Linux igennem MS ISA Server

Kommer an på hvad du skal ? Skal du bare surfe, så kan firefox 0.6 og nyere vist klare det. mener det er den version men er ikke helt sikker!

ntlmaps giver dette:

Main features:
    * supports NTLM authentication via parent proxy server
      (Error 407 Proxy Authentication Required)
    * supports NTLM authentication at web servers
      (Error 401 Access Denied/Unauthorized)
    * supports translation of NTLM scheme to standard "Basic"
      authentication scheme
    * supports the HTTPS 'CONNECT' method for transparent tunnelling
      through parent proxy server
    * has ability to change arbitrary values in client's request headers;
    * supports unlimited number of client connections
    * supports connections from external hosts
    * supports HTTP 1.1 persistent connections
    * stores user's credentials in config file or requests
      password from a console during the start time

Nej det jeg vil er at sætte en slagt Router/Gateway op som man kan gå igennem, Den skal så sørge for at man ikke skal skrive kode for at komme på nettet.

Det kan du godt... men så skal du have domain admin rettigheder i windows domænet, og det tror jeg ikke at du har.

Hvis jeg var administrator på "fucking Ballerup tekniske skole", så ville jeg da på ingen måde acceptere, at de sikkerheds foranstaltninger jeg har etableret, bare bliver omgået med en linux router/gateway.

Derfor håber jeg ikke, at du har admin rettigheder :-)

Det spørs hvilken vei man ønsker at trafikken skal gå.

Hvis det er meningen å sette opp en internett server på innsiden av isa serveren, som skal være tilgjengelig fra internett, så kan jo dette ikke la seg gjøre med mindre man har administrator rettigheter til isa serveren.

Hvis det der i mot er snakk om å sette opp en linux router eller firewall på innsiden av isa serverne slik at flere arbeidsstasjoner kan bruke linux routeren som felles gateway som så komuniserer videre ut mot isa serveren, så kan dette vanligvis godt la seg gjøre.

Altså: trafikk inn - Nei Trafikk ut: Det bør gå bra

Det man da gjør det er jo i praksis å kople to firewall/routere i serie, i dette tilfellet isa server pluss Linux. Det kan man jo normalt gjøre uten aty man behøver passord til isa serveren.

I og med at det ikke vil være snakk om å kople seg opp parallelt med isa serveren, men der i mot i serie, så vil ikke dette ha noen negativ effekt for sikkerheten til nettverket. Tvert i mot så vil man kunne forbedre sikkerheten en hel del (etter mitt syn på saken) ved at man oppretter slike subnett ved hjelp av linux routere på nivå under isa serverne sitt subnett.

Hvordan - Det enkleste vil kanskje være å sette opp en Linux boks med to nettverkskort og så installere en spesielisert router/firewall programvare, for eksempel Smoothwall: http://www.smoothwall.org eller eventuelt man kan bruke en hvilken somheslt standard Linux dersomman lager firewall/router script selv.

Hvis jeg har forstått rett:

//INETERNETT//--//ISA SERVER//--//LAN//--//LINUX GATEWAY//--NYTT SUBNETT (LAN 2)

Trafikken kan som sagt flyte ut, men ikke inn.

langbein>> Jo, da det er en elev på skolen som vil forsøge at omgå den sikkerhed, som skolen har etableret, så mener jeg, at det har en negativ effekt på sikkerheden, da skolen ikke længere har styr på, hvad eleverne foretager sig.

Kan ISA server ikke lukke for udgående adgang baseret på computer account information hentet fra AD?

lap -> Mulig jeg ikke leste spørsmålet godt nok. Man kommer jo uansett ikke forbi en firewall ved å sette opp en firewall på innsiden. Tvert i mot så to firewalls i stedet for en, altså dobbelt så mye å trenge gjennom he, he.

Man kan jo ikke bypasse ISA serveren med mindre man har et tilkoplingspunkt på utsiden og på innsiden ..

strych9 -> For Linux så er det i hvert fall mulig å spesifisere i detalj hvilke maskiner som skal kunne kommunisere ut og eventuelt på hvilke porter. Holder det som 99.999 % sansynlig at det samme må være mulig hos MS ISA server.

Vi sidder en masse i en klasse og er pisse trætte af at hver gang vi starter vores Internet Explorer så skal vi indtaste bruger kode og domain, ja jeg ved godt at kan gemme koden, den det er stadig belastende, så det jeg ville var at lave en Linux Router/gateway som vi så kunne gå på nettet igenne, og den videre til ISA Serveren, men at den så sørgede for at der kom en kode på til ISA Serveren, så vil vi stadig ikke komme uden om skolens restraktioner, men det er heller ikke meningen.

Og nej jeg har ikke administrative rettigheder til ISA Serveren. for så havde jeg slået det bruger fis fra.

aah så det er et password til proxyen.. og det er sat så folk udefra ikke skal kunne benytte den som anonym proxy til at bounce på (eg. skjule deres identitet).

Men jeg kender nu ikke lige et linux proggy som kan skrive user/pass automatisk til en proxy...

Hvis det er snakk om å undra seg pålogging, så har nok lap rett i at dette faller litt utenom kanskje det som er ekspertens "område".

Rent teknisk så ville det ikke være noe problem for ikt driftansvarlig å la internettforbindelsen kjøre gjennom en Linux router, eventuelt med en eller annen lokal pålogging.

Dersom de som står for sikkerheten i ikt anlegget har bestemt at det ikke skal være slik, så er det vel også slik inntill man har bestemt noe annet.

Min personlige mening det er at man med stor sikkerhetsmessig fordel kan dele opp et stort lan, for eksempel en skole i mange mindre lan, for eksempel hvert klasserom a 15 maskiner eller så. Dette ville for eksempel effektivt hindre virus i å spre seg fra maskin til maskin, det vil kunne hindre hacking mellom nettverkssegmenter, og man ville også kunne styre pålogginger lokalt om man ønsker det. Med andre ord - et skoleneverk kan med fordel struktureres og bygges opp somet wan, med de typiske sikkerhetsmessige løsninger som finnes for et wan, i stedet for som et lan.

Man får heller legge fram et forslag og argumentere for og mot i stedet for å forsøke å hache den eksisterende løsningen :)

lukker, det kom der ikke nogen løsning ud af det her.