حالا اگه درون شبكه (Internal) ناامن باشه چي؟؟؟؟؟؟؟؟؟؟؟؟؟؟نوشته اصلی توسط irarkh
اين ساده ترين و سريع ترين حلال مشكل در ISA است .البته مي تونيد قضيه رو محدود تر كنيد و فقط به دنبال پورتهاي مورد استفاده باشيد ولي به نظر شما داشتن سطح دسترسي در Intranet واقعا" مهمه ؟مگر نه اينكه ISA فايروال شماست ؟ پس بهتره Security روي External اعمال بشه . سناريوئي كه در ذهن منه كشيدن ديوار مابين درون و بيرونه نه دور تا دور خودم
سلاماين ساده ترين و سريع ترين حلال مشكل در ISA است .البته مي تونيد قضيه رو محدود تر كنيد و فقط به دنبال پورتهاي مورد استفاده باشيد ولي به نظر شما داشتن سطح دسترسي در Intranet واقعا" مهمه ؟مگر نه اينكه ISA فايروال شماست ؟ پس بهتره Security روي External اعمال بشه . سناريوئي كه در ذهن منه كشيدن ديوار مابين درون و بيرونه نه دور تا دور خودم
Thanx 4 Reply
آره راست میگی مجبورم فعلا همین کارو بکنم.
اما تو شبکه ما 10 سیستم داریم که استفاده عمومی میشه.
یعنی آدمای مختلفی (اکثرا قشر جوان) برای جستجو در اینترنت و اینرانت سازمان میان و استفاده میکنن.
خیلی وقتها هم جو میگیردشون و حس میکنن آخر نفوذگری هستن و الی آخر. هرروز کلی port scanning و نصب نرم افزارهای remote bruteforce attacks و غیره.
تازه من یه Vlan ساختم و جداشون کردم ولی خیلی وقتا از این آقازاده های همکاران نیز در امان نیستیم.
البته تا حالا اتفاق خاصی نیفتاده، اما حوصله دردسر ندارم.
حرفمو اصلاح ميكنمدر سازمانهاي متوسط و كوچك ! البته اينو اضافه كنم با اين وجود كه توضيح دادم هنوز هيچ كدام از عزيزان Client در شبكه من نتونستند از نرم افزارهاي فوق الذكر استفاده كنند ! و حتي گاها" از من سوال مي كنند كه جريان چيه !!! به هر صورت توپولوژي شبكتون هم بي تاثير نيست .دوستان لطفا پيغام هاي خطا رو هم ذكر كنند تا شايد بشه نظر داد .
ویرایش توسط irarkh : 2006-04-24 در ساعت 10:27 AM
سلام دوستان
مشكل من حل شد.
اینجا مینویسم تا بقیه هم استفاده کنند.
برای حل مشکل، یه Rule توی ISA به نام Local درست کردم که All Traffic Outbound رو از خودش عبور بده.
بعد در قسمت Logging یه فیلتر درست کردم برای یک IP خاص در صورتی که Local Rule بهش اعمال بشه.
پس از شروع Loging، پای سیستمی که IPشو به ISA داده بودم رفتم و Gpupdateرو اجرا کردم.
فکر میکنید اولین بسته ای که به ISA رسیده بود، چی بود؟
PING با پورت 0، جالبه نه. از همه جالبتر این بود که وقتی Portرو باز کردم، مشکلات هم رفع شد و سیستمها تووووپ Update میشن.
امیدوارم بدرد بخوره.
از همه ممنون
ميشه يكم واضح تر بگيدسلام دوستان
مشكل من حل شد.
اینجا مینویسم تا بقیه هم استفاده کنند.
برای حل مشکل، یه Rule توی ISA به نام Local درست کردم که All Traffic Outbound رو از خودش عبور بده.
بعد در قسمت Logging یه فیلتر درست کردم برای یک IP خاص در صورتی که Local Rule بهش اعمال بشه.
پس از شروع Loging، پای سیستمی که IPشو به ISA داده بودم رفتم و Gpupdateرو اجرا کردم.
فکر میکنید اولین بسته ای که به ISA رسیده بود، چی بود؟
PING با پورت 0، جالبه نه. از همه جالبتر این بود که وقتی Portرو باز کردم، مشکلات هم رفع شد و سیستمها تووووپ Update میشن.
امیدوارم بدرد بخوره.
از همه ممنون
من كه نفهميدم رو ايزا هم تست زدم گزينه logging منظور كجاست؟؟؟
دوست عزیز
در قسمت اول توضیح دادم که چگونه دلیل مشکل مشخص شد. همین.
شما فقط کافی است Ping را برای کلاینت ها و سرور باز بگذارید. مشکل حل میشود.
توی کنسول آیزا روی monitoring کلیک کن . سربرگ logging رو میبینی
ممنون
سلام
آقا من تعجب مي كنم. من ISA 2004 نصب كردم ولي هيچ كدوم از اين مشكلات رو نداشتم تا حالا.
خود ISA يكسري Rule داره كه تمامي نيازهاي Active Directory و ... رو پشتيباني مي كنه و احتياج به تنظيم كاربر نداره
ميشه بگيد شما از چه ورژني استفاده مي كنيد؟
سلام
درست هست جناب عرب بیگی isa server standard 2004 خودش در policy ها چند رول دارد که با سادگی تمام نیاز های active directory رو بر طرف میگنه دوست من توصیه می کنم که شما نگارش استاندارد isa رو استفاده کن
دقیقاً !
سلام
مثل اینکه قضیه داره بیخ پیدا میکنه!!!
دوستان جسارتا
یا سوال رو فراموش کردید یا به ruleهای پیش فرض ISA توجه کافی نکردید!!!
ruleهای پیش فرض ISA برای ارتباط خود ISA با AD طراحی شده است.
یعنی مثلا ISA بر روی یک MemberServer نصب بوده و بخواهد از AD استفاده کند
ببینید:
Allow kerberos Authentication from ISA server to trusted Servers
برای اینکه ISA بتواند در برابر سرورهای مورد تائید Authenticate شود
Allow Access to Directory Services for Authentication Puposes
تا ISA بتواند برای Authenticate کلاینت ها از AD یا هر Directory service سازگار دیگری استفاده کند
Allow DNS from ISA server to selected servers
تا ISA بتواند از DNS Serverهای منتخب استفاده کند
و الی آخر
همانطوری که میبینید سمت این Rule به خارج ISA است. یعنی ISA به مقصدی خاص
در این حالت، کاربران Domain مشکلی نخواهند داشت زیرا برای ارتباط با Active Directory احتیاجی به عبور از مانعی نظیر ISA ندارند. چون ISA بر روی سروری مجزا نصب شده است. و طبق گفته دوستان Ruleهای خود ISA کفایت میکند.
اما هنگامی که ISA و AD بر روی یک سرور باشند، نه تنها ISA میبایست به AD دسترسی داشته باشد(Ruleهای پیش فرض) بلکه حالا تمامی کاربرانی که در شبکه بخواهند از AD استفاده کنند باید از ISA عبور کنند.
این دفعه ISA شامل Ruleهایی برای ارتباط شبکه با AD نیز باید باشد.
این مسئله ای بود که پیکربندی ISA دا دچار چالش کرده بود. که حل شد.
در این حالت Ruleهای پیش فرض ISA کمکی نمیکنند!
البته دوست عزیزی که گفتنند مشکلی ندارند حتما راه حل مناسبی یافتند، که من بیصبرانه منتظرم.
موفق باشید.
لينك دانلود ازش نداريد(isa server standard 2004)؟
سلام به همه
isa server من با dc هر دو یکی هستند ، من هم مشکلی مشابه داشتم ؛ group policy ها به member server ها اعمال نمیشد و در event viewer مدام error میداد که نمیتونه با Dc ارتباط برقرار کنه . رویisa و در application filter های پیش فرض ، RPC filter رو Disable کردم و مشکلم حل شد
فکر نمیکنم راه حل این مشکل صرفا به باز کردن پورت ping باشه چون با وجود اینکه تمام پورتها روی isa باز بود و به راحتی همه همدیگرو ping میکردند ولی نمیتونستند setting های group policy رو دریافت کنند . البته isa من 2004 standard بود و هست . ولی با disable کردن اون فیلتر مشکلم حل شد
چه زيبا بود اگر استادي يافت ميشد و يك منبع موثق درمورد توصيه نصب ISA و AD روي يك ماشين را به ما هم مي نماياند.
مجوز های ارسال و ویرایش
4سپاس
LinkBack URL
About LinkBacks
