CISCO: Java pro správu CISCO ASA
Už jsem si potřeboval několikrát z webu stáhnout starší verzi Java a vždycky je problém ji někde najít, tak jsem si ji dal sem – Java JRE 6 update 7.
Proč byste to potřebovali? Máte řekněme firewall Cisco ASA (Adaptive Security Appliance). To je super špičková věc, jen tak pro info. V poslední době na tom ujíždím. No a ono se to dá spravovat pomocí GUI konzole zvané ASDM. Trošku problém je, že i nejnovější verze této konzoly vyžaduje přesně a jedině onu verzi Java. Pokud si dáte novější, nerozjede se to :) A vzhledem ke stáří této verze se to hoodně špatně hledá na webu :)
ISA a DNS suffix pro VPN klienty
Hurá. Konečně sem dostal oficiální vyjádření ke známému problému DNS suffixů pro ISA VPN klienty…
Přístup na SharePoint z internetu
Doufám, že vám poskytnu užitečný návod na zpřístupnění SharePoint portálu z internetu. V poslední době jsem už na tohle téma několikrát zasahoval, takže je to zřejmě zajímavé. Jedná se o to, jak zpřístupnit intranetový portál uživatelům z internetu. Tedy aniž by potřebovali vytáčet VPN apod. Ani s ISA Serverem to není žádná sranda. A je vždycky lepší tomu trošku rozumět :-)
Zpřístupnění SSTP přes ISA
Tak jsem ještě k jednom předchozímu článečku vyzkoušel zpřístupnit SSTP VPN server za pomoci firewallu ISA Server 2006 ...
ISA v kombinaci s HW VPN koncentrátorem
Existuje jistá specialita, která se občas vyskytuje. Jedná se o nasazení hw VPN řešení i přes to, že máte komfortní ISA 2006 VPN server, který umí ověřovat uživatele z domény.
Je to obvykle hw router od Cisco, něco jako PIX nebo ASA. Vzhledem k tomu, že firma má nasazenu Cisco VPN, nainstalovány klienty a všechno funkční, nechce přecházet na ISA server.
Důvod, proč se i přes to ISA Server nasazuje, je obvykle ověřování uživatelů na proxy (forward web proxy) při přístupu do internetu. ISA totiž umožňuje transparentně ověřit uživatele a řídit přístup na web podle uživatelských skupin.
Obvyklý design sítě pak vypadá nějak jako v následujícím obrázku:
Vnitřní firma jede třeba na adresách 10.10.x.x, VPN klienti dostávají off-subnet adresy typu 10.12.x.x. Mezi těmito dvěma sítěmi může být ještě třeba jedna veřejná mezisíť 143.11.32.x.
A tady je právě problém v konfiguraci ISA Serveru. Protože ISA má veřejnou adresu. Očekává se tedy zřejmě, že bude dělat NAT (Network Address Translation).
A tady právě nastupuje poměrně neznámá schopnost ISA Serveru 2006. ISA totiž umí NATovat jen částečně. Je to umožněno tím, že v Network Rules lze zadat třeba jen IP rozsah. A navíc, Network Rules jsou vždy vyhodnocována v přesném pořadí. Viz. obrázek:
Všechny pakety přicházejí na jedinou vnější síťovku. Ať už jsou z internetu, nebo z VPN klientů. V případě paketů z VPN klientů, druhé pravidlo je routuje do vnitřní sítě. V případě internetových přístupů, vztahuje se na ně až pravidlo třetí, tedy NAT.
ISA Server a * certifikáty
V poslední době se mě několik lidí ptalo, jak je to s wildcard certifikáty (certifikát s hvězdičkou) na ISA Serveru. Obecně si lidé myslí, že to není možné použít vůbec. To je omyl. Tady je moje přehledná (doufám) tabulka.
Pokud se v tabulce vyskytuje certifikát s hvězdičkou, jde v tom místě použít. Pokud je bez hvězdičky, wildcard certifikát použít nelze.
| Verze | Na Web Listeneru | Na publikovaném web serveru |
| ISA Server 2004 | *.gopas.cz | www.gopas.cz |
| ISA Server 2006 | *.gopas.cz | www.gopas.cz |
| ISA Server 2006 SP1 | *.gopas.cz | *.gopas.cz |
| Threat Management Gateway 2008 | *.gopas.cz | *.gopas.cz |
Z tabulky by mělo být jasně vidět, že na Web Listeneru (tedy na ISA Serveru) bylo možno hvězdičkový certifikát použít vždy. ISA jen nebyla ochotna publikovat web server, který by sám měl takový certifikát.
FTP jen pro čtení?
Tak to bych řekl, že je absolutně nejběžnější problém začátečníků s ISA serverem (libovolné verze ISA 2004, ISA 2006 i TMG 2008). Člověk si udělá pravidlo povolující FTP a ono to zakazuje zápis souborů na FTP. Ve výchozím stavu můžete jen číst (read/only). Jak to?
DCOM a vydávání certifikátů
Další běžný problém s ISA Serverem. Člověk má chuť si vyrobit certifikát pro počítač. Snažíte se na to použít konzoli certmgr.msc, ale nejde to. Pokud použijete webové rozhraní, je to v pohodě, ale přes konzoli ne a ne.
Běžné chyby web publishingu
ISA Server Web Publishing je hned druhá věc, kvůli které potřebujete ISA Server. Potřebujete zpřístupnit vnitřní web servery pro přístup z internetu. Je to třeba přístup na OWA, Outlook Anywhere (Outlook RPCoverHTTP), SharePoint a prostě libovolnou jinou webovou stránku. K tomu se používají web publishing pravidla, jak jistě víte…
ISA Firewall Client
Mám takový dojem, že mnoho lidí se snaží na stanice instalovat ISA Firewall Clienta. Ve skutečnosti jim to nic moc nepřinese. Spíš mnohdy jenom samé problémy. Řekněme si tedy, na co to vůbec je a na co to rozhodně není! Rovnou zdůrazním, že ani pro ICQ ani Skype ho nepotřebujete!
