none
Problema accesso siti https con isa server 2006

    Question

  • Buongiorno a tutti,

    ho installato su un server Windows server 2003 Enterprise un sistema Isa Server 2006.

    Ho impostato correttamente tutte le rules necessarie al mio filtraggio web. Tramite il filtro 'url sets' ho inserito tutti gli url necessari a popolare la mia whitelist. Il mio problema è che alcuni url con protocollo https nonostante siano stati inseriti nella whitelist, vengono comunque bloccati da isa.

    Quindi la mia domanda è la seguente: per siti con protocollo HTTPS, per poterli inserire in una whitelist e comunque permettere il loro accesso dai client, quale rule, o opzione è necessario modificare?

    In attesa di un suggerimento, saluto tutti i membri del Forum.

    Mario. 

    Monday, June 18, 2012 1:06 PM

All replies

  • Ciao,

    verifica per prima cosa che il sito web della whitelist bloccato non includa al suo interno componenti presenti su altri URL. Infatti ISA Server potrebbe bloccare tali componenti e quindi impedire la corretta visualizzazione della pagina web. Ovviamente questo genere di problematica comporta una manutenzione costante delle whitelist/blacklist, quindi valuta l'utilizzo di plugin per il content filtering o un aggiornamento a sistemi più evoluti come Forefront che dispongono già del filtro per categorie: http://technet.microsoft.com/it-it/library/ee207145.aspx

    Monday, June 18, 2012 4:51 PM
  • Buongiorno a tutti,

    ho installato su un server Windows server 2003 Enterprise un sistema Isa Server 2006.

    Ho impostato correttamente tutte le rules necessarie al mio filtraggio web. Tramite il filtro 'url sets' ho inserito tutti gli url necessari a popolare la mia whitelist. Il mio problema è che alcuni url con protocollo https nonostante siano stati inseriti nella whitelist, vengono comunque bloccati da isa.

    sei sicuro che solo alcuni url manifestano il problema e non tutti ?

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org


    Tuesday, June 19, 2012 9:20 AM
  • ...il problema dell'accesso a determinati siti avviene solo in presenza di url con protocollo 'https'.

    Ho creato una rule che blocca tuttta la navigazione 'Deny all', e creato poi una rule con l'accesso di tutti i client solo verso siti inseriti in  2 whitelist opportunemente create nell'object 'URL SITE', allorchè risultano correttamente raggiungibili tutti gli url 'http' della whitelist eccetto quelli con protocollo 'https', nonostante anch essi siano inseriti nella whitelist.

    Sapete quale opzione bisogna settare per quanto riguarda l'accesso a siti con protocollo 'https' ?

    ...scusate se mi sono ripetuto nella descrizione dello scenario, ma penso che ora sia stato piu chiaro.

    In attesa di qualche suggerimento vi saluto cordialmente.

    Mario.

    Friday, June 22, 2012 1:06 PM
  • ...il problema dell'accesso a determinati siti avviene solo in presenza di url con protocollo 'https'.

    Ho creato una rule che blocca tuttta la navigazione 'Deny all', e creato poi una rule con l'accesso di tutti i client solo verso siti inseriti in  2 whitelist opportunemente create nell'object 'URL SITE', allorchè risultano correttamente raggiungibili tutti gli url 'http' della whitelist eccetto quelli con protocollo 'https', nonostante anch essi siano inseriti nella whitelist.

    hai fatto benissimo a precisare di nuovo ma sottolineo ancora la domanda:

    neanchè un indirizzo in whitelist con https funziona o almeno uno di questi con https funziona ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    Friday, June 22, 2012 2:37 PM
  • Buongiorno a tutti,

    Edoardo rispondendo alla tua domanda, purtroppo tutti gli URL con protocollo 'https' non sono raggiungibili.

    Ciao e buona giornata a tutti i membri del forum.

    Monday, June 25, 2012 8:06 AM
  • Allora il problema è sicuramente diverso da quello da me descritto precedentemente....

    Prova a vedere se ti è di aiuto questa discussione:

    http://forums.isaserver.org/m_2002087749/mpage_1/key_/tm.htm#2002087749

    Monday, June 25, 2012 11:53 AM
  • mi riporti tutte le impostazioni che hai definito nella firewall rule di permit ?

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org


    Monday, June 25, 2012 6:07 PM
  • ...ciao a tutti e scusate la mia assenza,

    comunque in merito al problema da me sollevato, ho letto il documento suggeritomi da Fabrizio, e a quanto ho capito poiche non utilizzo nessun agente proxy sui client, ma semplicemente tramite gpo ho imposto l'ip di isa sul proxy del browser, i client non comunicano la richiesta dei siti 'https' a isa con dns tale da essere identificati, e quindi vengono bloccati.

    Dunque la mia domanda ora è questa: in Isa c'è una particolare rule o object tale da poter implementare una whitelist con gli ip dei siti in 'https' da raggiungere, invece degli url ? 

    In attesa di suggerimenti, vi saluto.

    MArio.

    Wednesday, July 04, 2012 1:43 PM
  • ...ciao a tutti e scusate la mia assenza,

    comunque in merito al problema da me sollevato, ho letto il documento suggeritomi da Fabrizio, e a quanto ho capito poiche non utilizzo nessun agente proxy sui client, ma semplicemente tramite gpo ho imposto l'ip di isa sul proxy del browser, i client non comunicano la richiesta dei siti 'https' a isa con dns tale da essere identificati, e quindi vengono bloccati.


    io ritengo che non sia necessario usare alcun proxy client e che sia sufficiente il proxy imposto mediante gpo. ora non posso fare la prova nel mio ambiente di test ma, appena mi sarà possibile, aggiungerò ad una blacklist un sito https e posterò qui il risultato.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    Wednesday, July 04, 2012 3:13 PM
  • ...ok Edoardo, grazie per il tuo interessamento...aspetto un riscontro.

    Buon fine settimana a tutti.

    MArio.

     
    Friday, July 06, 2012 10:26 AM
  • ho fatto il test al contrario usando una blacklist con errori personalizzati ed usando la web access policy (visto che sono su TMG) applicandola a All Users.

    con la blacklist applicata sia al protocollo http sia a quello https noto che con http il dominio in blacklist viene bloccato con il messaggio d'errore personalizzato mentre con il protocollo https il dominio bloccato non restituisce l'errore personalizzato ma un generico errore "Internet Explorer cannot display the webpage".

    ora comincio ad approfondire cosa provochi questa differenza.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    Tuesday, July 24, 2012 12:39 PM
  • Ciao, mi intrometto: i siti specificati hanno porte diverse dalla 443?

    Perchè con ISA2004/2006 devi fare delle modifiche per farli girare.

    http://social.technet.microsoft.com/Forums/en-US/ForefrontedgeIA/thread/83d0859a-a702-4e8e-a476-3be9c628ecd1/

    http://www.isaserver.org/articles/2004tunnelportrange.html


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    • Proposed as answer by Diego Castelli Monday, August 20, 2012 12:12 PM
    Thursday, July 26, 2012 10:28 AM
  • Ciao, novità?

    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    Monday, July 30, 2012 8:46 AM
  • Ciao Mario,

    Abbiamo ancora la tua richiesta aperta nel Forum di Sicurezza.

    Ci sono stati sviluppi a seguito dei consigli ricevuti?

    Grazie in anticipo di tenerci aggiornati sul tuo percorso,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    Monday, July 30, 2012 9:04 AM
  • Buongiorno a tutti

    Innanzitutto mi scusa per la mia prolungata assenza dovuta a carico sotenuto di lavoro ed attualmente dalle mie meritate ferie :). Ritornando all oggetto del post, il link suggeritomi da Diego mi ha effettivamente fatto sorgere il dubbio che i siti in https non raggiubili potrebbero non dialogare coi client sulla porta 443, ma fowardati su un altra.

    Se cosi fosse dovrei risolvere attraverso quell app suggeritomi da Diego, che mi permetterebbe di ampliare il range di porte associate al servizio ssl.

    Ovviamente rimangono supposizioni sino a quando non verifico la cosa, che potrò fare al rientro e cioè dopo il 27.

    ...nel frattempo rinnovo il mio ringraziamento per tutti voi che mi state supportando e vi auguro un buon fine agosto. Appena rientro tempestivamente vi darò un riscontro.Ciao a tutti.

    MArio.

    Wednesday, August 22, 2012 9:24 AM