ISA Server 2004
Pubblicazione di server
Tecniche avanzate
Agenda
 Introduzione
 Autenticazione Basic e Form Based con
un singolo IP Esterno
 Pubblicazione di stampanti IP
 Pubblicazione di server con traslazione di
porte
Autenticazione Basic e Form-Based
Introduzione
 Tipicamente la piccola media azienda
italiana ha un solo IP pubblico
 Spesso l’acquisto di un secondo IP può
essere problematico
 Si ha comunque spesso necessità di
pubblicare diversi siti sicuri
Autenticazione Basic e Form-Based
Concetti generali
 ISA usa il concetto di Listener per definire
un socket in ascolto
 Un socket è la combinazione di:
 Indirizzo IP
 Protocollo
 Porta
 Es.: 12.1.2.3 TCP:80
 Listener usabile per pubblica server Web
e Server generici
Autenticazione Basic e Form-Based
Concetti generali
 Un Web listener può usare diversi metodi
autenticazione:






Basic
Digest
Integrated
Form Based
RADIUS
RSA
 Per i Web listener l’autenticazione avviene a livello di
ISA2004, prima che la connessione sia passata al
server Web
 Importante in caso di pubblicazione di server OWA
 Solo utenti autenticati raggiungono il server OWA
Autenticazione Basic e Form-Based
Il problema
 L’autenticazione Form Based è
mutuamente esclusiva per un dato
listener
12.1.1.1
Web Sicuro
ISA 2004
OWA
Autenticazione Basic e Form-Based
Il problema
 L’autenticazione Form Based è
mutuamente esclusiva per un dato
listener
12.1.1.1
Web Sicuro
Web su SSL
ISA 2004
OWA su SSL
OWA
Autenticazione Basic e Form-Based
Il problema
 L’autenticazione Form Based è
mutuamente esclusiva per un dato
listener
12.1.1.1
Web Sicuro
Web su SSL
Form Based
Basic
?
ISA 2004
OWA su SSL
OWA
Autenticazione Basic e Form-Based
La soluzione “banale”
 Aggiungere un secondo IP
 Posso creare due listener con due diverse
autenticazioni
Basic
12.1.1.1
Web Sicuro
ISA 2004
12.1.1.2
Form Based
OWA
Autenticazione Basic e Form-Based
La soluzione “non banale”
 Costruire una specie di configurazione back-toback sfruttando il fatto che il server ISA è esso
stesso una rete (localhost)
12.1.1.1
Web Sicuro
ISA 2004
OWA
Autenticazione Basic e Form-Based
La soluzione “non banale”
 Costruire una specie di configurazione back-toback sfruttando il fatto che il server ISA è esso
stesso una rete (localhost)
Web Sicuro
Web Sicuro
12.1.1.1:443
Basic
ISA 2004
Localhost:443
Form Based
OWA
OWA
Autenticazione Basic e Form-Based
La soluzione “non banale”
 Costruire una specie di configurazione back-toback sfruttando il fatto che il server ISA è esso
stesso una rete (localhost)
12.1.1.1:443
Basic
Web Sicuro
ISA 2004
Localhost:443
Form Based
OWA
Autenticazione Basic e Form-Based
La soluzione “non banale”
 Costruire una specie di configurazione back-toback sfruttando il fatto che il server ISA è esso
stesso una rete (localhost)
12.1.1.1:443
Basic
Web Sicuro
ISA 2004
Localhost:443
Form Based
OWA
Autenticazione Basic e Form-Based
La soluzione “non banale”
Implementazione:
1. Esportazione del certificato del sito Web OWA.
2. Importazione del certificato del sito Web OWA in ISA Server 2004:
1. Questo certificato sarà usato dal listener esterno.
3. Richiesta di un certificato Web per localhost.
4. Installazione del certificato per localhost su ISA Server 2004.
1. Questo certificato sarà usato dal listener sulla rete localhost.
5. Creare una Web Publishing Rule sul listener External:
1. Accetta le richieste in ingresso per OWA
2. Le gira al listener su localhost.
6. Creare una Web Publishing Rule che usa il listener su
localhost:Pubblicazione di una stampante IP
1. accetta le richieste provenienti dal listener External
2. Le gira al sito OWA interno.
7. Creare una Web Publishing Rule che gira le richieste agli altri siti Web e
che usa solo il listener External.
Pubblicazione di una stampante IP
Scenario
Stampa diretta in ufficio
12.1.1.1
Web
ISA 2004
Pubblicazione di una stampante IP
Implementazione:
1. Configurare la stampante IP e assicurarsi che
funzioni regolarmente
2. Creare una definizione di protocollo per la
stampa IP:
1. Protocollo: TCP
2. Porta: 9100 (porta 515 per LPR)
3. Direzione: Inbound
3. Creare una regola di pubblicazione Server per
pubblicare la stampante di rete
Pubblicazione di server con porte traslate
Introduzione
 Usiamo FTP come esempio tipico!
 I server FTP non sono server sicuri
 I server FTP sono comodi in molte
situazioni (es. accesso di utenti privati)
 Serve un metodo per “nascondere” i
server FTP allo scanning:
TRASLAZIONE DELLE PORTE
Server FTP con porte traslate
Implementazione
 Installare il sito FTP sul server interno
 Eventualmente modificare la porta di
funzionamento
 Creare una regola di pubblicazione di
server per il protocollo FTP
 Modificare la porta di pubblicazione
 Se necessario modificare la porta di
ridirezione
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.