Isa 2004 et règles stratégies systèmes par défaut

Isa 2004 et règles stratégies systèmes par défaut - Windows & Software

Marsh Posté le 08-06-2006 à 23:54:53    

Hello à tous,
 
Je débute avec Isa et je me pose une question sur les règles de stratégies systèmes par défaut.
Si j'ai bien compris ces règles permettent à certain protocoles style DNS, Dhcp, AD, de pouvoir continuer à marcher sans configuration préalable.
Le hic c'est que chez moi ça ne le fait pas.
Il faut que je crée des règles moi même pour que les protocoles passent.
Par ex j'ai du créer une règle pour laisser passer les requêtes Dns, ou autoriser le ping.
 
J'ai loupé un truc dans l'install ou dans le paramétrage d'Isa (même si j'ai pas vu grand chose niveau configuration mis à part pour les différents modèles réseaux et la plage d'adresse IP). Ou bien est-ce que ces règles par défaut font mal leur boulot ?
 
Merci d'avance.

Reply

Marsh Posté le 08-06-2006 à 23:54:53   

Reply

Marsh Posté le 09-06-2006 à 00:08:57    

une regle perso dont tu es sur des consequences et de l'incidence est de toute façon preferable à une regle deja presente..
 
sur ce, bon courage sur l'usine à gaz qu'est isa server :D

Reply

Marsh Posté le 09-06-2006 à 01:13:06    

héhé oui c'est sûr qu'on est mieux servi par soi même.
D'ailleurs c'est ce que j'ai fais pour AD, mais bon si à la base il y a des règles qui permettent de ne pas se casser la tête et qu'elles ne marchent pas chez moi, j'aurai bien aimé savoir pourquoi  :)

Reply

Marsh Posté le 09-06-2006 à 09:00:09    

oupouli a écrit :

Hello à tous,
 
Je débute avec Isa et je me pose une question sur les règles de stratégies systèmes par défaut.
Si j'ai bien compris ces règles permettent à certain protocoles style DNS, Dhcp, AD, de pouvoir continuer à marcher sans configuration préalable.
Le hic c'est que chez moi ça ne le fait pas.
Il faut que je crée des règles moi même pour que les protocoles passent.
Par ex j'ai du créer une règle pour laisser passer les requêtes Dns, ou autoriser le ping.
 
J'ai loupé un truc dans l'install ou dans le paramétrage d'Isa (même si j'ai pas vu grand chose niveau configuration mis à part pour les différents modèles réseaux et la plage d'adresse IP). Ou bien est-ce que ces règles par défaut font mal leur boulot ?
 
Merci d'avance.


 
 
ba .... toute les reglage systeme créent des regles que tu peux voir, a toi de voir ou ca bloque.  
au besoin, noubli pas la partie logging ou tu peux voir en direct le trafic et si il est passant ou bloqué, avec des filtres par protocoles...

Reply

Marsh Posté le 09-06-2006 à 12:33:59    

Les journaux !!!
Merci beaucoup, je n'avais pas vu cette fonction et du coup j'utilisai Ethereal.
C'est beaucoup plus mieux sous Isa  :)  
 
Par contre toujours pas moyen de faire avec les règles par défaut, même si je sais que c'est pas le top j'aurai bien aimé qu'elles fonctionnent.
Enfin mes règles marchent c'est le principal  :lol:  
 
Sinon j'ai pu lire à différent endroits qu'il est deconseillé de mettre Isa sur le DC. Savez vous pourquoi ?

Reply

Marsh Posté le 09-06-2006 à 12:53:00    

:D
parce que le CD doit etre l'un des serveurs les plus critiques + l'un qui va gerer un max de requetes (ss compter que le CD est souvent server dns egalement)
 
Alors si tu rajoutes l'usine à gaz qu'est isa et qui est, accessoirement, un autre element des plus critiques...

Reply

Marsh Posté le 09-06-2006 à 12:57:08    

oupouli a écrit :

Les journaux !!!
Merci beaucoup, je n'avais pas vu cette fonction et du coup j'utilisai Ethereal.
C'est beaucoup plus mieux sous Isa  :)  
 
Par contre toujours pas moyen de faire avec les règles par défaut, même si je sais que c'est pas le top j'aurai bien aimé qu'elles fonctionnent.
Enfin mes règles marchent c'est le principal  :lol:  
 
Sinon j'ai pu lire à différent endroits qu'il est deconseillé de mettre Isa sur le DC. Savez vous pourquoi ?


 
euhhh non, nous dans notre boite on le met pas sur le DC, 1 application = 1/2 serveur, 1 serveur = 1 application (comme ca, si l un plante tout n est pas perdu)
 
ca a des avantage et des inconveignant dans les deux ca.  
 
partage de la configuration entre les ISA peut surcharger un reseau si on ajoute a ca le trafic d un DC
 
mais si tu le met dessus, tu gagne l avantage que les identification par User ne vont pas sur le reseau ...
 
enfin bon, moi je les met pas sur la meme machine.
 
 
pour ce qui est de tes regles ,.... verifie bien ce qui est INside et Outside, ca peut aussi venir de ta configuration meme de ISA : en passerelle (2 carte reseau) ou en simple cache(1 carte reseau).

Reply

Marsh Posté le 09-06-2006 à 12:58:14    

BaF - FlOp a écrit :

:D
parce que le CD doit etre l'un des serveurs les plus critiques + l'un qui va gerer un max de requetes (ss compter que le CD est souvent server dns egalement)
 
Alors si tu rajoutes l'usine à gaz qu'est isa et qui est, accessoirement, un autre element des plus critiques...


 
 
pour avoir suivie une formation sur ISA, je trouve pas que ca a encors grand chose a voir avec une Usine a gaz.

Reply

Marsh Posté le 09-06-2006 à 13:55:11    

Citation :

pour ce qui est de tes regles ,.... verifie bien ce qui est INside et Outside, ca peut aussi venir de ta configuration meme de ISA : en passerelle (2 carte reseau) ou en simple cache(1 carte reseau).


 
Isa est configuré en pare feu de périmètre donc 2 cartes réseaux.
Pour le Outside/Inside il me semble n'avoir vu que je ne pouvais paramétrer que le côté Inside, pas vu pour le Outside.
 
Sinon pour l'instant je fais plus mumuse qu'autre chose avec Isa, du coup mes 2 postes Tests sont en virtuels ( oui j'aime bien me prendre la tête :D ).
L'Isa est aussi Dc, Dhcp et Dns mais vu que je n'ai qu'un client ca devrait pas poser trop de problèmes.

Reply

Marsh Posté le 09-06-2006 à 14:12:23    

oupouli a écrit :

Citation :

pour ce qui est de tes regles ,.... verifie bien ce qui est INside et Outside, ca peut aussi venir de ta configuration meme de ISA : en passerelle (2 carte reseau) ou en simple cache(1 carte reseau).


 
Isa est configuré en pare feu de périmètre donc 2 cartes réseaux.
Pour le Outside/Inside il me semble n'avoir vu que je ne pouvais paramétrer que le côté Inside, pas vu pour le Outside.
 
Sinon pour l'instant je fais plus mumuse qu'autre chose avec Isa, du coup mes 2 postes Tests sont en virtuels ( oui j'aime bien me prendre la tête :D ).
L'Isa est aussi Dc, Dhcp et Dns mais vu que je n'ai qu'un client ca devrait pas poser trop de problèmes.


 
 
Outside est ... tout ce qui n'est pas IN  :D  
 
si tu utilise directement ton proxy pour fair des tests alors fait attenssion, suivant les IP que tu utilise, tu peux etre Localhost est non pas Internal dans ce cas la.
 
J ai moi meme fait pas mal de test avec VMware, ca gene pas. au contraire, il est pas duir de te fair des clients pour essayer.

Reply

Marsh Posté le 09-06-2006 à 14:12:23   

Reply

Marsh Posté le 09-06-2006 à 14:17:59    

Z_cool a écrit :

pour avoir suivie une formation sur ISA, je trouve pas que ca a encors grand chose a voir avec une Usine a gaz.


pour avoir egalement suivi une formation sur isa, je garantis que c'est une appli gourmande en ressources. c'est quand meme ce que l'on peut appeler un GROS machin. [:spamafoote]
je parle pas du tout de ses perfs ou des son efficacité (pour moi c'est le must je pense)

Reply

Marsh Posté le 09-06-2006 à 14:26:47    

Citation :

Outside est ... tout ce qui n'est pas IN  :D  


[:alex_]
Je viens de voir que l'on peut paramètrer soit les Outsides soit les Insides suivant les règles...  :lol:  
 
Pour les virtuels en fait c'est plus la machine hôte qui me limite dans le nombre surtout au niveau mémoire

Reply

Marsh Posté le 09-06-2006 à 15:24:15    

J'ai une nouvelle question  :)  
 
Après avoir bloquer Msn, j'ai voulu bloquer webmessenger mais je n'y arrive pas.
Pourtant j'ai bien crée une règle refusant l'accès http en provenance du réseau interne et de l'hôte local au site http://webmessenger.msn.com/.
J'ai essaye avec google pareil.
j'ai précisé l'@ de google et de webmessenger dans "les ensembles URL".
 
Pour info, j'ai une règle qui autorise le surf mais qui est placé après celle qui interdit l'accès aux 2 sites.
 
Il me semble pourtant bien avoir comme sur http://www.laboratoire-microsoft.o [...] 2004/4#st4 mais là je bloque...
 
Ah oui autre chose, pour les filtres d'application ou Web je ne peux rien configuré dedans à part les activer ou non.  
Est-ce normal?
 
Merci


Message édité par oupouli le 09-06-2006 à 15:26:26
Reply

Marsh Posté le 09-06-2006 à 16:26:27    

Bon en fait j'ai du mal le vendredi aprèm.
j'ai config le proxy et d'un coup ca a marché  :lol:  
 
Par contre, j'ai installé aussi le pare feu isa et j'ai config le proxy automatiquement avec l'option.
Mais j'ai l'impression que la configuration n'est prise en compte qu'après un redémarrage de Internet Explorer? ai-je juste?
 
désolé pour les questions cons mais je tatonne pas mal :)

Reply

Marsh Posté le 15-06-2006 à 18:20:13    

oupouli a écrit :

héhé oui c'est sûr qu'on est mieux servi par soi même.
D'ailleurs c'est ce que j'ai fais pour AD, mais bon si à la base il y a des règles qui permettent de ne pas se casser la tête et qu'elles ne marchent pas chez moi, j'aurai bien aimé savoir pourquoi  :)


 
 
Ah ça m'interesse ce détail car justement je n'arrive pas à joindre mon AD à partir d'iSA, pr par exemple faire des règles sur des users... ou est ce petit détail que j'ai omis ?
 

Reply

Marsh Posté le 15-06-2006 à 18:32:09    

Euh de mémoire, je n'ai plus l'Isa sous les yeux, j'avais mis les 3 Netbios, Kerberos UDP, LDAP, et RPC client et serveur.
En fait là j'avais mis tout ce qui m'avait semblé nécessaire pour l'inscription dans un domaine et l'authentification du user.

Reply

Marsh Posté le 26-08-2006 à 23:30:51    

bonne doc pour l'install d'ISA  :  
http://www.supinfo-projects.com/fr/2006/isa2004%5Ffr/
 
Moi j'aimerai savoir si ya moyen d'entrer dans la config d'ISA en interne par le reseau, quel est le niveau de sécurité de ce soft en interne ?

Reply

Marsh Posté le 07-12-2006 à 04:43:48    

question interressante mais tu ouvres une porte par là même !
 
tu peux activer le bureau à distance et ajouter une règle :
autoriser rdp de interne vers hote local pour tout le monde (ou admin)

Reply

Marsh Posté le 07-12-2006 à 09:06:46    

granta a écrit :

question interressante mais tu ouvres une porte par là même !

 

tu peux activer le bureau à distance et ajouter une règle :
autoriser rdp de interne vers hote local pour tout le monde (ou admin)

Ba oui, avec Remte desktop, c est le plus simple. il y a même une règle toute faite.

 

et si tu install ISA en remote, il ajoute tout seul dans ses règles l'IP de ton PC pour pouvoir y accéder apres le démarrage du Firewall

 


Message édité par Z_cool le 07-12-2006 à 09:07:26
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed