agorts Posted December 1, 2010 Report Share Posted December 1, 2010 Έχω στήσει ένα καθαρό MS ISA 2006 SP1 και έχω κάνει κάποιες ελάχιστες ρυθμίσεις (Firewall Access Rules)... Μία από αυτές είναι: "Allow Internal clients to access Internet (authenticated), Allow, HTTP/HTTPS/FTP, Internal, External, All Authenticated Users (uncheck - ReadOnly FTP)" Σε αυτό το ISA έχω συνδέσει ένα MS Exchange 2003 server (default gateway to IP του ISA)... Παρακολουθώντας τα logs βλέπω ότι υπάρχουν πολλά HTTPS denied connections από τον Exchange... Προφανώς για κάποιο λόγο ο exchange server (machine) προσπαθεί να επικοινωνήσει μέσω HTTPS χωρίς να γίνει authenticated... Από το IP που προσπαθεί βρηκα ότι ο άλλος server είναι ο "aztec.dc2.brightmail.com" και κατάλαβα ότι σχετίζεται με το AV SW που έχω εγκαταστήσει στο server... Ποια είναι η συνήθης (σωστή) αντιμετώπιση του? 1) Προσθέτω access rule για το server μόνο ώστε να αφήνει (HTTPS) όλους τους χρηστες και όχι τους authenticated 2) Βάζω στο server το ISA Firewall client ή προτιμότερο τον TMG Firewall client ώστε να γίνεται αυτόματα το authentication για όλες τις επικοινωνίες? Εγώ θα προτιμούσα τη (2) λύση αλλά δεν ξέρω αν γενικότερα θα υπάρξει κάποιο πρόβλημα... και κυρίως το TMG Firewall client... Ευχαριστώ Link to comment Share on other sites More sharing options...
Blackman Posted December 1, 2010 Report Share Posted December 1, 2010 γενικώς έχεις κάνει τίποτα Publish από τον ISA προς τα έξω; όπως Exchange RPC over Https, ή το Active Sync ή το OWA ή ότι άλλο; ή παίζεις μόνο με Access rule όπως αναφέρεις; στον exchange σου τι υπηρεσίες έχεις ενεργοποιημένες και ποια προτόκολα; γιατί έτσι όπως το λες ότι το έχεις το email δουλεύει με τον έξω κόσμο; κάτι μου λείπει στην περιγραφή Link to comment Share on other sites More sharing options...
agorts Posted December 1, 2010 Author Report Share Posted December 1, 2010 O Exchange (μεσω του ISA) ακούει στη πόρτα 25 (SMTP) και στις 143, 993 (IMAP, IMAPS) και στο άμεσο μέλλον θα προσθέσω και άλλες υπηρεσίες (πιθανόν OWA, Exchange RPC over Https, Active Sync, remote LDAP, κλπ)... Επίσης μπορεί να στέλνει emails... Υπάρχει το AV που αφορά το server και το AV που αφορά τον Exchange... Link to comment Share on other sites More sharing options...
pkalog Posted December 3, 2010 Report Share Posted December 3, 2010 αν και ειναι θέμα ISA και δεν ειμαι και κανενας expert, μήπως αν βάλεις Proxy Settings στο Antivirus και έχει να του ορίσεις User Και Passwd ? π.χ το Forefront έχει αυτη την επιλογή. Μετα δεν ξερω αν μπορείς να κάνεις ένα rule το οποιο θα επιτρέπει στην IP ή το Computer account του Exchange να βγει χωρις auth εξω (μπορει να λες βλακείες λογο οχι καλής γνωσης ISA ) Link to comment Share on other sites More sharing options...
klag Posted December 4, 2010 Report Share Posted December 4, 2010 Εγώ γενικότερα με στα δίκτυά μου πάντα βάζω ένα Rule ALLOW All Traffic From Servers to External All Users όπου servers προσθέτω τις εσωτερικά Computers (Ips) των Servers. Με τον τρόπο αυτό αφήνω όλους μου τους Server να επικοινωνούν με το Internet ότι και αν ζητήσουν. Στους Servers δεν κάθομαι σχεδόν ποτέ επάνω τους, οπότε μόνο τα software που βάζω και απαιτούν internet συνδέονται κανονικά στο internet χωρίς να με απασχολεί ποτέ τι Traffic χρειάζονται. Επίσης πάντα κάνω και ένα Rule Allow All Traffic From all protected networks TO All protected Networks All Users έτσι ώστε να επιτρέπω όλο το traffic στο εσωτερικό μου δίκτυο. Link to comment Share on other sites More sharing options...
Recommended Posts