[]
MS'in ISA Server'ından ve Proxy'lerden anlayanlara bir soru
Biraz uzun, başlıkta özetleyemedim...
Bir ISA server var ve kendisi bir HTTP proxy gibi davranıyor. Lokal ağdaki bilgisayarlar ise proxy olarak onu kullanıyor ve muhtemelen wpad denen zımbırtıyı kullanıyorlar, zira internete çıkabilen aplikasyonlar anca birkaç tane, onlar da sadece internet explorer'ın proxy ayarlarını aynen kullanabilen programlar. (Mesela firefox'ta autodetect proy settings zımbırtısı var). Ayrıca bu alet sadece port 80 (http) ve 443 (https) portlarından paket gönderip almaya izin veriyor. Benim anlamadığım, bu proxy 80 ve 443'ten http paketlerini çatır çatır geçirirken başka paketleri neden geçirmiyor (daha doğrusu authentication istiyor, bildiğiniz kullanıcı adı şifre girmemi istiyor yani)? Paket header'larını kontrol edip ona göre geçirdiğini tahmin ediyorum, bu ne kadar olası bir durumdur? Daha doğrusu şirketlerde ne kadar sıklıkla kullanılan bir yöntemdir?
Gelelim sorunun bundan sonraki ayağına: Eğer teorimi (Paket header'larına bakması) teyit ediyorsanız başka tipteki paketleri (SSH diyelim) http formuna sokup, 443 nolu porttan SSH server'a yollamak, onun bu paketi alıp dekode etmesi, gönderirken de aynı yöntemle enkode etmesi (yani http paketi formuna sokması) mümkün müdür? Daha da doğrusu, bunu hazır yapan bir linux tool'u veya konfigürasyonu var mıdır? (Tabi ki windows tarafında client için de çözüm gerekecek)
Bir ISA server var ve kendisi bir HTTP proxy gibi davranıyor. Lokal ağdaki bilgisayarlar ise proxy olarak onu kullanıyor ve muhtemelen wpad denen zımbırtıyı kullanıyorlar, zira internete çıkabilen aplikasyonlar anca birkaç tane, onlar da sadece internet explorer'ın proxy ayarlarını aynen kullanabilen programlar. (Mesela firefox'ta autodetect proy settings zımbırtısı var). Ayrıca bu alet sadece port 80 (http) ve 443 (https) portlarından paket gönderip almaya izin veriyor. Benim anlamadığım, bu proxy 80 ve 443'ten http paketlerini çatır çatır geçirirken başka paketleri neden geçirmiyor (daha doğrusu authentication istiyor, bildiğiniz kullanıcı adı şifre girmemi istiyor yani)? Paket header'larını kontrol edip ona göre geçirdiğini tahmin ediyorum, bu ne kadar olası bir durumdur? Daha doğrusu şirketlerde ne kadar sıklıkla kullanılan bir yöntemdir?
Gelelim sorunun bundan sonraki ayağına: Eğer teorimi (Paket header'larına bakması) teyit ediyorsanız başka tipteki paketleri (SSH diyelim) http formuna sokup, 443 nolu porttan SSH server'a yollamak, onun bu paketi alıp dekode etmesi, gönderirken de aynı yöntemle enkode etmesi (yani http paketi formuna sokması) mümkün müdür? Daha da doğrusu, bunu hazır yapan bir linux tool'u veya konfigürasyonu var mıdır? (Tabi ki windows tarafında client için de çözüm gerekecek)
ISA Server gerçekten de proxy server'dır.
Geçirebileceği paketler ve bunların kullanacağı portlar ISA server üzerinden ayarlanmıştır.
proxy tanımı yapılmamış programların ISA üzerinden internete çıkması için isa server'ın proxy client programının yüklenmesi gerekli. böylece proxy ayarı olmayan programlar da isa server üzerinden dışarıya erişebilirler.
yüklü olan ISA server'ın versiyonunu bilmiyorum ama paketi http olarak paketleyip izin verilen porttan gönderirseniz isa parametrelerine göre geçer ya da geçmez. bir garantisi yok.
Geçirebileceği paketler ve bunların kullanacağı portlar ISA server üzerinden ayarlanmıştır.
proxy tanımı yapılmamış programların ISA üzerinden internete çıkması için isa server'ın proxy client programının yüklenmesi gerekli. böylece proxy ayarı olmayan programlar da isa server üzerinden dışarıya erişebilirler.
yüklü olan ISA server'ın versiyonunu bilmiyorum ama paketi http olarak paketleyip izin verilen porttan gönderirseniz isa parametrelerine göre geçer ya da geçmez. bir garantisi yok.
- thebug
(15.12.11 14:25:39)
bu arada unutmadan: Proxy'nin IP'si ve kullandığı port belli, bu ikisini bir browser'a girince paşa paşa çalışıyor, HTTP değil başka bir protokol kullanan bir X programında
407 Proxy Authentication Required ( The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied. )
hatasını veriyor.
407 Proxy Authentication Required ( The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied. )
hatasını veriyor.
- samfisher (15.12.11 14:56:44)
(bkz: Content filtering)
technet.microsoft.com
bypass icin (bkz: tunneling)
hatta (bkz: ssh tunneling)
technet.microsoft.com
bypass icin (bkz: tunneling)
hatta (bkz: ssh tunneling)
- akiskan (15.12.11 17:25:20 ~ 17:30:08)
@akiskan tesekkurler, ssh tunneling'i biliyorum bircok kez de yaptim ama burada yemiyor, sorularim da bunu uzerine zaten.
- samfisher (15.12.11 17:31:52)
Bu durumda isa ile birlikte bir dlp çözümü devreye alınmış demektir. bu çözümler genelde networkdeki en uç noktaya konumlandırılıp tüm network trafiğini dinledikleri hatta mirrorladıkları için atlatması oldukça sofistike çözümler gerektirir. siz tam olarak nereye veya hangi serviseerişmeye çalışıyorsunuz ?
- akiskan (16.12.11 08:23:19)
disaridaki kendi sunucuma ssh ile erismeye calisiyorum (zaten ondan sonra tunnel acabilirim :))
- samfisher (17.12.11 14:23:39)
1
