none
no logging o isa não mostra a url que está sendo solicitada pelo usuário RRS feed

  • Pergunta

  • Oi pessoal,

    instalei o isa 2006 pela primeira vez, porém já usava o isa 2004 a tempo.

    o que ocorre é que quando vou fazer um monitoring pelo loging, reparei que não está sendo mostrada a url requisitada pelo usuário.

    todas as estações estão usando o firewal client do isa.

    abçs
    terça-feira, 17 de novembro de 2009 02:06

Respostas

  • entendi..

    então nao é oque eu pensava....

    Mas faz o teste...da uma conferida no seu proxy no navegador se o FC esta colocando as conffigs la.


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta Claudio Placa quinta-feira, 19 de novembro de 2009 18:06
    quinta-feira, 19 de novembro de 2009 16:35
    Moderador
  • Claudio,

    Vamos la, essa regra esta errada...
    Se ela é de bloqueio, ela deve ser DENIED e nao ALLOW.

    Outra recomendaçao é vc desvincular os protocolos, ou seja ter uma regra para HTTP e HTTPS, utilizando URL set ou domain name sets, e grupos do AD.
    Outr aregra para o conectividade social.
    Outra regra para o FTP, pois o mesmo trabalha com secure NAT e nao webproxy.

    Outro detalhe, recomendo vc refazer esse seu URL set ai e transforma-lo em um domain name set....fica mais "bonito" e com menos margem de erro.


    No aguardo.

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 01:23
    Moderador
  • Eu disse errada pois esta mto misturada entende? mto bagunçada, assim vc acaba ficando preso.

    Veja só , para essa sua regra vc esta usando SECURE NAT para sair para internet...ou seja tudo sai sem nenhum tipo de autenticação...
    Qualquer um que espetar na sua rede pegar um IP e tentar nevagar navega sem problemas.

    O idela é que vc implemente isso encima de webproxy....Faça um teste, tira fora esse all users dai e coloca o usuarios autenticados, configure o proxy nas estações de trabalho e faça o teste..


    no aguardo

    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 13:47
    Moderador

Todas as Respostas

  • Pode ser erro de configuração de placas de redes do seu isa server da uma checada no blog do nosso amigo Luiz http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19 vc tb pode dar uma checada no meu blog lá tem um tutorial pra implementação do Isa server http://ffazzani.spaces.live.com/
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 17 de novembro de 2009 02:57
  • Isso é erro de configuraçao de placas.
    Visivelmente quem esta resolvendo seus nomes internos é o proprios cliente...onde na verdade deve ser o DNS interno..

    Da uma checada no meu tutorial que o felipe posto que vc ajusta isso facinho.


    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 17 de novembro de 2009 03:21
    Moderador
  • ok,

    vou ver seu tutorial sim, só queria entender uma coisa:

    como assim resolver nomes internos é o proprio cliente?

    abçs
    terça-feira, 17 de novembro de 2009 20:44
  • Ele diz que o cliente do ISA deve estar resolvendo os nomes da internet como www.uol.com.br para IP, e quando a solicitação de http chega no ISA server ao inves de ir com o http://www.uol.com.br vai com o IP.

    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 17 de novembro de 2009 22:05
  • Felipe,

    Entendi o que ele quis dizer, porém lendo o tutorial tem como arrumar isso?

    abçs e obrigado.

    terça-feira, 17 de novembro de 2009 22:15
  • Claro que tem, você chegou a fazer o que esta no tutorial?
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quarta-feira, 18 de novembro de 2009 11:09
  • estou lendo o tutorial hoje para começar a fazer amanhã e sexta!

    abçs
    quarta-feira, 18 de novembro de 2009 15:18
  • no aguardo
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quarta-feira, 18 de novembro de 2009 16:05
  • Sim tem como rsolver sim.

    vc ajustando as configs das placas, quem passa a resolver nomes é o seu DNS interno...entende?

    Ai as coisas ficam normais...rs


    Qualquer duvida post novamente.
    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 18 de novembro de 2009 16:09
    Moderador
  • estarei postando novamente com certeza amanhã galera onde estarei colocando em pratica os conselhos de vcs.

    aproveitando e bem provavel que por isso que ele não esteja barrando a black list criada certo!!! pois elçe não entende a url, ou estou louco....rsrs??

    agradeço a ajuda.
    quarta-feira, 18 de novembro de 2009 17:54
  • Claudio,

    tudo depende de como sua regra foi criada...
    Não acho que seja por isso nao, acho q existe erro de regras.


    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 18 de novembro de 2009 20:20
    Moderador
  • Oi Luiz,

    por acaso acaei de efetuar o procedimento do seu tutorial e as url´s ainda não aparecem no logging... e os endereços estão sendo resolvidos pelo meu DNS até por que tenho exchange na empresa, então mais do que nunca preciso mesmo.

    Quanto a questão das regras, acabei de fazer o curso do isa 2004 (2824) e sempre usei o isa 2004 e não tive problemas até hoje.

    Optei em usar aqui o 2006 por uma simples questão de praticidade, pois ele se integra mais fácilmente ao OWA.

    então assim,

    tenho nas regras a seguencia

    publicação owa
    Regra SMTP
    Regra VPN
    Regra WEB com a black list no exceptions
    regra web tudo liberado para um grupo de usuários expecificos
    regra interna (para trafego local)
    regra de cleanup

    a seguencia é essa e as unicas que não pegam o referido são as regras web que não valida a black list e a web tudo que não acata os usuários... rsrs 

    abçs
    quarta-feira, 18 de novembro de 2009 20:41
  • E a regra de DNS?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 18 de novembro de 2009 20:55
    Moderador
  • sobre a black list..detalha a regra por favor...como esta criada.
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 18 de novembro de 2009 20:56
    Moderador
  • Vamos lá

    Action = Allow
    Protocols = Conectividade Social, DNS, FTP, HTTP, HTTPS
    From = Internal, VPN Clients
    To = External / Exceptions = Black List (url sets)
    Users = All Users
    Schedule e content types = padrão

    URL Sets = http://*.bol.com.br
                     http://*.orkut.com.br
                     http://*.orkut.com

    dentre outras regras
    Abçs

              
    quarta-feira, 18 de novembro de 2009 21:05
  • Luiz,

    Aproveitando agora e falando das urls não mostradas no logging, reparei que as chamadas de saida não aparecem como GET, e só um - na coluna Method.

    como disse tenho exchange  com owa, e no method poll ele mostra o que está buscando, ou até mesmo GET mas para o wpad, ou quando a solicitação vem da rede external, ai to vendo todas as URLs, quando a requisição vem da rede interna para externa ele vem sem o METHOD e a URL.

    abçs
    quarta-feira, 18 de novembro de 2009 21:18
  • Claudio,

    Vamos la, essa regra esta errada...
    Se ela é de bloqueio, ela deve ser DENIED e nao ALLOW.

    Outra recomendaçao é vc desvincular os protocolos, ou seja ter uma regra para HTTP e HTTPS, utilizando URL set ou domain name sets, e grupos do AD.
    Outr aregra para o conectividade social.
    Outra regra para o FTP, pois o mesmo trabalha com secure NAT e nao webproxy.

    Outro detalhe, recomendo vc refazer esse seu URL set ai e transforma-lo em um domain name set....fica mais "bonito" e com menos margem de erro.


    No aguardo.

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 01:23
    Moderador
  • Luiz,

    perfeito as suas considerações porém preciso questionar a questão da regra estar errada no sentido Allow o Deny.

    A regra criada é acesso a http e https para todos os usuários com exceção dos sites colocados na url sets ou domain sets.

    ou seja todo mundo pode ver o uol.com.br mas não pode acessar orkut.com, entendeu.

    se ela está errada como seria o jeito certo de colocar pois segui (com exceção do url sets que realmente deveria ter usado domain sets) o que aprendi no curso e no tutorial do anderson patricio

    abraços e obrigado
    quinta-feira, 19 de novembro de 2009 12:32
  • Eu disse errada pois esta mto misturada entende? mto bagunçada, assim vc acaba ficando preso.

    Veja só , para essa sua regra vc esta usando SECURE NAT para sair para internet...ou seja tudo sai sem nenhum tipo de autenticação...
    Qualquer um que espetar na sua rede pegar um IP e tentar nevagar navega sem problemas.

    O idela é que vc implemente isso encima de webproxy....Faça um teste, tira fora esse all users dai e coloca o usuarios autenticados, configure o proxy nas estações de trabalho e faça o teste..


    no aguardo

    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 13:47
    Moderador
  • Seus clientes estão saindo via securenat ou webproxy client?
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 19 de novembro de 2009 15:06
  • Só para te dar mais detalhes talvez assim fica mais fácil, ok

    Não estou usando nem secure nat nem webproxy, estou usando firewall client.

    No logging estão vindo os usuários que estão pedindo autenticação ok, ou seja consigo realmente visualizar.

    Pela politica da empresa, tenho realmente que deixar a internet para qualquer usuario, pois como tem muitas reunião e pessoas externas como clientes e fornecedores que precisam usar a internet, deixamos all users.

    Realmente o que vc disse de muitas autorizações (protocolo) em uma unica regra e verdade, vou mudar e colocar de forma mais detalhada.

    Só para informar na ajuda que vc está me prestando, e alias já agradeço a todos por isso, o meu isa não é um edge firewall, pois tenho um roteador antes dele com dois link fazendo load balance dos links, perfeito!! será que isso tem alguma coisa a ver?

    abçs

    quinta-feira, 19 de novembro de 2009 15:09
  • Vc est usando o seu ISA entao somente para proxy?


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 15:48
    Moderador
  • Não estou usando ele como firewall, mas como preciso ter redundancia de link´s e para isso teria que ter dois isa na empresa, então colocamos um roteador dual balance para fazer esse gerenciamento e o isa linkado nele.

    todas as conexões estão perfeitas, acessamos remoto, exchange sem problema, tudo ok, somente no isa que não estou conseguindo ver as urls solicitadas pelo logging e não conseguimos fazer bloqueios por usuários conforme dito acima...

    quinta-feira, 19 de novembro de 2009 16:04
  • Claudio,

    Acho que matamos.
    Presumio entao que o gateway das suas estações sejam o seu router é isso?
    Ou o seu ISA recebe o cabo do seu roteador na placa externa?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 16:17
    Moderador
  • Isso mesmo, o router está em outra classe de IP.

    O Gateway das estações e servidor é o meu ISA, e o meu isa e que recebe o cabo do router na placa externa!
    quinta-feira, 19 de novembro de 2009 16:22
  • entendi..

    então nao é oque eu pensava....

    Mas faz o teste...da uma conferida no seu proxy no navegador se o FC esta colocando as conffigs la.


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta Claudio Placa quinta-feira, 19 de novembro de 2009 18:06
    quinta-feira, 19 de novembro de 2009 16:35
    Moderador
  • não está não!!!

    eu deixei desabilitado essa opção mas posso colocar para testar vc acha que é isso?
    quinta-feira, 19 de novembro de 2009 16:39
  • Luiz,

    Com a opção do firewall client colocar as informações no browser do proxy, ele começou a resolver os get e a efetivar as regras montadas...kkkk
    Problema resolvido

    agora vou te perguntar uma coisa, por que o 2006 tem que ter essa configuração para funcioanar desse jeito?

    Em tese o firewall client não deveria fazer o papel tanto do securenat quanto do webproxy, ou seja, encapsular todas as requisições no seu protocolo e só abrir no isa?
    não é por motivo de segurança e confiabilidade que o client existe?

    Abçs e obrigado
    quinta-feira, 19 de novembro de 2009 16:48
  • Apesar de que sua regra esta com ALL USERS...ele nao vai validar usuário.

    Faz um monitoring, e testa o acesso a uma URL bloqueada ( vc trocou para o domain name set?), e veja qual a regra que esta liberando esse acesso.


    No aguardo


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 16:49
    Moderador
  • Fiz esse teste sim,

    troquei para domain name set, enxuguei a regra e mesmo assim ela pegou perfeitamente.

    descrição das regras:

    Acesso web restrito
    Allow
    HTTP, HTTPS
    de interna, VPN Clients para externa
    exeção: black list = domain name set (*.orkut.com)
    Usuarios: all users

    Nessa regra acima, ela permite todos os usuários locais e de VPN Clients a navegarem por toda a WEB menos no orkut.com.
    No meu teste o site ficou bloqueado!!!

    Ai tenho uma outra regra

    Acesso web diretoria
    Allow
    HTTP, HTTPS
    de interna, VPN Clients para externa
    exeção: black list = domain name set (*.orkut.com)
    Usuarios: Diretoria

    Nessa regra, permito acesso irrestrito a toda a web para a minha diretoria que são dois usuarios, ai coloquei o meu nesse grupo para testar.

    Acessei o orkut normalmente e sai por essa regra, monitorado via logging.

    Só realmente não entendi o por que que preciso está flegado e configurado no browser!

    Abçs
    quinta-feira, 19 de novembro de 2009 16:59
  • Quando vc utiliza algum grupo em usuarios, seja ele qual for, diferente de all users necessita de proxy configurado.

    SECURENAT nao valida nadinha....
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 19:59
    Moderador
  • Obrigado Luiz pela ajuda e pela força...

    Apliquei bastante coisa no meu ambiente do que discutimos aqui e do seu tutorial.

    Posso te pedi um favor, não sei se já aconteceu contigo...

    postei um pergunta a alguns dias no forum do 2003 http://social.technet.microsoft.com/Forums/pt-BR/winsrv2003pt/thread/0aa7ad16-f853-4175-b496-b6cd396e4ff1 da uma olhadinha lá e veja se sabe o que pode ser....

    é a primeira vez que acontece isso comigo e não sei mais por onde ir.....  kkkk

    e olha que server 2003 tenho relativa experiência e dominio.

    obrigado pela ajuda ok.
    quinta-feira, 19 de novembro de 2009 20:42
  • Show de bola.

    quando puder acompanhe o meu blog e o site sempre estarei postando coisa snovas e diferenciais sobre ISA e agora TMG.

    vou dar um aolhada.

    forte abraço


    Se precisar é só voltar.
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 19 de novembro de 2009 20:59
    Moderador