Halford 10 Geschrieben 25. Oktober 2005 Melden Teilen Geschrieben 25. Oktober 2005 Hello Folks ! VORGESCHICHTE: Wir setzen den ISA 2000 ein. Der ISA 2000 ist auf einem Windows 2003 Server installiert, dieser ist Mitglied im Active Directory – Als Standard-AP. Es existieren zwei (2) Clientadresssätze : Genereller Zugriff ( Komplette Priv. IP Range von Betrieb) & Vollzugriff (IP Adressen einzelner Mitarbeiter APs) zusammen mit den Zielsätzen: Blacklist („böse“ Websites wie http://www.fcbayern.de / http://www.ebay.de / Reiseveranstalter etc.) Whitelist („gute“ Websites wie http://www.mcseboard.de / http://www.heise.de / Infotainment etc.) Intern (Intranet, Diensteserver etc. IP Adressen und UNC Namen davon) entstanden folgende Site & Inhalts Regeln: „Blockiere Blacklist“ Ziele: Blacklist-Zielsatz Zeitplan: Immer Aktion: verweigern Umleitung auf Interne Fehlermeldungsseite Anwendung: Alle Anfragen „Zulassung Whitelist“ Ziele: Alle Ziele Außer dem gewählten Zielsatz „Whitelist-Zielsatz“ Zeitplan: Immer Aktion: VERWEIGERN Anwendung: „Genereller Zugriff“ – Außnahmen „Vollzugriff“ Prokollregel – Gesamter IP Datenverkehr zulassen für alle. Routingregel für Internet & Routingregel für „Intern“ – direkt vom angegebenen Ziel abfragen ---- Soweit sogut mit dieser Konfiguration lief es wunderbar. Der Anfang vom Ende Nun soll das Ganze Konstrukt in die Luft geworfen und von IP auf AD-Benutzer geändert werden. Ich habe einen potenteren Server bereits mit W2k3 und ISA 2000 aufgesetzt sowie in Domäne geholt. Dieser soll, sofern alles einwandfrei läuft den alten Proxy ersetzen. Das wurde getan: Die alten Regelsätze importiert (Blacklist/Whitelist/Intern). Das Routing wurde eingestellt (Internet & Intern). Protokollregel – Gesamter IP Datenverkehr zulassen für alle wieder erstellt. Im AD eine neue Gruppe erstellt „Internet Vollzugriff“ und die alten Vollzugriff-AP Besitzer dort hinterlegt. Als Site & Inhaltsregeln hab ich folgende erstellt: „Whitelist zulassen“ Ziele: Alle bis auf Ausgewählten Zielsatz „Whitelist“ Zeitplan: Immer Aktion: VERWEIGERN Anwendung: Unten angegebene Benutzer & Gruppen Dort habe ich Dom-Benutzer hinzugefügt. Außnahmen Vollzugriff & Dom-Admins. (Bei den Benutzern ist Dom-Benutzer mit hinterlegt – jedoch nicht die Primäre Gruppe (Prim. ist die Abteilungnr.)!? – kann dies das Prob sein ?) „Blacklist verweigern“ Ziele: Ausgewählter Zielsatz „Blacklist“ Zeitplan: Immer Aktion: VERWEIGERN – Umleitung auf Interne Fehlermeldungsseite Anwendung: Alle Anfragen „Vollzugriff“ Ziele: Alle Ziele außer dem gewählten Zielsatz“Blacklist“ Zeitplan: Immer Aktion: Zulassen Anwendung: unten angegebene Benutzer & Gruppen Hier sind Gruppe „Domänen-Admins“ & die zusammengestellte „Internet Vollzugriff“ – Gruppe eingestellt. --- 30 sek wart .... für Part 2 Zitieren Link zu diesem Kommentar
Halford 10 Geschrieben 25. Oktober 2005 Autor Melden Teilen Geschrieben 25. Oktober 2005 Soweit zu Konfiguration. Die Doppelte Blockierung der Blacklist ist drin, da zum Beispiel http://www.t-online.de in der Whitelist ist jedoch bild.t-online.de gesperrt sein soll. Genauso die Bildersuche bei Google. Das Problem ist folgendes: als es noch über IP lief musste man sich beim Aufruf von bspweise. http://www.heise.de'>http://www.heise.de'>http://www.heise.de 1 x mit den Internet-Benutzerdaten authentifizieren. Nachdem es auf AD umgestellt worden ist verlangt der Browser für jedes Bild/Frame/ Domainexternes Dokument eine weitere Authentifizierung …. Beim Aufruf von http://www.heise.de sind das knapp 35 authentifizierungen. Bricht man mit ESC den Auth.Vorgang sofort ab bekommt man die „Seite kann nicht angezeigt werden“-Meldung vom IE. Sofern man Ausdauer beweist und 8- 12 mal die Authentifizierung eingegeben hat sieht man schon mal die Frames und einiges an Inhalt der http://www.heise.de Präsenz. Bricht man nun ab sind Fehlermeldungen des ISA in den nicht geladenen Frames/Bildern/Bannern bzw. das Symbol für „kaputtes Bild“. Ich habe schon einiges ausprobiert und Mal alle Regelsätze runtergeworfen und eine „Jeder darf alles Regel“ (Alle Anfragen (User & IP)) erstellt …. funktioniert dann komischerweise ?! Liegt es an irgendwelchen Rechten die ich vergessen hab zu setzen ? Ich bitte um Feedback , sofern noch Fragen offen sind … nur zu fragt :D Besten Dank im voraus für alle Bemühungen Zitieren Link zu diesem Kommentar
Halford 10 Geschrieben 26. Oktober 2005 Autor Melden Teilen Geschrieben 26. Oktober 2005 Keiner eine Idee ? Zitieren Link zu diesem Kommentar
FiB0 10 Geschrieben 26. Oktober 2005 Melden Teilen Geschrieben 26. Oktober 2005 Hi Halford, hast du den ISA FW-Clieht nicht an den Rechnern installiert ? Dann sollte der IE eigentlich nicht nach dem Domänen Konto fragen .. ?!!? mfg FiB0 Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 26. Oktober 2005 Melden Teilen Geschrieben 26. Oktober 2005 Hallo Halford, verwendet ihr einen Browser, der keine windowsintegrierte Authentifizierung unterstützt (also keinen IE)? Gruß Steffen Zitieren Link zu diesem Kommentar
Halford 10 Geschrieben 27. Oktober 2005 Autor Melden Teilen Geschrieben 27. Oktober 2005 Hallo, wir verwenden einen Per GPO konfigurierten IE. Das Problem von Oben ist zumindest teilweise bereinigt: Der Firewall Dienst ist nun AUS und bleibt AUS. Der ISA ist als "Integriert" installiert der Firewall Dienst ist jetzt jedoch deaktiviert. Der Firewallclient wird nicht eingesetzt es ist ein reiner Caching Server - Kritische Unternehmensschutzmechanismen setzen wir nicht auf Microsoft Basis ein. Ich habe die Vermutung das es an den Regeln liegt. Habe am gestrigen Nachmittag noch rumprobiert. Vollzugriff User dürfen alles Whitelist User dürfen nur Whitelist Beide sollen bei Eingabe von bösen Websiten wie ebay.de oder dicke*****n.de unsere "zugriff verweigert"-Seite bekommen. Bei den Vollzugriff usern funktioniert es nach Firewall-dienst abschaltung. Die Whitelist User bekommen jedoch wenn Sie eine Seite eingeben die _nicht_ in Blacklist und _nicht_ in der Whitelist ist das Authentifizierungsfenster tausendmal. - da würd ich ja dann auch die zugriff verweigert seite gerne sehen ... @ FiBO es ist nicht das DomänenAuth.Fenster sondern der Userlogin für den ISP, jeder Mitarbeiter hat eine Kennung & PW. Ich habe alle "Site und Inhaltsregeln" gelöscht und nochmal von vorne begonnen. Folgende Regeln hab ich erstellt vielleicht ist dort ein Logikfehler... Blacklist Ziele "Ausgewählter Zielsatz": Blacklist Zeitplan: Immer Aktion:Verweigern - httpanfrage an diesen URL weiterleiten - http://***/verweigert.html Anwendung: Alle Anfragen Vollzugriff Ziele: Alle Zeitplan: Immer Aktion: Zulassen Anwendung: Unten angegebene Benutzer & Gruppen (Gruppe Dom-Admins & Gruppe Vollzugriff) Whitelist Ziele: Ausgewählter Zielsatz Zeitplan: Immer Aktion: Zulassen Anwendung: Alle Anfragen Intern Ziele: Ausgewählter Zielsatz Zeitplan: Immer Aktion: Zulassen Anwendung: Allle Anfragen Wenn ich jedoch eine Regel Aufmache: Blockiere alles Außer Whitelist Ziele: Alle Ziele außer dem gewählten Satz "Whitelist" Zeitplan: Immer Aktion: Verweigern - umleiteiten zu verweigert.htm Anwendung: Dom-Benutzer können die User die in der Gruppe "Vollzugriff" sind auch nur noch auf die Whitelist zugreifen. any Ideas ? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.