Forum

Isa 2004'de interne...
 
Bildirimler
Hepsini Temizle

Isa 2004'de internet cikisi hakkinda..

6 Yazılar
3 Üyeler
0 Reactions
676 Görüntüleme
(@GokhanGunes)
Gönderiler: 5
Active Member
Konu başlatıcı
 

Selamlar, 

Cozumpark siteminde ve IT sektorunde yeniyim - sirketimizde calisan IT'ci arkadasin Turkiye'ye kesin donusu nedeniyle onun isleri bana kalacak, dolayisiyla buradayim..

Sormak istedigim soru su sistemimizde isa 2004 kurulu, ofiste insanlarin yaptigi ise gore neredeyse her gruba ozel rule olusturulmus durumda. Dosyalari FTP'ye yukleyen ve FTP'den download eden arkadaslarin icinde buludugu bir rule grubuda mevcut, bu grup icin .rar-.pdf-.zip uzantili dosyalari download we upload etmek bu grubun kullanicilarina serbest, onun disindaki dosya uzantilari icin sistem kendilerine kapali..msn-skype-gtalk gibi chat programlarinin da kullanimi bu grup icin yasak durumda..Ayni zamanda kullanicilar domain ortaminda user grubunda bulunmakta chat programlarinin calistirilmasi burda da gp sayesinde kapatilmis durumda.

Normal desktop kullanan kullanicilardan hicbir sorun yasamiyoruz ancak, dizustu kullanan kullanicilarin kaldiklari kampta bu chat programlarini calistirabilmeleri icin kendilerine domain ortamindaki kullanicilarinin yani sira, kendi bilgisayarlarinin administrator (this computer) bolumlerinide tahsis ettik.. Bazi akilli kullanicilar ofis icinde de bu this computer bolumunu acarak gp ozelliklerinden yalin bir sekilde skype ve googletalk acabildiklerini gorduk.. Msn Live signature ile kapatildigi icin acilmiyor ancak windows msn acilabiliyor.. normal yasakli siteler isa tarafindan engellenmeye devam ediyor yalniz dedigim gibi skype filan gp olmadan bilgisayarda calistirildiginda aciliyor.

Benden onceki It'cinin bana soyledigi skype-gtalku isa server ortamindan kapatamadigi, cunku portu kapattigi zaman kullanicilar internete cikamiyormus. Kullanicilarin skype actigini goren seftende azari biz yiyiyoruz ondan sonra..

Bu soru ile ilgili yardim edebilir misiniz? Ilgili makaleleri incelemeye calistim ancak soruna cozum olacak bir yazi ile karsilasamadim, belkide gozumden kacti onun icinde simdiden ozur dilerim, forum kurallarini biliyorum.. 

Yardimlariniz icin simdiden cok tesekkurler.. 🙂

 
Gönderildi : 28/12/2008 01:26

(@serkanuzuner)
Gönderiler: 1040
Illustrious Member
 

Merhaba, Bu durumda port kapatmak degil imza bloklamak lazim


 


msn messenger icin "msn messenger" gibi


 


imzaları ezbere bilmeye gerek yok, kullanıcılar istemediginiz trafigi kullanırken monitoring - logging tabından isteklerin icindeki imzayı gorebilirsiniz


 


mesela internet explorer da ie 7.0 gibi.


 


ona gore kuraldaki http filtering tabindan imzalar kismina gerekli imzayi ekleyip bloklama yapabilirsiniz

 
Gönderildi : 28/12/2008 02:13

(@RizaAcikgoz)
Gönderiler: 11
Active Member
 

Ben bir cevap vermeden önce

Sana sormak istediğm bazı seyler var.

1-bir senden önceki it ci sadece kullandığı portumu kapattı herkes için yoksa imzamı kullandı

2-isa server ın service packleri yüklümü bazı Hotfixler mevcut.

3-Bazı programlar surumden sürüme farklı imzaları kullanmaktadır onun için ethereal tarzı program kullanılablir

 Bu  http://technet.microsoft.com/tr-tr/library/cc302627(en-us).aspx bu linkteki bilgileri inceleyebilirsen (HTTP Policy Walk-through Procedure 3: Determine a Signature)

Bunlarla ilgili aydınlatırsan elimden geldiğince yardım etmeye çalışırım.

 Umarım sorunu çözebilirsin.

 
Gönderildi : 28/12/2008 02:22

(@GokhanGunes)
Gönderiler: 5
Active Member
Konu başlatıcı
 

Oncelikle cevap yazan arkadaslara tesekkurler yardimlari icin,

Simdi senin bana sordugun sorulara cevap vermeye calisayim.. benden onceki it'ci sadece portlarini kapatmisti bir tek msn live imza ile kapatilmisti.. isa server'in updatelerine gelince inan onlar hakkinda bir bilgim yok su anda, ancak ogrenince geri donup cevap verebilirim..

vermis oldugun linki inceliyorum su anda, tesekkurler..

 

 

 

 

 

 

Ben bir cevap vermeden önce

Sana sormak istediğm bazı seyler var.

1-bir senden önceki it ci sadece kullandığı portumu kapattı herkes için yoksa imzamı kullandı

2-isa server ın service packleri yüklümü bazı Hotfixler mevcut.

3-Bazı programlar surumden sürüme farklı imzaları kullanmaktadır onun için ethereal tarzı program kullanılablir

 Bu  http://technet.microsoft.com/tr-tr/library/cc302627(en-us).aspx bu linkteki bilgileri inceleyebilirsen (HTTP Policy Walk-through Procedure 3: Determine a Signature)

Bunlarla ilgili aydınlatırsan elimden geldiğince yardım etmeye çalışırım.

 Umarım sorunu çözebilirsin.

 
Gönderildi : 28/12/2008 04:07

(@RizaAcikgoz)
Gönderiler: 11
Active Member
 

1-Öncelikle İsa Sercer 2004 ün  Arayüzünde İsa servernın ismi üzerinde özellikler deyip sistemin full yedeğini al.

2-Sonra bu linkten İsa server 2004 sp 3 indirip yükle. http://support.microsoft.com/kb/891024

3-Bu yüklemeden sonra Bilgisayarı yeniden başlatman gerekecek bakalım şimdi Skype ı kapamak için neler yapabileceğiz.Bazı yöntemler anlatıcam.

Öncelikle 

Birinci yöntem

1-Firewall Policy  nin toolbox Kısmını Kullanarak Skype Adında Protokol ekleyelim

  Basamaklar ise

   1-New Protocol deyip Skype ismi verelim 

   2-New protocol altında

      

       1101/1102/1103/443/444 portları tek tek ekle

   3-Sonra İse Deny kural oluştur bu protocolu İnternaldan external a olucak sekilde yasakla 

   4-Sonrada çalışıp çalışmadığını dene

Bu portlar kapalı olduğundan dolayı 80 üzerinden çıkabilir.

İkinci Yöntem

 Firewall client üzerinden Engelemeyi deniyelim.

İsa server üzerinde General sekmesinde 

Define FirewallClient Setting üzerinden

Yeni application ekliyerek yasaklıyabilirisn.Sonucen clientlar local admin bile olarak acılsa dahi firewall client yüklü olduğu için hale firewall client olarak harket edecektir.

sonra bu nu onaylayıp skype i dene

Üçüncü Yöntem

Skype Otantikasyon yapabilemek için Otantikasyon server ına bağlanması gerekmetedirki O da 80.160.91.11 İp sine sahiptir

Bir Domain name set Oluştur Skype adında ve add diyerek bu ip yi ekle ve ve tüm internaldan externala ulaşımı engelleyen bir kural oluşturup dene

Yada internal yerine spesifik isa kullanan bilsiayraı ekle yada (user eklemek a domain ortamı için olabilir )

80.160.91.11 ns14.inet.tele.dk
Server:  ns14.inet.tele.dk
Address:  193.163.158.230
0-27.91.160.80.in-addr.arpa     nameserver = ns1.pil.dk
0-27.91.160.80.in-addr.arpa     nameserver = ns2.pil.dk
0-27.91.160.80.in-addr.arpa     nameserver = ns3.pil.dk
No address (A) records available for 80.160.91.11

Dördüncü Yöntem

İsa serverda internal network üzerinde özelliklerinde windows integrates authentication ı aktif edersek skype ı durdurabilme olasılığımız var

Beşinci Yöntem

Configure http  dieyerek izin verilen kural uzerinde skype için gerekli imzayı kullanmalıyız.Bu imzaların sürümden sürüme değiştiğini unutmayalım

Skype 2.0.0.69 its signature is :  User-Agent = SkypeÖ 2.0

Bunu kulanılıclar hangi sürümü kullanıyorsa bu imzanın o sürüm için olanını kullanman gerkir

Altıncı yöntem

Ve AD ortanımda GPO kullanarl bunu engelliyebilirsin Skype.exe  nin calışmasını engellicek kuralıu oluşturup bunu kullanıcılara force update kullanarak almasını sağlarsın .Yada local admin olralk giriş yapıp bunu engelle ve kullanıcıların hesaplarını policy ve rgistryde oynamıyacak şekilde yapılandır.

 

Not:Verdiğim portları bloaklarken kullanıcılara internete cıkması için izin veren kuralda bu imzayı kullan ve firewall client ta skype exe yi engelle

Not:Firewall clientta Skype yasaklasak dahi Kullanıcı skype222.exe gibi bir sey yaparsa skype ı genede çalıştırabilir.

 Ha birde Bu sana imza oluşturmanda yardımcı olabilecğini düşünüom:)

http://www.isaserver.org/tutorials/ISA-Firewall-Quick-Tip-Blocking-MSN-Messenger-Access-Enabling-Access-Some-Users.html

Ohhhh.Bi kalemde çıktı Umarım sana yardımcı olur ve bi çözüm elde edersinVe sonucu burya hangi yöntemle hallettiğini anlatırsam geri dönüş herkese yararlı olur.

 

 
Gönderildi : 28/12/2008 05:46

(@GokhanGunes)
Gönderiler: 5
Active Member
Konu başlatıcı
 

Riza abi,

cok guzel anlatmissin ancak su anda iki isi ayni anda yapmaktayim buna ayiracak cok zamanim yok bu kadar..bos waktim olursa hemen deneyecegim, bir an once sadece it islerine baksam dediklerini uygulayacagim, daha sonrada geri donecegim foruma merak etme..

yardimlarin icin cok tesekkurler, istersen mail adresimi yada msni verebilirim oradan da haberlesebiliriz,daha hizli ve ayrintili sekilde..

foruma tekrar giremezsem hepinizin yeni yili kutlu olsun..

tesekkurler, hepinize iyi calismalar..

 
Gönderildi : 30/12/2008 00:10

Paylaş: