Configurare ISA server

Prima della configurazione di ISA preferirei fare un piccolo riassunto delle porte che Windows utilizza per funzionare in rete.
Le normali porte per l'utilizzo di Internet sono molto note e non necessitano di ulteriori spiegazioni. Tutte le porte si intendono TCP.

21-20 FTP

80 HTTP 

23 Telnet

443 HTTPS

25 SMTP

119 NNTP

110 POP3

563 SNNTP (secure news)

53 Udp DNS

Ci sono poi tutta una serie di porte che vengono utilizzate dal sistema operativo per lo scambio di chiavi o di semplici informazioni, per il browsing dei file ecc. ecc. La porta vene aperta dal server, il client risponde aprendo una porta compresa fra 1024 e 65535, nel caso che la prima porta venga trovata chiusa, per esempio perché occupata da un'altra applicazione o perché bloccata dal firewall, allora si tenta di aprirne un'altra, in genere la successiva. Dopo tre tentativi viene generato un messaggio di errore.

389 Tcp (Udp) LDAP  è questa la porta più importante che va aperta se vogliamo consentire la comunicazione fra due macchine Windows, è la porta utilizzata dall'active directory.
445 Tcp SMB questa porta serve per permettere il file sharing. Le informazioni delle varie cartelle e la condivisione dei file viene vista atraverso questa porta
3268 Tcp Microsoft Global Catalog è il catalogo dell'active directory.
88 UDP Key IP SEC scambio di chiavi per IP sec.
88 Tcp Kerberos. (client 1024-65535)  
749 Tcp Kerberos Administration Il Kerberos è il protocollo per lo scambio delle password fra domain controller e client (Crittografia dati).
750 Tcp Kerberos IV  
137, 138 Udp Browsing, Net bios name service e datagram. Sul client e sul server vengono aperte le stesse porte.
138 Udp 139 Tcp   Directory Replication
135 Tcp DNS Administration
139 Tcp Event viewer, File sharing, Performance monitor, Registry editor, Server Manager, User Manager, Win 2000 diagnostic, Net bios session (Net use), Server Net bios (WinNT).
137, 138 Udp & 139 Tcp Logon Sequence, Printing
42 Tcp Server wins (WinNT)
67, 68 Udp DHCP lease
135 Tcp DHCP Manager

Oltre a queste ne esistono altre di minore impotanza:
636 LDAP over HTTP
3269 Microsoft Global Catalog con LDAP/SSL
Nel caso vogliamo far comunicare alcune applicazioni si dovrà aprire quelle porte utilizzate dall'applicazione oltre alla porta utilizzata dal RDP. Generalmente il client richiede l'utilizzo di una certa applicazione, in remoto il server apre il socket appropriato su una porta nota, viene chiesto al client di aprire una porta generica da 1024 a 65535. Aperte le due porte la comunicazione ha inizio.
135 Tcp RPC Remote Procedure Call, attiva la comunicazione di programmi nella rete: client e server.
3389 Tcp RDP Remote Desktop Protocol é la porta attraverso cui comunica terminal server.
1433 SQL questa porta viene utilizzata da un server sql, può essere utile per esempio quando in server IIS su una DMZ deve comunicare con un Microsoft SQL Server
1645 IAS Internet Autentication Service Questa e quella sotto sono le porte utilizzate da un server RADIUS per permettere a client remoti di autenticarsi nella rete interna.
1645, 1646, 1812, 1813 Udp RADIUS 

Overwiew su ISA Server
ISA server è un programma che permette di risolvere i seguenti problemi

I controlli effettuati da ISA Server vengono fatti a livello di

Se si installa Isa server su Windows 2000 server le policy e la configurazione può essere memorizzata su Active directory.
Isa server presenta tre sevizi

I filtri possono essere

ISA server può utilizzare anche la parte client, il client di ISA server sostituisce le socket di Windows 2000
Eventuali tabelle di routing vanno dettate alla macchina prima dell'installazione del firewall. Una sottorete si raggiunge usando il seguente comando

ROUTE ADD -P   192.168.xxx.xxx  mask  255.255.x.x 192.168.xyz.xyz
Comando DOS Rende la route persistente Indirizzo di rete della sottorete   Net Mask della sottorete Defoult Gateway della sottorete

Configurazione

Una volta installato il programma andiamo nella consol di ISA server configuration.
Le impostazioni di default non danno nessun tipo di accesso, tutto le porte sono bloccate.
Tutte le configurazioni di ISA server si possono impostare da Acces Policy. Si raggiungono cliccando sul nome del computer che stiamo configurando.
Dall'access Policy troviamo:

DMZ scenario

Con una configurazione del tipo Internet --> Firewall --> DMZ --> ISA --> Local network possiamo delineare alcune piccole linee guida per una corretta configurazione di ISA server.

1) ISA server deve avere come defoult gateway il Firewall, avrà inoltre due schede di rete, una connessa con la rete locale l'altra con la DMZ.

2) Tramite le protocol rules possiamo specificare quali computer della intranet (e in che orari) si possono connettere a Internet, generalmente per consentire una corretta navigazione e sufficiente aprire le porte HTTP, HTTPS, FTP, DNS. Questi protocolli ci sono già di default e non vanno specificate le porte da aprire, è sufficiente dire quale protocollo per quale range di computer e in che orari va applicato. Con le protocol rules in generale possiamo assegnare quali porte (e quindi quali applicativi) possono raggiungere l'esterno.

3)Con Packet filter possiamo aprire delle porte dalla DMZ verso la Intranet. Può essere utile nel caso vogliamo far comunicare determinati programmi.

4)Nel caso vogliamo far accedere un server ad un computer sulla DMZ questo deve essere PUBBLICATO. La pubblicazione di un server fa si che per i computer sulla DMZ il server viene visto come la scheda esterna di ISA. ISA si preuccuperà di gestire la comunicazione e di fare Natting. La pubblicazione sarà utilizzata, per esempio, nel caso un server IIS (Server web) voglia comunicare con un server SQL sulla intranet. Sarà allora necessario pubblicare il server SQL. Nella pubblicazione specifichiamo quali porte saranno utilizzate perciò non stiamo mettendo allo scoperto il computer ma cediamo un servizio all'esterno. Dalla DMZ si dovrà settare IIS in modo che il server SQL sia la scheda esterna di ISA server.

5) Non è possibile fare un packet filter che apre tutte le porte per tutti i computer, questo verrà ignorato.

6) Ci sono un paio di siti web che possono essere molto utili nella risoluzione dei problemi, la microsoft ha inoltre messo a disposizione anche due newsgroup che potrebbero essere utili.


Connettere l'azienda a Internet in modo sicuro con Isa Server
In questo articolo viene descritta la procedura dettagliata per connettere a Internet i computer di un'azienda di piccole dimensioni con meno di 255 workstation in una rete basata su Windows esistente, utilizzando i servizi Microsoft Internet Security Acceleration (ISA) protetti da firewall.

CONTENUTO DELL'ATTIVITÀ
• Installazione di ISA Server 
• Pianificare l'installazione 
• Configurare le schede di rete del server 
• Configurare l'interfaccia interna alla rete 
• Installazione di Microsoft Internet Security and Acceleration Server 
• Utilizzare l'installazione guidata di ISA Server 
• Configurare lo stato successivo all'installazione di ISA 
• Procedura guidata introduttiva 
• Creare criteri per la connessione degli utenti a Internet 
• Accedere a Internet dal computer ISA 

Installazione di ISA Server
Per installare un firewall ISA, è necessario un computer con due schede di rete, una delle quali dovrà essere connessa alla rete interna e l'altra al provider di servizi Internet (ISP). È possibile richiedere assistenza al provider per eseguire questa connessione. Un firewall agisce come una barriera di protezione tra la rete interna (o Intranet) e Internet, impedendo ad altri utenti su Internet di accedere alle informazioni riservate sulla rete Intranet o nel computer.

Pianificare l'installazione
• È possibile eseguire ISA Server Standard Edition in un computer autonomo, in un computer membro di un dominio Microsoft Windows NT o in un computer membro di un dominio Active Directory. 
• Per ottenere il massimo livello di protezione, eseguire ISA Server in un computer autonomo. 
• La configurazione delle schede di rete richiede l'impostazione dell'interfaccia esterna a Internet e dell'interfaccia interna alla rete Windows. 
• L'ISP dovrà fornire un indirizzo IP statico, una subnet mask, un gateway predefinito e uno o più server DNS (Domain Name System). Immettere queste informazioni nelle impostazioni TCP/IP della scheda di rete connessa all'ISP. Alcuni ISP preferiscono assegnare queste informazioni mediante protocollo DHCP (Dynamic Host Configuration Protocol). 
• Sarà necessario digitare un indirizzo permanente e la subnet mask appropriata per la rete interna nella scheda interna (non utilizzare il protocollo DHCP per questa interfaccia). Lasciare sempre vuota la casella relativa al gateway predefinito. Il computer ISA Server richiede un solo gateway predefinito, quello configurato per l'interfaccia o le interfacce esterne. La configurazione di un gateway predefinito sulla scheda interna può provocare l'errato funzionamento di ISA. 
Configurare le schede di rete del server
1. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Connessioni di rete. 
2. Fare clic con il pulsante destro del mouse sulla connessione Internet, scegliere Rinomina, quindi digitare Connessione Internet.

Ciò consentirà di ricordare quale scheda di rete è connessa a Internet. 
3. Fare clic con il pulsante destro del mouse sulla connessione Internet, quindi scegliere Proprietà. 
4. Nella scheda Generale selezionare la casella di controllo Mostra un'icona sulla barra delle applicazioni quando connesso.

Quando l'interfaccia trasferisce i dati, viene visualizzata una piccola icona intermittente sulla barra delle applicazioni. 
5. Deselezionare le caselle di controllo Client per reti Microsoft e Condivisione file e stampanti per reti Microsoft.

Questi protocolli verranno automaticamente bloccati; deselezionando le caselle di dialogo si ottiene una maggiore disponibilità di memoria. 
6. Fare doppio clic su Protocollo Internet (TCP/IP), quindi effettuare una delle operazioni seguenti: • Se l'ISP utilizza DHCP per assegnare gli indirizzi IP, fare clic sulle opzioni Ottieni automaticamente un indirizzo IP e Ottieni indirizzo server DNS automaticamente nella finestra di dialogo Proprietà protocollo Internet (TCP/IP). Procedere al punto 7. 
• Se è necessario immettere manualmente le informazioni relative all'indirizzo IP fornito dall'ISP, selezionare Utilizza il seguente indirizzo IP nella finestra di dialogo Proprietà protocollo Internet (TCP/IP), quindi digitare le informazioni relative a indirizzo, subnet mask e gateway predefinito fornite dall'ISP. Selezionare la casella di controllo Utilizza i seguenti indirizzi server DNS e digitare il nome del server o dei server DNS fornito dall'ISP. 

7. Scegliere Avanzate, quindi fare clic sulla scheda DNS. Deselezionare la casella di controllo Registra nel DNS gli indirizzi di questa connessione. 
8. Fare clic sulla scheda WINS. Nell'impostazione NETBIOS fare clic su Disabilita NetBios su TCP/IP. 
Configurare l'interfaccia interna alla rete
1. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Connessioni di rete. 
2. Fare clic con il pulsante destro del mouse sulla connessione alla rete locale, scegliere Rinomina, quindi digitare Rete locale. 
3. Fare clic con il pulsante destro del mouse su Rete locale, quindi scegliere Proprietà. 
4. Nella scheda Generale selezionare la casella di controllo Mostra un'icona sulla barra delle applicazioni quando connesso. 
5. Selezionare le caselle di controllo Client per reti Microsoft e Condivisione file e stampanti per reti Microsoft se non sono già selezionate. 
6. Fare doppio clic su Protocollo Internet (TCP/IP), quindi selezionare la casella di controllo Utilizza il seguente indirizzo IP. 
7. Nella casella Indirizzo IP digitare un indirizzo IP interno e una subnet mask adeguata allo schema di indirizzi della rete interna. Lasciare vuota la casella Gateway predefinito. In Server DNS preferito digitare l'indirizzo IP del server o dei server DNS di rete.

NOTA: per reti molto piccole con meno di 255 computer, se si sta utilizzando la configurazione TCP/IP predefinita di Windows 2000 e la rete non dispone di un server DNS, i computer utilizzano APIPA (Automatic Private IP Address Assignment) per l'assegnazione degli indirizzi IP. Microsoft consiglia di eseguire la migrazione da APIPA e iniziare a utilizzare indirizzi statici sulle workstation client. Per ciascun computer della rete sarà necessario un indirizzo IP univoco. Quando si configura l'interfaccia interna di ISA Server, è necessario utilizzare un indirizzo statico. Utilizzare 192.168.0.254 e la subnet mask 255.255.255.0. Lasciare vuota la casella Gateway predefinito. Digitare il server DNS dell'ISP nei campi Server DNS.

Configurare ora gli indirizzi statici su ogni client: a. Sul primo computer utilizzare l'indirizzo 192.168.0.1, la subnet mask 255.255.255.0 e un gateway predefinito 192.168.0.254. Per DNS digitare il nome del server o dei server DNS dell'ISP. 
b. Sul secondo computer utilizzare l'indirizzo 192.168.0.2 e gli stessi valori indicati nel passaggio precedente. A parte l'indirizzo, che andrà aumentato per ciascun computer aggiuntivo, gli altri valori rimangono invariati. Creare un elenco dei computer e dei relativi indirizzi utilizzati. 

8. Riavviare il computer quando viene richiesto. 
Installazione di Microsoft Internet Security and Acceleration Server
Utilizzare l'installazione guidata di ISA Server
1. In Esplora risorse fare doppio clic sull'unità CD-ROM.

NOTA: l'installazione guidata di ISA Server viene avviata automaticamente, a meno che la funzionalità di notifica di avvio automatico non sia disattivata. Se l'installazione guidata non viene avviata automaticamente, passare alla directory principale del CD e fare doppio clic sul file ISAAutorun.exe per avviarne l'esecuzione. Scegliere Install ISA Server per avviare il processo. 
2. Nella schermata iniziale scegliere Continue. Digitare il numero di serie del prodotto nella casella appropriata. È possibile individuare questo numero sul retro della custodia del CD. 
3. Leggere il contratto di licenza, quindi scegliere I Agree. 
4. Scegliere Typical installation come tipo di installazione. Con questo tipo di installazione verranno installati i servizi ISA e gli strumenti di amministrazione. 
5. Scegliere Firewall mode. Verranno interrotti tutti i servizi pertinenti del computer. 
6. Configurare la tabella degli indirizzi locali (LAT, Local Address Table) per ISA. La configurazione della LAT richiede particolare attenzione. È possibile scegliere tra due opzioni: creare una LAT o utilizzare la procedura guidata di installazione. Scegliere l'opzione desiderata in base alle seguenti condizioni: • Se si conoscono la subnet o le subnet utilizzate sulla rete interna, digitarle ora.

ATTENZIONE: non fare clic sul pulsante Construct Table poiché altrimenti le informazioni sulla LAT immesse verranno sovrascritte. 
• Se non si conoscono le subnet locali, fare clic sul pulsante Construct Table. Verranno determinate le subnet locali in base alla tabella di routing del computer. • Selezionare la casella di controllo Add the following private ranges se non è già selezionata. 
• Selezionare Add address ranges based on the Windows Server 2003 routing table se questa opzione non è già selezionata. 
• Deselezionare la casella di controllo contenente la subnet che corrisponde all'interfaccia esterna (Internet) del server. 
• Selezionare la casella di controllo contenente la subnet che corrisponde all'interfaccia interna (LAN) del server. 


7. Al termine dell'impostazione avviare la procedura guidata introduttiva dell'amministratore e leggere attentamente la sezione seguente prima di completare la procedura guidata. 
Al termine dell'installazione di ISA Server viene bloccato qualsiasi accesso a e da Internet. Si tratta di una procedura consigliata, considerato che si sta impostando un firewall. La funzione principale di un firewall è di agire come punto di controllo tra due reti. Il funzionamento di ISA Server consiste nel bloccare qualsiasi attività non specificatamente consentita dai criteri di protezione.

Configurare lo stato successivo all'installazione di ISA
Per configurare i seguenti componenti dei criteri di accesso in modo tale da consentire l'accesso a Internet ai client, tenere presente quanto segue: • È necessario configurare almeno una regola per il sito e il contenuto che determinerà a quali risorse gli utenti potranno accedere e che tipo di contenuto potranno recuperare. 
• Sarà inoltre necessario configurare almeno un protocollo per indicare il tipo di traffico consentito attraverso ISA Server. 
Al termine dell'installazione, vengono create una regola per il sito e il contenuto predefinita che consentirà a tutti i client di accedere a tutti i contenuti di tutti i siti in qualsiasi momento. Tuttavia ciò non sarà sufficiente per consentire agli utenti di esplorare Internet, poiché non è ancora stata definita una regola per il protocollo. Senza questa definizione, non è consentito alcun tipo di traffico tramite ISA.

Procedura guidata introduttiva
1. Nella procedura guidata introduttiva fare clic su Configure Protocol Rules. L'elenco dei protocolli viene visualizzato in Microsoft Management Console (MMC). 
2. Scegliere Create a Protocol Rule. Digitare un nome, quale ad esempio "Tutti i protocolli". 
3. Fare clic su Allow per l'azione della regola, che corrisponde all'impostazione predefinita. 
4. Fare clic su All IP traffic per l'elenco dei protocolli, che corrisponde all'impostazione predefinita. 
5. Fare clic su Always per la pianificazione, che corrisponde all'impostazione predefinita. 
6. Fare clic su Any request per il tipo di client, che corrisponde all'impostazione predefinita. 
7. Scegliere Finish. 
Creare criteri per la connessione degli utenti a Internet
Con ISA Server non è solo possibile consentire a tutti i client l'accesso a tutti i contenuti e a tutti i siti in qualsiasi momento mediante i protocolli precedentemente definiti, ma anche creare i criteri di accesso che è possibile utilizzare per definire esattamente il tipo di accesso a Internet da parte degli utenti.

I criteri di accesso di ISA sono composti dai tre elementi seguenti: • Regole per il sito e il contenuto. 
• Regole per i protocolli. 
• Filtri per i pacchetti IP. 
A loro volta, le regole sono composte dai seguenti elementi di criteri: • Pianificazioni. 
• Insiemi di destinazioni. 
• Insiemi di indirizzi client. 
• Definizioni di protocolli. 
• Gruppi di contenuti. 
Prima di iniziare la creazione dei criteri ISA, è necessario comprendere le dipendenze esistenti tra i vari elementi. Nella tabella che segue vengono descritti gli elementi dei criteri e le corrispondenti regole dei criteri: Regole per il sito e il contenuto Regole dei protocolli 
Insiemi di destinazioni Definizioni di protocolli 
Gruppi di contenuti Pianificazioni 
Pianificazioni Insiemi di indirizzi client 
Insiemi di indirizzi client 
Accedere a Internet dal computer ISA
Per quanto riguarda l'accesso a Internet dal computer ISA stesso, se ci si trova fisicamente al computer ISA e si desidera accedere a un sito Web particolare, i protocolli e le regole per il sito e per il contenuto creati si applicano esclusivamente ai client che si trovano al di là del server ISA. Quando un client tenta di accedere a Internet, presupponendo che la richiesta sia consentita dalle regole create, viene creato un filtro di pacchetti dinamico per la richiesta della connessione. Tuttavia, se si sta utilizzando il computer ISA e si desidera accedere a Internet, è necessario creare filtri di pacchetti statici in base ai tipi di traffico che verranno generati. Ad esempio, per accedere a un sito Web, attenersi alla seguente procedura: 1. In ISA Management espandere Servers, espandere nome server, scegliere Access Policy, quindi IP Packet Filters. 
2. Fare clic su Create a packet filter per avviare la procedura guidata. 
3. Assegnare al filtro di pacchetti il nome Accesso Web. 
4. Scegliere Allow packet transmission, quindi Custom. 
5. Fare clic su TCP come protocollo IP, fare clic su Outbound per specificare la direzione, fare clic su All ports per indicare la porta locale, quindi fare clic su Fixed port per la porta remota. Digitare 80 nella casella Port Number. 
6. Selezionare gli indirizzi IP predefiniti per ciascuna interfaccia esterna presente nel server ISA. 
7. Scegliere All remote computers. 
Sarà ora possibile accedere ai siti Web dal server ISA. Microsoft consiglia di ripetere questa procedura, ma di utilizzare SSL access come nome nel passaggio 3 e 443 (anziché 80) nel passaggio 5, poiché numerosi server Web utilizzano il protocollo SSL. Per consentire un numero ancora maggiore di protocolli, seguire la stessa procedura utilizzando tuttavia un nome adeguato al punto 3 e le voci appropriate al punto 5.

Risoluzione dei problemi
I problemi più comuni riguardano la mancata comprensione delle interazioni tra gli elementi dei criteri, le regole dei criteri e i filtri di pacchetti. Prima di intraprendere operazioni più complesse rispetto all'utilizzo generico dei criteri di accesso creati, seguendo la procedura descritta nella sezione "Creare criteri per la connessione degli utenti a Internet" in questo articolo, leggere attentamente la sezione "Installazione di Microsoft Internet Security and Acceleration Server". Consultare inoltre la Guida in linea di Microsoft Internet Security and Acceleration Server. Creare quindi alcuni criteri e verificarli. La comprensione dei criteri di accesso risulta inoltre più semplice se si acquisisce familiarità con la terminologia di ISA Server e le interazioni dei componenti.

NOTA: con ISA Server è impossibile effettuare connessioni dirette tra gli elementi inclusi nella LAT e l'esterno. A tale scopo è necessario creare alcuni criteri che descrivano il tipo di accesso che si desidera consentire.

Riferimenti
Per assistenza nella risoluzione dei problemi relativi a ISA Server, vedere la Guida in linea di Microsoft Internet Security and Acceleration Server.