Proibire funzionalità ai client
Avevamo deciso in precedenza di proibire anche qualsiasi accesso via FTP ai client. Per questo non dobbiamo fare nulla, perchè di base, come già detto, tutte gli accessi non appena installato sono bloccati e solo con i servizi che attiviamo noi nelle Acces Rule possiamo abilitare o meno delle operazioni tra i computer della nostra rete. Ricordo che, per ogni richiesta sia dall'interno che dall'esterno della rete, ISA Server legge in modo sequenziale le rule inserite finché non incontra una rule adatta per quella richiesta. Se nessuna di queste "rule" è adatta, la richiesta viene inviata all'ultima che nega qualsiasi passaggio.
Molto restrittiva come impostazione, ma permette che non si lascino senza saperlo pericolose porte aperte nella nostra rete.
Un problema che ora dobbiamo affrontare è la proibizione di download da parte dei client: questo porta il grosso vantaggio di evitare fin dalla radice la possibilità che qualche utente distrattamente possa scaricare file ".exe" o ".zip" sospetti, o altri programmi di uso non proprio consono ad un'azienda. Per far questo selezioniamo l'access rule prima creata "Web clients". Cliccando con il tasto destro su di esso comparirà il menu prima visto:
Selezioniamo "Configure HTTP", apparirà una nuova finestra di dialogo con cinque tab:
- General: qui possiamo filtrare la richiesta HTTP dipendentemente la sua lunghezza o "responses" sospetti che contengono del codice eseguibile.
- Methods: in questo tab possiamo specificare quali "method" HTTP vogliamo disabilitare; per esempio il "GET" o il "POST".
- Extensions: questa è la sezione che approfondiremo tra poco, che permette il blocco di richieste di file con estensioni particolari.
- Headers: qui possiamo filtrare specificando di headers.
- Signatures: possiamo specificare di filtrare delle richieste che contengono al loro interno un determinato contenuto.
Come abbiamo visto brevemente, la possibilità di controllo è pressoché totale. Nel nostro caso inseriremo i nostri filtri nel tab "Extensions":
In questo caso abbiamo aggiunto i suffissi principali: ".exe" e ".zip". Ovviamente è preferibile aggiungere anche i vari ".com", ".bat", quot;.dll" e altri ormai usati in modo esagerato da virus, dialer e romp..., ops, divertimenti simili! In fondo a questa finestra di dialogo è presente anche una checkbox che consente di bloccare anche suffissi "ambigui", che potrebbero contenere al loro interno codice pericoloso . Non si è mai troppo prudenti, perc ui selezioniamo anche questa voce.
Spostiamoci nelle proprietà della rule appena creata e vedremo otto tab di cui finora ne abbiamo trattato, anche se indirettamente, solo sei:
- General: possiamo modificare il nome dell'Access rule, inserire un'eventuale descrizione e abilitare o meno questa rule.
- Action: Allow e Deny, per fare in modo che questa rule permetta o proibisca un'azione.
- Protocols: già trattato in modo approfondito, i protocolli come HTTP, POP3, Web o altri personalizzati.
- From: il mittente della richiesta.
- To: il destinatario della richiesta.
- Users: gli users che a cui questa rules è dedicata.
I due nuovi tab sono i seguenti:
- Schedule: qui possiamo inserire un intervallo di tempo in cui questa rule sia attiva.
- Content type: dove specificare ulteriormente il tipo di documento accettato:
Come si vede, la scelte per proteggere la nostra rete da documenti non ben accetti sono numerose.
altri blocchi impostabili
Ok, ormai il più è fatto. Abbiamo bloccato ai client il download di file, e bloccando tutte le porte tranne quelle utili per la navigazione in Internet, email e newsgroups, evitiamo che i client utilizzino programmi come i P2P per un uso improprio di una rete aziendale (purtroppo vari programmi di questo tipo sono in grado di rimappare in modo automatico le porte, e in questo caso neanche ISA può far molto).
Ma se volessimo controllare in modo più granulare l'uso della rete degli utenti, possiamo proibire anche l'accesso a determinati siti o domini. Per esempio, se questa rete fosse fruibile anche da minorenni si potrebbe bloccare l'accesso a determinati tipi di siti non adatto ad un pubblico minorile (pornografia e simili). Anche se è pressoché impossibile con questa "rule" a tutti i siti di questo tipo, può essere utile per altri scopi.
Creiamo una nuova "Access rule" dal nome "Blocca siti":
| Protocol: | HTTP |
| Access Rule Source: | Internal |
| Access Rule Destination: | Vedere sotto |
| Rule Action: | Deny |
Per l'Access Rule Destination dobbiamo specificare i siti o domini di cui vogliamo negare la visita. Dal tab "To", selezioniamo "Add" quindi da "URL Sets" creiamo una nuova rules:
Anche se come proibizione è minima, è pur sempre qualcosa. Consiglio, se esiste realmente la necessità di negare l'accesso a determinati siti, di creare in "Address Range", sempre nelle "Network Entities", una nuova voce in "Address Range" con l'IP address dei siti interessati.
La domanda che può sorgere spontanea ora è che cosa accade quando l'utente richiama una pagina "proibita" o cercherà di eseguire il download di un file ".exe". Comparirà un messaggio di errore - una pagina in formato HTML - inviata da ISA Server. Nel caso di file ".exe" il codice del messaggio specifico sarà il "12217". Grazie a questi codici possiamo definire nostre pagine di errori personalizzate. Andando nella directory dov'è installato ISA Server troveremo una cartella di nome "ErrorHtmls", qui sono contenute tutte le pagine di errore utilizzate.
Per moltissimi errori sono già presenti pagine apposite, per errori non definiti viene utilizzate la "default.htm". Si può notare che i file qui presenti sono a copia e hanno questa struttura: xx.htm e xxr.htm (dove xx è un numero). Per esempio: 11001r.htm e 11001.htm . La prima sarà utilizzata per risposte al di fuori della rete interna, la seconda per tutti i client. Abbiamo visto che la nostra "rule" per probire la visita e il download di file eseguibili e "12217", bene, utilizzando questo codice facciamo una copia di "default.htm" nominandola "12217.htm" e inseriamo il messaggio di errore personalizzato. Ecco un ipotetico messaggio che comparirà al client al suo tentativo di un download proibito:
Scopriamo cosa accade...
ISA Server permette la memorizzazione e la visualizzazione di tutto il traffico che passa attraverso il server. Permette anche di mostrare report dettagliati in formato HTML con grafici e altro, e di impostare il calcolo di un report ad un determinato orario, dopo del quale, sarà lo stesso ISA Server dd inviarci una mail avvisandoci dell'elaborazione del report.
Ma quanto è dettagliato il log di ISA? Questo sono le richieste subite in poco meno di cinque minuti:
Come possiamo vedere, le richieste sono state tutte scartate, dal Ping all'attacco sulla porta 6346. Per la cronaca, quella è porta utilizzata dai network P2P come Gnutella.
Contenuti dell'articolo
- Pagina 1
- Pagina 2
- Pagina 4
- Pagina 5
- Pagina 6
Aggiungi un nuovo commento »»»
Per inserire un commento, devi registrarti alla nostra community.
Difficoltà
Utilità
Stampa 
Download 
