none
как поймать клиента, который обходит Isa server RRS feed

  • Вопрос

  • Проблема возникла вчера. Стоит на исе Internet Access Monitor. Появилась запись "неизвестный". за вчерашний день скачали около 2 gb. Можно ли определить IP? Как вычислить зайца?

    Заранее благодарю!
    5 апреля 2008 г. 4:24

Все ответы

  • Логи смотрите. Где там Ваш неизвестный что качал. Можно попробовать репортинг - но я не верен, что там отчеты нужные есть.

    5 апреля 2008 г. 6:52
  • Логи смотрел на IAM. эти сайти мало о чем говорят. кажется начинаю понимать. У некоторых клиентов стоит иса в качестве шлюза и они выходят в инет как SecureNat и Web proxy клиенты. Проблема в том, что я не могу менять настройки шлюза у них на компах. Может ли это быть причиной обхода и как запретить им выходить как SecureNat?
    5 апреля 2008 г. 10:35
  • Разрешите доступ только аутентифицированным пользователям. SecureNAT клиенты не умеют аутентифицироваться на ISA - только WebProxy и FWClient.

    Причиной "обхода" в любом случае может быть только наличие разрешения доступа для "All Users"

    5 апреля 2008 г. 11:41
  •  Alexander Trofimov написано:

    Разрешите доступ только аутентифицированным пользователям. SecureNAT клиенты не умеют аутентифицироваться на ISA - только WebProxy и FWClient.

    Причиной "обхода" в любом случае может быть только наличие разрешения доступа для "All Users"



    вся проблема в том, что у меня стоит All Authenticated users, поэтому никак не могу понять как прошел он. Может какой-то анонимизатор использовали?
    5 апреля 2008 г. 15:00
  • Во всех разрешающих правилах стоит Authenticated?

    Если да, то я поищу, где-то пробегало, кажется, у Шиндера на блоге про ситуацию, в которой не отображается имя пользователя.

    5 апреля 2008 г. 16:20
  •  

    идешь в логи исы и смотришь впервую очередь какой ипшник это сделал и откуда

    может быть это какой нить сервис что нить скачал (wsus например)

    5 апреля 2008 г. 17:45
    Отвечающий
  •  Alexander Trofimov написано:

    Во всех разрешающих правилах стоит Authenticated?

    Если да, то я поищу, где-то пробегало, кажется, у Шиндера на блоге про ситуацию, в которой не отображается имя пользователя.



    Да. Стоит только одно правило. стоит All Authenticated.
    Заранее благодарю.

    Wsusа нет и других подобных служб нет. Больше подозрений на анонимизаторы. Буду теперь наблюдать за логами на исе. Не знаю уже что делать, постоянно пополнять списки анонимных прокси только это остается
    5 апреля 2008 г. 19:32
  • если даже юзера ползают на анонимайзеры то имя то все равно будет вписано.

    5 апреля 2008 г. 22:11
    Отвечающий
  • Короче говоря понаблюдал я за исой несколько дней. Зря я волновался. никто не обходит. Но есть одна странность. Помимо того, что под учеткой "неизвестный" скапливается трафик - Dns, Kerberos-Sec, Daytime... так и некоторый трафик юзеров, который просто дублируется. Большая часть трафика идет с сервера litbit. Почему он становится неизвестным - неизвестно!!!
    11 апреля 2008 г. 13:49
  •    Под anonymous попадает весь неаутентифицированный трафик, в том числе требования аутентификации: клиентский запрос, ответ сервера  с запросом аутентификации, клиент шлет аутентификацию - все это анонимно, потом снова идет первоначальный запрос клиента уже аутентифицированный.

    16 апреля 2008 г. 6:42
    Модератор
  •  

    так работает только веб-прокси
    19 апреля 2008 г. 11:14
    Отвечающий