Prima della configurazione di ISA preferirei fare un piccolo riassunto delle porte che
Windows utilizza per funzionare in rete.
Le normali porte per l'utilizzo di Internet sono molto note e non necessitano di
ulteriori spiegazioni. Tutte le porte si intendono TCP.
| 21-20 FTP | 80 HTTP |
| 23 Telnet | 443 HTTPS |
| 25 SMTP | 119 NNTP |
| 110 POP3 | 563 SNNTP (secure news) |
|
53 Udp DNS |
|
Ci sono poi tutta una serie di porte che vengono utilizzate dal sistema operativo per lo scambio di chiavi o di semplici informazioni, per il browsing dei file ecc. ecc. La porta vene aperta dal server, il client risponde aprendo una porta compresa fra 1024 e 65535, nel caso che la prima porta venga trovata chiusa, per esempio perché occupata da un'altra applicazione o perché bloccata dal firewall, allora si tenta di aprirne un'altra, in genere la successiva. Dopo tre tentativi viene generato un messaggio di errore.
| 389 Tcp (Udp) LDAP | è questa la porta più importante che va aperta se vogliamo consentire la comunicazione fra due macchine Windows, è la porta utilizzata dall'active directory. |
| 445 Tcp SMB | questa porta serve per permettere il file sharing. Le informazioni delle varie cartelle e la condivisione dei file viene vista atraverso questa porta |
| 3268 Tcp Microsoft Global Catalog | è il catalogo dell'active directory. |
| 88 UDP Key IP SEC | scambio di chiavi per IP sec. |
| 88 Tcp Kerberos. (client 1024-65535) | |
| 749 Tcp Kerberos Administration | Il Kerberos è il protocollo per lo scambio delle password fra domain controller e client (Crittografia dati). |
| 750 Tcp Kerberos IV | |
| 137, 138 Udp | Browsing, Net bios name service e datagram. Sul client e sul server vengono aperte le stesse porte. |
| 138 Udp 139 Tcp | Directory Replication |
| 135 Tcp | DNS Administration |
| 139 Tcp | Event viewer, File sharing, Performance monitor, Registry editor, Server Manager, User Manager, Win 2000 diagnostic, Net bios session (Net use), Server Net bios (WinNT). |
| 137, 138 Udp & 139 Tcp | Logon Sequence, Printing |
| 42 Tcp | Server wins (WinNT) |
| 67, 68 Udp | DHCP lease |
| 135 Tcp | DHCP Manager |
Oltre a queste ne esistono altre di minore impotanza:
636 LDAP over HTTP
3269 Microsoft Global Catalog con LDAP/SSL
Nel caso vogliamo far comunicare alcune applicazioni si dovrà aprire quelle porte utilizzate dall'applicazione oltre alla porta utilizzata dal RDP. Generalmente il client richiede l'utilizzo di una certa applicazione, in remoto il server apre il socket appropriato su una porta nota, viene chiesto al client di aprire una porta generica da 1024 a 65535. Aperte le due porte la comunicazione ha inizio.
135 Tcp RPC Remote Procedure Call, attiva la comunicazione di programmi nella rete: client e server.
3389 Tcp RDP Remote Desktop Protocol é la porta attraverso cui comunica terminal server.
1433 SQL questa porta viene utilizzata da un server sql, può essere utile per esempio quando in server IIS su una DMZ deve comunicare con un Microsoft SQL Server
1645 IAS Internet Autentication Service Questa e quella sotto sono le porte utilizzate da un server RADIUS per permettere a client remoti di autenticarsi nella rete interna.
1645, 1646, 1812, 1813 Udp RADIUS
ISA server è un programma che permette di risolvere i seguenti problemi
Attacchi dall'esterno
Gestione e controllo accessi Internet
Efficienza nell'uso delle risorse (Banda)
I controlli effettuati da ISA Server vengono fatti a livello di
Pacchetti (Filtri statici su IP)
Protocolli (Filtri statici o dinamici su TCP)
Applicativo (HTTP, SMTP, Streaming, FTP, ecc ecc...)
Se si installa Isa server su Windows 2000 server le policy e la configurazione può essere memorizzata su Active directory.
Isa server presenta tre sevizi
Web proxy
Firewall
Content Download
I filtri possono essere
Statici
Dinamici (Possiamo decidere di chiudere determinate porte se succede un certo evento tramite Intrusion Detection).
ISA server può utilizzare anche la parte client, il client di ISA server sostituisce le socket di Windows 2000
Eventuali tabelle di routing vanno dettate alla macchina prima dell'installazione del firewall. Una sottorete si raggiunge usando il seguente comando
| ROUTE ADD | -P | 192.168.xxx.xxx | mask | 255.255.x.x | 192.168.xyz.xyz |
| Comando DOS | Rende la route persistente | Indirizzo di rete della sottorete | Net Mask della sottorete | Defoult Gateway della sottorete |
Una volta installato il programma andiamo nella consol di ISA
server configuration.
Le impostazioni di default non danno nessun tipo di accesso, tutto le porte sono
bloccate.
Tutte le configurazioni di ISA server si possono impostare da Acces
Policy. Si raggiungono cliccando sul nome del computer che stiamo
configurando.
Dall'access Policy troviamo:
Packet Filter. Tramite un Packet filter possiamo controllare gli accessi dall'esterno nella rete. Tutte le porte di default sono chiuse, con un Packet filter possiamo aprire certe porte specificando il range di IP address ai quali stiamo applicando il filtro, possiamo decidere i protocolli e le porte.
Protocol Rules. Una protocol rules serve ad individuare quali protocolli e quali computer possono avere accesso alle reti esterne. Per esempio possiamo impostare che tutti i computer della Intranet hanno accesso HTTP a Internet.
Content Rules. Posso negare l'accesso a certi siti Web, possiamo anche reindirizzare ad una specifica pagina web.
Con una configurazione del tipo Internet --> Firewall --> DMZ --> ISA --> Local network possiamo delineare alcune piccole linee guida per una corretta configurazione di ISA server.
1) ISA server deve avere come defoult gateway il Firewall, avrà inoltre due schede di rete, una connessa con la rete locale l'altra con la DMZ.
2) Tramite le protocol rules possiamo specificare quali computer della intranet (e in che orari) si possono connettere a Internet, generalmente per consentire una corretta navigazione e sufficiente aprire le porte HTTP, HTTPS, FTP, DNS. Questi protocolli ci sono già di default e non vanno specificate le porte da aprire, è sufficiente dire quale protocollo per quale range di computer e in che orari va applicato. Con le protocol rules in generale possiamo assegnare quali porte (e quindi quali applicativi) possono raggiungere l'esterno.
3)Con Packet filter possiamo aprire delle porte dalla DMZ verso la Intranet. Può essere utile nel caso vogliamo far comunicare determinati programmi.
4)Nel caso vogliamo far accedere un server ad un computer sulla DMZ questo deve essere PUBBLICATO. La pubblicazione di un server fa si che per i computer sulla DMZ il server viene visto come la scheda esterna di ISA. ISA si preuccuperà di gestire la comunicazione e di fare Natting. La pubblicazione sarà utilizzata, per esempio, nel caso un server IIS (Server web) voglia comunicare con un server SQL sulla intranet. Sarà allora necessario pubblicare il server SQL. Nella pubblicazione specifichiamo quali porte saranno utilizzate perciò non stiamo mettendo allo scoperto il computer ma cediamo un servizio all'esterno. Dalla DMZ si dovrà settare IIS in modo che il server SQL sia la scheda esterna di ISA server.
5) Non è possibile fare un packet filter che apre tutte le porte per tutti i computer, questo verrà ignorato.
6) Ci sono un paio di siti web che possono essere molto utili nella risoluzione dei problemi, la microsoft ha inoltre messo a disposizione anche due newsgroup che potrebbero essere utili.