vamp Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Microsoft Internet Security & Acceleration Server Home - сайт производителя - необходимо посетить начиная работу с ISA Server IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи     Подробнее... Всего записей: 121 | Зарегистр. 30-01-2002 | Отправлено: 16:46 10-04-2002 | Исправлено: Leonid_Z, 16:31 26-09-2005

Cuba Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вопрос всем: есть в локальной сети прога, ей нужно вылезти в инет. Файервол не пускает. Как мне в логах посмотреть куда она ломиться? В каких файлах? Всё посмотрел нигде нету Blocked Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 13:49 31-03-2004

Gipro Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Cuba Мне думается, что нету в логах у тебя Blocked, потому что логи так настроены облегчённо, например это могло было быть сделано для совместимости с каким-нибудь проксиинспектором.   skylined Цитата: насчет етих бандвиз рулзов не оч приятные впечатления Я хорошо продумал для своей сетки эту систему, даже может быть сильно наворотил, и кажется всё без проблем, (разве только isa стоит на двухпроцовом бренде так что никакие напряги незаметны вообще) Всего записей: 254 | Зарегистр. 27-11-2002 | Отправлено: 17:09 31-03-2004

Cuba Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Gipro Цитата: Мне думается, что нету в логах у тебя Blocked, потому что логи так настроены облегчённо, например это могло было быть сделано для совместимости с каким-нибудь проксиинспектором.   Я ничего не настраивал.. там всё сейчас по умолчанию стоит. Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 17:28 31-03-2004

UNKNOWING Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gorg   стОит,. Альтернативы нет. Все другие продукты настолько гавенее,. простите. ну еще добавлю ИМХО,. + родной МС-кий продукт всегда работал лучше, чем альтернативные,. + возможности работы с АД. да и простая она ИСА как дуб-веник, да и какой-никакой а билинг сделан,. вообщем это довольно мощный и гибкий софт,. сравнительно,. ибо лучше нет. ИМХО   а если хочешь нормальный файрволл - используй БСД. Всего записей: 190 | Зарегистр. 17-04-2003 | Отправлено: 21:01 31-03-2004

DarthVader Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Избавиться от этого трудно, надо или запрещать HTTP 1.1 у клиентов Каким образом? Всего записей: 18 | Зарегистр. 03-11-2003 | Отправлено: 07:19 01-04-2004

Pantalone Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Refugee Если доступ для Anonymous не разрешен, то дальше логов он не проходит, т.е. анонимусом ничего не качается и в отчетах на него можно забить, просто вычеркнуть. Проверь трафик у прова на сайте статистики и трафик по отчетам ISA, оди будут примерно равны как раз если выкинуть анонимуса, т.е. не обращать на него внимание в отчетах. Всего записей: 729 | Зарегистр. 16-02-2004 | Отправлено: 09:07 01-04-2004

JcVai Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору skylined Не забудь, что там не выставление скорости, а просто расстановка приоритетов.   Cuba Поставь файрвол-клиент, настрой и будут тебе логи.   gorg Цитата: проще оставить как есть отдельно прокси, почтовик и фаервол? Не проще, но лучше именно так: чем больше разделение функций, тем надежнее. В оригинале, если у тебя сейчас на это выделены 3 сервера, сделать: 1. Почтовик 2. ISA в integrated mode 3. ISA в firewall mode (сервер не вводить в домен).   Refugee Цитата: Anonymous появляется, когда клиент использует HTTP 1.1 "Откуда дровишки"? (источник плиз) У меня анонимных закачек нет - только запросы и обламывающие ответы isa.   DarthVader HTTP в браузере IE отключается в свойствах-дополнительно. А на уровне ISA-сервера достаточно поставить по галочке на каждый сетевой интерфейс для принудительной аутентификации и настроить фильтр http redirector. ---------- What out of that we have not win What out of that we've not return Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 09:14 01-04-2004

Pantalone Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JcVai ISA в firewall mode (сервер не вводить в домен). Почему не вводить? У меня сервер с ISAв домене и все чики-поки. Всего записей: 729 | Зарегистр. 16-02-2004 | Отправлено: 11:34 01-04-2004

JcVai Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Pantalone Потому что по вышеприведенной схеме каскада взлом внешнего сервера не позволит получить доступ к ресурсам локальной сети, а значит больше шанс своевременно заметить проникновение и отреагировать. Кроме того всякие сервисы, примочки и плагины, устанавливающиеся на прокси сервере редко повышают безопасность системы, а функциональности чистого ISA часто бывает недостаточно. ---------- What out of that we have not win What out of that we've not return Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 12:38 01-04-2004

Pantalone Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JcVai Как ты себе представляешь такой взлом? Я пока еще не слышал что у кого-то кто-то пролез за ISA внутрь сети. А если комп не из домена, как он будет обслуживать правила на основе учетных записей? (честно не знаю) Как это должно выглядеть? Просто ставим комп, не регистрируя его в домене. Но будет ли он видеться по сети? Вопрос действительно интересен. Всего записей: 729 | Зарегистр. 16-02-2004 | Отправлено: 14:30 01-04-2004

JcVai Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Pantalone Цитата: Как ты себе представляешь такой взлом? Легко: 1. Использование учетки с небезопасным паролем. 2. DOS сервисов ISA с последующей экПЛОИтацией незащищенной NT. В догонку: 1-я заповедь "библии хакера" гласит: "Любая система защиты вскрывается в конечный срок".   Цитата: Я пока еще не слышал что у кого-то кто-то пролез за ISA внутрь сети. Ты знаешь, мне что то тоже не доложили... "- Ты суслика видишь?  - Нет.  - А он есть!" (с)ДМБ Кстати, не буду показывать пальцем, но я знаю по крайней мере одного читателя этой темы, к которому я могу заглянуть в сеть через ISA даже не напрягаясь.   Цитата: А если комп не из домена, как он будет обслуживать правила на основе учетных записей? А зачем??? На основе учеток будет обслуживать предыдущий ISA в режиме прокси+файрвол.   Цитата: Как это должно выглядеть? Просто ставим комп, не регистрируя его в домене. Но будет ли он видеться по сети? Он будет видется "промежуточным" ISA - этого вполне достаточно. ---------- What out of that we have not win What out of that we've not return Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 16:05 01-04-2004 | Исправлено: JcVai, 16:06 01-04-2004

Pantalone Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JcVai 1) Ну смотри, разберем реальную ситуацию. У меня есть учетная запись где логин=пароль="пупкин", или даже с пустым паролем. Не уверен что ты сможешь, зная это, пролезть за ISA, если только у меня не открыт VPN или еше чего. Так? 2) DOS? Шутишь? В смысле если знать какой-то баг в ISA?   И если у кого-то хакеры пролезли за ISA и он это обнаружил бы, думаю поднялся бы ор и мы бы с тобой об этом знали хотя бы по наслышке   Кстати, не буду показывать пальцем, но я знаю по крайней мере одного читателя этой темы, к которому я могу заглянуть в сеть через ISA даже не напрягаясь.   Не мог бы ты описать механизм проникновения в общих чертах? Дабы знать какие дыры закрыть.   Совсем не понял насчет "промежуточных" и "предыдущих" ISA, это как, ставится нестолько ISA в цепочку? Одного не достаточно? Запутал ты меня совсем Всего записей: 729 | Зарегистр. 16-02-2004 | Отправлено: 23:53 02-04-2004

JcVai Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Pantalone Цитата: Не уверен что ты сможешь, зная это, пролезть за ISA, если только у меня не открыт VPN или еше чего. Так? В принципе верно, известные логин+пароль можно использовать, если есть доступ, а если на внешнем итрефейсе блокируются абсолютно все входящие, то все ок... Хотя, не забывай, что есть еще MOM-атаки и можно использовать уже установленную изнутри сессию.   Цитата: DOS? Шутишь? В смысле если знать какой-то баг в ISA? Можно досить, можно флудить, можно использовать баги - вариантов уйма.   Цитата: Не мог бы ты описать механизм проникновения в общих чертах? Очень просто (то что известно мне о той сети): Вычисляется внутренняя сеть по установленным изнутри сети сессиям. Удаленный ISA ("атакуемый") используется как прокси/роутер для доступа к "закрываемой" им сети. А вообще, еще можно использовать H.323, ASN.1, SurfControl и все, опубликованное с ISA.   Цитата: Дабы знать какие дыры закрыть. Как минимум: 1. Накатить все патчи. 2. Отключить H.323 Filter и GateKeeper. 3. Отключить все варианты аутентификации на внешних интерфейсах. (так же не путать "all destinations" с "all external destinations"). 4. Публиковать во вне только самое необходимое и, желательно, не размещеное на одном сервере с ISA. 5. При необходимости, четко определять IP-адреса, с которых разрешениы внешние запросы. 6. Необязательно, но для супер-надежности - перерезать шнур в инет.   Цитата: Совсем не понял насчет "промежуточных" и "предыдущих" ISA, это как, ставится нестолько ISA в цепочку? Точно.   Цитата: Одного не достаточно? Есть такая русская народная поговорка: лучше пере..., чем недо... Это была рекомендация gorg-у учитывая известные о его сети данные. Мне самому пока хватает 1-го ISA+1 аппаратный роутер, правда свою сетку я снаружи могу уронить даже не напрягаясь... но это просто потому, что, к сожалению, безопасность ставят на первое место только когда увидят потери, а пока все на словах - не обращают внимания. Максимальный вариант, который я видел у нас в городе: ISA+OpenBSD+аппаратный файрвол.   PS: Но при всем этом, для меня ISA остается лучшим в своем классе. Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 09:22 05-04-2004

izograv Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Полу-sfot: если кто постоянно пользуется gfi downloadsecurity, не могли бы отозваться в пм, посто он у меня часто ложно срабатывает, может есть варианты минимизации этого (типа отключения части вирусных движков etc). Всего записей: 591 | Зарегистр. 25-04-2002 | Отправлено: 12:47 05-04-2004

Cuba Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору У кого нить есть самый последний список сетей для блокировки банеров и другой рекламы? Нужен за 2004 год, а не тот что в шапке. Если можно то сразу в скриптик импорта в ису. Всего записей: 476 | Зарегистр. 15-07-2002 | Отправлено: 12:32 06-04-2004

izograv Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Еще один вопрос по антивирусным прибамбасам к исе: кто-либо пробовал eScan 2003 For Microsoft ISA Proxy, ссылка на него на 0day вчера пробегала? Хотелось бы хоть пару слов о продукте услышать, особенно в сравнении с gfi и symantec ) Всего записей: 591 | Зарегистр. 25-04-2002 | Отправлено: 17:45 07-04-2004

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MS ISA Server (часть 1)

articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование