HeckMc 10 Geschrieben 31. Juli 2006 Melden Teilen Geschrieben 31. Juli 2006 Hallo zusammen, mein Ausprobieren geht weiter und diesmal hab ich es auf den ISA-Server abgesehen. Der ISA-Server ist als Edge-Firewall eingerichtet. Jetzt möchte ich folgende Konstellation einrichten: Die Clients sollen lediglich Webzugriff über den Webproxy des ISA-Server erhalten. Eine direkte Webverbindung soll nicht möglich sein. Aber hier scheitere ich leider immer. Bei den Clients habe ich folgende eingestellt: Im Browser: Proxy: 192.168.0.110:8080 (ISA-Server) IP-Konfig: IP: 192.168.0.25/24 Gateway: 192.168.0.110 DNS: 192.168.0.100, 192.168.100.1 (eine Firewallregel zum weiterleiten der DNS-Anfrage ist vorhanden) Soweit meine Ausgangssituation. Wenn ich nun mit dem Client eine Website aufrufen möchte, geht das nur wenn ich folgende Firewallregel definiere: Protokoll: http, https von: Intern nach: Extern Somit habe ich aber auch die Möglichkeit direkt, also ohne den Proxy auf die Website zu zugreifen. Welche Regel kann ich erstellen, so dass der Zugriff nur über den Proxy geht, nicht aber direkt. Danke schonmal im Voraus. Gruß Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 31. Juli 2006 Melden Teilen Geschrieben 31. Juli 2006 Du kannst z.B. die Zugriffsregel so einstellen, dass nur authentifizierte User surfen können (default ist: all users ->auch anonym). Christoph Zitieren Link zu diesem Kommentar
HeckMc 10 Geschrieben 31. Juli 2006 Autor Melden Teilen Geschrieben 31. Juli 2006 Ich kann also nicht hingehen (was beim ausprobieren ja auch nicht funktioniert hat, aber da dachte ich ich hab was vergessen) und folgendes definieren: Protokoll: http,https von: Intern nach: Lokaler Host UND: Protokoll: http, https von: lokaler Host nach: Extern Ich hatte gedacht, dass ich das so irgendwie hinbekomme. Wie gesagt ist ja nur zum ausprobieren. Mein Gedanke war, das so wie ich es jetzt habe, ja jede Software direkt über http kommunizieren kann. Da seh ich eine Sicherheitslücke (oder ist es gar keine?). Achso noch eine Frage zu Christophs Antwort: Verhindere ich damit, dass ein Programm Zugriff auf das Internet bekommt? Oder würde der Benutzerkontext in dem es ausgeführt wird ausreichen? Sprich wenn User Willi angemeldet ist und das Programm greift auf das Internet zu, wird dann die Windows-Anmeldung für den Zugriff ausreiche oder müsste sich das Programm anderweitig authentifizieren? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 1. August 2006 Melden Teilen Geschrieben 1. August 2006 Protokoll: http,https von: Intern nach: Lokaler Host UND: Protokoll: http, https von: lokaler Host nach: Extern Wenn Du den Proxy im Browser einträgst reicht die Regel action: zulassen protocol: http und https von: internal nach: external condition: authenticated users Zwei Regeln brauchts dann nicht, der ISA fängt das ab, checkt die Auth. und gewährt Zugang zum Internet oder eben nicht. Verhindere ich damit, dass ein Programm Zugriff auf das Internet bekommt? Oder würde der Benutzerkontext in dem es ausgeführt wird ausreichen? Kommt drauf an, wie der Client konfiguriert ist (SecureNAT Client -> def. GW = ISA Server oder führt zum ISA) oder Firewall Client und natürlich auf die Firewall Regeln, NetzwerkRegeln etc. Ich würde dir empfehlen, mal das Buch von T. Shinder zum ISA 2004 zu lesen (ist sozusagen ein Standardwerk). Da steht alles bestens erklärt. Christoph Zitieren Link zu diesem Kommentar
HeckMc 10 Geschrieben 1. August 2006 Autor Melden Teilen Geschrieben 1. August 2006 Danke für den Literatur-Tipp. Mit dem Buch werd ich mich mal auseinandersetzen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.