از کار افتادن isa 2006

[shab550]

روی یک سرور هم آیزا دارم هم ad و هم dns. این سرور بدون هیچ مشکلی کار میکرد تا چند روز پیش . rpc filter رو هم روی آیزا disable کردم . جدیدا آیزا هراز گاهی دچار مشکل میشه و از کار میافته به طوری که ping هم نمیشه کردنش . با رولی که روی آیزا گذاشتم دسترسی به همه جارو باز گذاشتم ولی بدون اینکه هیچ error بده این مشکل براش پیش میاد و با restart کردن فایروالش درست میشه .من خودم یک حدسی میزنم : بعضی از افراد در شبکه از فیلتر شکنهایی استفاده میکنن که به صورت پورت اسکن هستش فکر میکنم این برای سرور مشکل ایجاد میکنه ، تنظیماتی انجام ندادم که در صورت پورت اسکن آیزا کار خاصی انجام بده تنظیماتش به صورت default هست .
کسی میتونه راهنمایی کنه . اگه مربوط به این پورت اسکنها هست چطوری میتونم این مشکل رو حل کنم ؟

---

موضوعات مشابه:

• مشکل نصب isa 2006
• مقایسه ISA Server 2006 Enterprise با ISA Server 2006 Standard
• ISA Server 2006 - Installing, Configuring and Using the ISA 2006 Cache Directory Tool
• ISA Server 2006: Installing ISA 2006 Enterprise Edition (beta) in a Unihomed Workgroup Configuration
• پایداری ISA 2006

---

[Hakimi]

اول: توصیه این که DNS Server رو از ISA Server جدا کنید.

دوم: سری به Log File ها و Event Viewer بزنید تا متوجه شوید دقیقا چه اتفاقی رخ می دهد.

[irarkh]

با اجازه جناب حکیمی؛ دوست عزیز در صورتی که در Alerts پنل ISA خطای Stop شدن سرویس فایروال دارید این واکنش در ISA در صورت حس Attack از سوی ISA انجام می شود . همانطوریکه می دانید با از کار افتادن سرویس فایروال در ISA کلیه ارتباطات قطع و در نتیجه Attaker نافرجام خواهد ماند. البته راه کار برگشت به حالت عادی را باید از بخش سرویسهای ویندوز و سرویس فایروال طوری تنظیم کنید که در صورت Stop شدن سرویس فوق، جهت راه اندازی مجدد سرویس بصورت خودکار اقدام شود. در غیر اینصورت بایستی بصورت Manual اینکار انجام شود.
در مورد پورت اسکنرها بطور پیش فرض در ISA در صورت اسکن بیش از 10 پورت Well known ، آیزا واکنش نشان داده و این فرآیند را حمله تلقی می کند. البته غیر فعال بودن پیش فرض این بخش در IDS آیزا 2004 حتمی ولی در 2006 را مطمئن نیستم و می تونید چک کنید.

[shab550]

مشکل اصلی من این بود که هیچ خطایی در جایی نشون داده نمیشد . نه در alert آیزا و نه evet viewer ویندوز .
تمام تنظیمات آیزا سرور من به صورت پیش فرض هست .در قسمت alert definition من attack ی ندیدم که سرویس رو stop کنه ، همه فقط warning log میدن یعنی سرویس رو stop نمیکنن . در واقع سرویس من stop نمیشد ، چون اگه میشد log ش گرفته میشد . به همین دلیل خیلی برام عجیب بود . در حال حاضر یه access rule تعریف کردم که ping اون کلاینتهایی که از port scan استفاده میکردند رو فیلتر کردم ، بعد از تعریف این رول تا به حال اون مشکل برای سرور پیش نیومد . البته به صورت حدسی اینکار رو کردم . هنوز نمیدونم که مشکلش این بود یا نه . به هر حال امیدوارم دیگه این مشکل برای سرور پیش نیاد.
قبول دارم که آیزا سرور اگر به صورت تنها روی یک سرور نصب باشه بهتره ولی تا به حال که با dns بوده من مشکل خاصی نداشتم . به هر حال این به دلیل کمبود سرور هست که من مجبورم چند تا سرویس رو بزارم روی یک سرور .
به هر حال از همه ممنونم . اگر باز چیزی به نظرتون رسید بنویسید