none
Limit access to TMG from unwanted downstream Proxy

    Domanda

  • Hi,

    Is there any solution to drop/detect connection from local proxies (like Ntlmaps) to TMG 2010?

    Tmg authenticates users using NTLM and, according to our policy, some Users are allowed to browse some URL Categories which are  usually denied.

    If a user who has this "privilege" has a local proxy like NTLMAPS that accept incoming connection the User Filtering is bypassed.

    Thanks in advance

    Marco 

    lunedì 6 agosto 2012 17:46

Risposte

  • Come ho già scritto TMG può essere configurato per utilizzare il proxy chaining mettendo dei proxy sia di upstream sia di downstream ma non ha nulla che permetta di individuare che la richiesta provenga da un proxy rispetto ad un normale get diretto quindi questa strada non è assolutamente percorribile.

    Le strade percorribili sono: domain policies sui clients di dominio e quarantine network superblindata per i clients unmanaged.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    martedì 7 agosto 2012 08:57

Tutte le risposte

  • Forum in lingua italiana = scrittura in italiano. Grazie.

    Vincenzo Di Russo
    Microsoft® MVP Windows Internet Explorer, Windows & Security Expert - since 2003.
    Moderator in the Microsoft Answers and TechNet Forums
    My MVP Profile

    martedì 7 agosto 2012 05:22
  • La soluzione percorribile non è quella di far intercettare il proxy chaining dal TMG bensì quella di impedire il cambio del proxy sui clients mediante le domain policies.

    Ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    martedì 7 agosto 2012 07:00
  • Ciao, infatti il problema si pone non sui client in dominio ma piuttosto sui notebook dei consulenti e/o sulle Workstation standalone (unamanged).

    In attesa di mettere in produzione il servizio di  NAC/NAP volevo capire come fosse possibile lato TMG capire se una sessione viene da un Proxy di Downstream oppure da un client. Analizzando il traffico non ho notato nessuna differenza lato HTTP Headers e/o Signatures particolari.

    Il problema è che la mia architettura prevede un array di TMG singleNIC quindi il Firewall Client non è supportato.

    Grazie mille

    Marco

    martedì 7 agosto 2012 08:29
  • Come ho già scritto TMG può essere configurato per utilizzare il proxy chaining mettendo dei proxy sia di upstream sia di downstream ma non ha nulla che permetta di individuare che la richiesta provenga da un proxy rispetto ad un normale get diretto quindi questa strada non è assolutamente percorribile.

    Le strade percorribili sono: domain policies sui clients di dominio e quarantine network superblindata per i clients unmanaged.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    martedì 7 agosto 2012 08:57
  • Un consiglio.....

    istalla di nuovo app che ti da problemi.

    mercoledì 9 ottobre 2013 09:12