوانستند فایل متنی را به ایمیل attach کنند ولی دیگه خیلی از سایت ها هم باز نمیشد یعنی ترافیک را بررسی میکنه و کار نداره از داخل به بیرونه یا برعکس اگر هر فایل متنی دید را میبندد که ما نمیخواستیم جلوی دانلود را ببندیم و فقط میخواستیم جلوی اپلود را ببندیم!!!!!!!!
3- سراغ extensions filtering در پروتکل HTTP رفتیم که مثلا پسوند های .doc or .txt را اجازه عبور نده که باز هم علاوه بر مشکلات قبلی با یک تغییر پسوند ساده میتوانستیم فایل رو attach کنیم
دوستان راه حل دیگری ندارند؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
در تمام مراحل به این توجه داشته باشید که در دسترسی به اینترنت نباید هیچ اختلالی رخ دهد ولی در ضمن نباید هیچ فایلی با هیچ پسوندی با هیچ حجمی از طریق اینترنت خارج بشه(upload or attache) واینکه تنها رولی که برای ایزا تعریف کردیم دسترسی internal به external برای پروتکل http میباشد یعنی تمام پورتهای دیگر این شبکه بسته میباشد.....
با تشکر از دوستان عزیز

[mgholami]

اگه اینطوریه به نظر من بهترین راهش اینه که اینترنت رو روی یه سرور مجزا از دامین قرار بدید بعد ترمینال سرویس رو ران کنید و دست آخر به یوزرها برای استفاده از اینترنت ریموت بده .