Toon posts:

[ISA2004] Proxy alleen gebruikers authenticeren

Pagina: 1
Acties:

dinsdag 22 november 2005 11:49

Acties:

Verwijderd

Topicstarter
Ik wil graag op onze ISA 2004 server alleen proxy gebruikers authenticeren, zonder gebruik te maken van de proxy client als het even kan.

Als ik een regel toevoeg om uitgaand HTTP verkeer alleen voor geauthenticeerde gebruikers instel werken de gebruikers die met IE werken goed zonder opnieuw in te loggen. Programma's als quicktime komen dan echter met een loginbox. De reden dat ik gebruikers wil authenticeren is dat hun loginnaam in de logs moet verschijnen.

Behoorlijk gegoogled en isaserver.org doorgenomen maar ik vind geen oplossing terwijl ik denk dat het wel mogelijk is. Ik zoek nu in twee richtingen:

- Rule verwerking aanpassen: nu is het zo dat als een rule op auth. staat en een gebruiker niet authenticeerd de server verkeer block. Is het mogelijk om een register aanpassing te maken om alsnog te kijken of één van de opvolgende regels toegang verschaft?

- Rule maken die Proxy gebruikers (dus níét de transparante gebruikers) verplicht te authenticeren.

Beide zaken heb ik zoals gezegd uitgebreid onderzocht maar geen oplossing kunnen vinden.

Iemand andere ideeen? Andere methode om de loginnaam in de logs te krijgen (a.la surfcontrol?)

dinsdag 22 november 2005 12:22

Acties:

Verwijderd

Ie zorgt in jouw geval voor de authenticatie voor http (en evt https ) verkeer, hierdoor heb je dus geen firewall client nodig om te authenticeren.

Zodra je andere traffic gaat genereren. (ftp,streaming media etc.) wil isa dat je inlogt.
Zover ik weet gaat dit alleen met de firewallclient.

dinsdag 22 november 2005 12:38

Acties:

Verwijderd

Topicstarter
@mig_01: bedankt voor je reactie.

IE is dus niet het probleem, dit werkt wel. Andere programma's zoals Quicktime moeten ook gebruik maken van de ISA server als gateway. Dit verkeer moet toegestaan worden zonder authenticatie, gebruikt met echter de proxy dan moet de gebruiker inloggen.

Ander gezegd: prefer authentication maar allow unauthenticated verkeer.

dinsdag 22 november 2005 13:48

Acties:

Verwijderd

Even kijken of ik het nu snap:

Https (https)

Gebruikers met proxy moeten zich authenticeren maar er moet ook een optie zijn waarbij mensen die geen proxy instellingen hebben unauthenticated kunnen internetten.

Other traffic (quicktime etc)

Unauthenticated.


Is dit wat je wil?

Ps Heb hier ook surfcontrol dus we moeten hier uit kunnen komen. 8)

[ Voor 12% gewijzigd door Verwijderd op 22-11-2005 13:48 ]

dinsdag 22 november 2005 14:24

Acties:

Verwijderd

Topicstarter
Yup, dit is exact wat ik bedoel. Maar ook voor HTTP

Helaas geen surfcontrol hier op locatie, dat was bij iemand anders.

[ Voor 8% gewijzigd door Verwijderd op 22-11-2005 14:24 ]

dinsdag 22 november 2005 14:36

Acties:

Verwijderd

Gaat helaas niet lukken.

Isa loopt regels af bijv:

# rule1 Allow authorised http(s) traffic
# rule 2 Allow unauthorised http(s) traffic

De eerste regel heb je nodig om in te stellen dat de proxygebruikers zich authenticeren de tweede voor transparant.
Je snapt vast wel dat een unauthorised proxy gebruiker naar regel twee gaat en zo alsnog toegang krijgt, en dat wil je niet.

Ook surfcontrol kan dit niet oplossen.

dinsdag 22 november 2005 14:59

Acties:

Verwijderd

Topicstarter
Ik vind het niet erg als er pakketten of zelfs browsers unauth. gebruik maken van de proxy, als de bulk van het verkeer maar gelogged wordt. (Proxy wordt middels een GPO geassigned en afgeschermd)

Ja, een slimmert met firefox kan dan het internet op maar dat lossen we op als we de firewall client hebben uitgerold.

En ISA is zo gemaakt dat als ik als eerste regel de authorized maak gebruikers er helemaal niet op kunnen komen. Als je niet kan autoriseren dan blockt ISA de verbinding zonder naar de volgende regels te kijken. Doe ik het andersom dan wordt iedereen unauthorized toegestaan.

Ik zou dus eigenlijk een regel moeten bouwen: all networks to local host "proxy protocol inbound/outbound 8080) allow authorized. (Al getest en het werkt niet) (Verkeer komt er wel doorheen maar wordt niet gelogged)

[ Voor 44% gewijzigd door Verwijderd op 22-11-2005 15:02 ]

dinsdag 22 november 2005 15:17

Acties:

Verwijderd

Met isa of surfcontrol los je dit niet op, je kunt alleen het volgende doen:

Alle interne gebruikers de proxy instellingen geven en dan de rule alleen authorised maken.
Hierdoor zullen alle proxy gebruikers gelogged worden.

Vervolgens stel je je firewall in voor http verkeer, hierdoor kunnen mensen zonder proxy via de firewall browsen en slaan ze de proxy over.

Niet de mooiste oplossing, maar naar mijn idee de enige voor dit probleem.

Exacte rule : Allow protocol http, from clients to external, condition= Interne gebruikers (uit AD)

[ Voor 12% gewijzigd door Verwijderd op 22-11-2005 15:21 ]

dinsdag 22 november 2005 15:52

Acties:

Verwijderd

Topicstarter
Pcies wat ik bedoel, nou ben ik ook bekender met ISA 2000 dan met ISA 2004 maar waar stel ik dan een aparte regel voor de web proxy en een aparte regel voor de firewall in?

Niet in de system policy vlgs. mij.

Afbeeldingslocatie: http://www.xs4all.nl/~rogierg/images/la_rulebase.JPG

[ Voor 24% gewijzigd door Verwijderd op 22-11-2005 15:53 ]

dinsdag 22 november 2005 16:17

Acties:

Verwijderd

Aaah daar is eindelijk de verwarring....

Ik gebruik Isa alleen als proxy, jij gebruikt isa ook als firewall.

In mijn geval kan ik de transparante gebruikers naar onze hardware-matige firewall leiden.

Ok probeer het eens als volgt:

1) Verander in regel 6 eerst eens de groep "All users" in een groep die je aanmaakt in all users en waarin je vervolgens gebruikers uit AD insleept. (bij mij naam van de organisatie en alle AD users)

Nu worden alle proxy users goed gelogd.

2) Maak onder regel 6 een nieuwe regel aan die identiek is aan je huidige (oude)regel 6

Nu worden unauthorised users niet getriggered door regel 6 maar wel door regel 7 .
En authorised users worden direkt getriggered door regel 6 en slaan 7 over.


Probeer het zo eens.

[ Voor 7% gewijzigd door Verwijderd op 22-11-2005 16:18 ]

dinsdag 22 november 2005 16:29

Acties:

Verwijderd

Topicstarter
Dat had ik dus al geprobeerd en het werkt helaas niet. ISA stopt namelijk onmiddelijk met de verwerking van verdere regels als een gebruiker niet kan authenticeren.

Ik denk dat dit nooit gaat werken tenzij ik ISA zo in kan stellen dat het altijd alle regels toepast. (Maar ik heb nog geen dergelijke instelling gezien.)

dinsdag 22 november 2005 16:36

Acties:

Verwijderd

En zo missen we dus weer functionaliteiten............hence een van de redenen waarom ik het alleen als proxy en content (surfcontrol) gebruik

dinsdag 22 november 2005 17:24

Acties:

Verwijderd

Topicstarter
Ok, laatste mogelijkheid. Hoe heet die feature in Surfcontrol die ingelogde gebruikers uit de AD trekt? Kan ik dat niet in ISA nabouwen? Voor mijn part doet íe een NETBIOS lookup om de gebruikersnaam vast te stellen.

Of: is het mogelijk een timeout in te stellen op een bepaald IP (Gebruiker die 5 minuten geleden is geauth met IE is zeer waarschijnlijk dezelfde gebruiker)

[ Voor 47% gewijzigd door Verwijderd op 22-11-2005 17:25 ]

woensdag 23 november 2005 10:17

Acties:

Verwijderd

Is gewoon AD tool, ben bang dat al je oplossingen niet gaan werken.

woensdag 23 november 2005 13:18

Acties:
  • Remco
  • Registratie: Januari 2001
  • Laatst online: 20-02 12:41

Remco

Het kan zijn dat ik je vraag niet begrijp, maar...
Als je nu eens een AD groep Internet aanmaakt.
Hier alle AD users ingooit die mogen internetten.
De proxy server alleen deze users toegang geeft tot internet.
En dit allemaal zonder proxy client.

Zo heb ik het ook ingesteld, en ik krijg netjes alle loginnamen te zien in de loggings.

The best thing about UDP jokes is that I don't care if you get them or not.

woensdag 23 november 2005 20:52

Acties:

Verwijderd

Topicstarter
@Remco: werkt quicktime, JRE, etc. dan ook zonder dat er een loginbox opkomt? Want all authenticated users werkt in ieder geval niet, en al mijn gebruikers zijn geauthenticeerd.

woensdag 23 november 2005 21:13

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25

Taigu

maybe offtopic: Waarom draait ie eigenlijk in firewall modus en niet in proxy ? Maybe dat je dan Mig_0 zn oplosing kan toepassen ? Je hebt toch al een mooie blauwe firewall daar ;)

[ Voor 17% gewijzigd door Taigu op 23-11-2005 21:14 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 24 november 2005 11:48

Acties:

Verwijderd

@ Remco, dat werkt inderdaad echter wil hij ook de mogelijkheid hebben om transparant users te laten internetten (gasten, bezoekers) hier hoeft dan geen logging op...--> dat gaat niet samen met zijn eerdere eis.

@ Terminiator als je dit laat vallen (internetten voor niet proxy users,gasten bezoekers) dan kan het wel degelijk. Je maakt een rule aan voor http/https--> authenticated zoals remco zegt en vervolgens maak je een rule aan voor je overige services (quicktime, ftp etc) unauthenticated eg all users.
Werkt als een trein, ad users worden bij internetten gelogged overige services worden anoniem gedaan.

Ps die login box voor quicktime is logisch, isa vraagt om authenticatie en quicktime kan die niet geven. Ie heeft dat standaard wel en praat met Isa (M$ integreert graag haar eigen produkten)

[ Voor 15% gewijzigd door Verwijderd op 24-11-2005 11:50 ]

vrijdag 25 november 2005 13:20

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25

Taigu

Hij wil al het verkeer gelogd hebben....

offtopic:
Het is MicroSoft, policy hier in PNS zou je moeten kennen

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq