Netværks Design for ISA 2004/2006:
Nedenstående figur illustrere et eksempel på en Back-to-Back DMZ med private IP adresser.
Dette dokument tager udgangspunkt i denne model.
- XP/Vista klienter - Konfigureret med ISA FireWall Client.
- Backend Firewall – ISA Server 2004/2006 med 2 netkort til LAN og DMZ.
Er member server i domænet og har således AD-integration.
- Frontend Firewall – Feks. Sonicwall eller Cisco hvis primær funktion er at beskytte DMZ.
Man benytter i dette tilfælde kun WAN og LAN porten.
Opsætning af Netkort på ISA serveren:
Navngiv de 2 netkort med logiske navne.
Konfig af LAN interface på ISA serveren
TCP/IP:
IP: 192.168.35.1
Subnet: 255.255.255.0
Gateway: Blank (ISA serveren skal kunne route ud til DMZ interfacet)
DNS: skal sættes op med interne DNS servere. Typisk vil disse være DC’ere i domænet.
De interne DNS servere er de eneste der skal kunne lave DNS request ud på WAN.
WINS: Blank
Vælg Properties for LAN og lav konfig, som vist på nedenstående billede:
Konfig af DMZ interface på ISA serveren
TCP/IP:
IP: 192.168.36.254
Subnet: 255.255.255.0
Gateway: 192.168.36.1 (IP-adresse på Frontend firewall)
DNS: Blank
WINS: Blank
Vælg Properties for DMZ og lav konfig, som vist på nedenstående billeder:
Det er kun TCP/IP der skal være hak i.
Vælg TCP/IP proprerties og lav konfig som vist på nedenstående billeder:
Samlet konfig af Netværk på ISA serveren
Under “Network Connections” – Vælg Advanced – Advanced Settings.
Konfig som vist på nedenstående billede. Man skal her sikre sig at LAN connections kommer før DMZ.
Konfig af MTU på ISA serveren:
Lav ping-test, så man finder den optimale MTU for begge netkort på ISA serveren.
http://help.expedient.net/broadband/mtu_ping_test.shtml (brug her 127.0.0.1 i til ping test)
Den værdi den svarer på skal indsættes i registry for begge netkort.
På min ISA server ligger værdien på 1472. Registry Path er som følger:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<ID for network interface>
Opret her en ny DWORD værdi som kaldes MTU. Her indsættes den fremfundne MTU, som i mit tilfælde er 1472
Se nedenstående link for mere info:
http://support.microsoft.com/kb/900926
Det anbefaledes at man optimerer MTU på ISA 2004/2006.
For at enable MTU Discovery skal man køre nedenstående reg-fil på ISA serveren og reboote.
Det er også beskrevet i ovenstående MS link.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
“EnablePMTUDiscovery”=dword:00000001
Services som kan stoppes og sættes til manuel på ISA serveren:
Computer Browser
DHCP Client
Error Reporting Service
Help And Support
Print Spooler
Remote Registry
Windows Audio
Wireless Configuration
Server
Task Scheduler
Konfig af ISA MSDE, så den max bruger 500 MB af memory:
MSDE på ISA serveren kan være en memory hook. For at begrænse dette, kan man afvikle nedenstående VBS, så den max forbruger 512 MB.
Jeg kører dette script på alle de ISA installationer jeg er i kontakt med.
cscript.exe ISA_MSDE_Max_Memory.vbs 512
Du kan hente ISA_MSDE_Max_Memory.vbs her:
http://www.isascripts.org/
Konfig af WSUS opdateringer ud på ISA serveren:
Som alle andre klienter i ens netværk skal ISA serveren også opdateres med sikkerhedsopdateringer fra Microsoft.
Som default tillader ISA firewallen ikke opdateringer fra den lokale WSUS.
Følg nedenstående for at det kommer til at virke.
Opret en ny Access Regl.
Vælg Allow
Vælg HTTP, HTTPS and Kerberos-sec UDP
Hvis man kører sin WSUS på port 8530, skal denne også medtages.
Porten skal oprettes på ISA Firewallen som følger:
Name: WSUS
Port: 8530
Type: TCP
Direction: Outbound
Vælg Local Host
Vælg her den lokale WSUS server.
Vælg default All Users – Next – Next – Finish
Afslut med at køre nedenstående kommando på ISA serveren.
wuauclt.exe /detectnow
Konfig af grundregler på ISA firewallen + rækkefølge:
|
Name
|
Protecols
|
From
|
To
|
Condition
|
|
LAN-WAN (SMTP)
|
SMTP
|
Localhost
|
External
|
All users
|
|
DMZ-WAN SMTP)
|
SMTP
|
External
|
Localhost
|
All users
|
|
LAN-WAN (DNS)
|
DNS
|
Domain Controllers
|
External
|
All users
|
|
LAN-WAN (TimeSync)
|
NTP (UDP)
|
Domain Controllers
|
External
|
All users
|
|
LAN-WAN (Security)
|
http/https/ftp
|
WSUS_Antivirus
|
External
|
All users
|
|
LAN-Localhost (WSUS)
|
http/https/kerb
|
Localhost
|
WSUS
|
All users
|
|
LAN-WAN (Http)
|
http/https
|
Internal
|
External
|
Http
|
|
LAN-WAN (News)
|
NNTP
|
Internal
|
External
|
News
|
|
LAN-WAN (FTP)
|
FTP
|
Internal
|
External
|
FTP
|
|
Default rule (deny All)
|
All Traffic
|
All Networks
|
All Networks
|
All users
|
Konfig af http filter på ISA firewallen:
Jeg vil her prøve at give 3 eksempler på hvad ISA’s http filter kan tilbyde i forbindelse med at styre brugernes adfærd på internettet.
De nedenstående eksempler vil gælde for Access reglen LAN-WAN (Http). Det betyder at de brugere der er medlem af security gruppen Http, vil få tildelt disse filter begrænsninger.
Keyword filtering + P2P (feks. sex, porn,nude,naked,teen,games,dating,crack m.m)
- Blokering af Streaming Media
- Blokering af downloads (feks. exe,msi,com,vbs,cab m.m)
Med keyword filter kan man begrænse tilgang til WAN udefra en række ord som man ikke ønsker at sine brugere skal kunne søge eller browse på.
For at blokere søgning på ordet sex skal man gøre følgende:
Højre musetast på den ønskede access regl. I mit eksempel er det reglen LAN-WAN (Http), hvor alle brugere undtagen IT afdelingen er inkluderet.
Vælg “Configure http” – vælg fanebladet Signatures – Klik på Add.
Lav konfig, som vist på nedenstående billede.
For at blokere P2P applikationer som feks diverse Messenger, BitTorrent, Kazaa m.m, skal man gøre følgende:
Gå til signatures, som vist på ovenstående billede. I stedet for et keyword, indsætter man her signaturen, for det program, man ønsker at blokere for.
Et par rigtig gode signatur links finder i her:
http://www.applicationsignatures.com/backend/index.php
http://www.microsoft.com/technet/isa/2004/plan/commonapplicationsignatures.mspx
MSN Signaturer:
MSN 8 BETA Signature / Request Headers: / User-Agent:8.0.689.0
MSN 8 Live Messenger Build 8.0.0787.0 / Request Headers: / User-Agent:8.0.787.0
MSN 8 Live Messenger Build 8.0.0792.0 / Request Headers: / User-Agent:8.0.792.0
For at bestemme en applications signatur, kan man benytter sniffer programmet.
http://www.wireshark.org/. Det er det tidligere Ethereal.
For at blokere for Windows Messenger, skal man gøre følgende, som vist på nedenstående billede:
For at blokere for Streaming Media, skal man gøre følgende.
Højreklik på den ønskede access regl og vælg properties. Gå til fane bladet Content Types.
Lav konfig, som vist på nedenstående billede. Hvor det kun er Audio og Video der fravælges.
Hvis man ønsker at tilføje flere extensions til feks video, kan man vælge details og indsætte dem.
For at blokere for bestemte filtyper, skal man gøre følgende:
Vælg “Configure http” – vælg fanebladet Extensions – vælg Block specified extensions (allow all others). Klik på Add
Gode links til ISA 2004/2006:
Generelt:
www.isaserver.org
http://www.microsoft.com/isaserver/techinfo/guidance/2004/configuration.mspx
16 Rules for Deploying Access Rules:
http://blogs.technet.com/isablog/archive/2007/04/11/16-rules-for-deploying-access-rules.aspx
Debunking the Myth that the ISA Firewall Should Not be a Domain Member:
http://www.isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html
ISA Server and Windows Server 2003 Service Pack 2:
http://blogs.technet.com/isablog/archive/2007/03/27/isa-server-and-windows-server-2003-service-pack-2.aspx
ISA Server Best Practices Analyzer Tool:
http://www.microsoft.com/downloads/details.aspx?FamilyID=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en
Konfig excel rapporter på ISA firewallen:
http://www.elmajdal.net/ISAServer/Creating_Detailed_Report_With_ISA_2006.aspx