Discussione:
DNS
(troppo vecchio per rispondere)
JJ
2008-03-28 07:12:00 UTC
Permalink
Salve
ho una rete con 2 dc windows 2003 sp2 e un isa server 2004 sp3.
Da un certo momento in avanti ho avuto alcuni DoS sui dc e per pervedre se
veramente mi bucavano visto che i server dc non erano completamente
aggiornati li ho tolti da isa server disinstallando il client isa.
Infatti non ho più avuto DoS.
Ora il problema si pone perchè gli utenti che si collagano alla rete
aziendale in VPN tramite isa anche se si autenticano perfettamente non
riescono a risolvere il nome degli altri files server.
Ho provato a mettere nel file hosts dei vari client che accedono alla rete
gli ip dei server con il loro nome netbios ma non sempre funziona.
Esiste un modo per far passare il dns hai client senza che i dc siano messi
sotto isa server?
Grazie
Edoardo Benussi [MVP]
2008-03-28 11:52:31 UTC
Permalink
Post by JJ
Salve
ho una rete con 2 dc windows 2003 sp2 e un isa server 2004 sp3.
Da un certo momento in avanti ho avuto alcuni DoS sui dc e per
pervedre se veramente mi bucavano visto che i server dc non erano
completamente aggiornati li ho tolti da isa server disinstallando il
client isa.
Infatti non ho più avuto DoS.
vuoi dire che attacchi denial of service
attraversavano il tuo isa e giungevano sino
ai tuoi DC ?
Post by JJ
Ora il problema si pone perchè gli utenti che si collagano alla rete
aziendale in VPN tramite isa anche se si autenticano perfettamente non
riescono a risolvere il nome degli altri files server.
Ho provato a mettere nel file hosts dei vari client che accedono alla
rete gli ip dei server con il loro nome netbios ma non sempre
funziona.
Esiste un modo per far passare il dns hai client senza che i dc siano
messi sotto isa server?
ti spiace spiegare meglio la tua rete ?
tu pubblicavi i tuoi dns di dominio sulla scheda esterna di isa ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
JJ
2008-03-28 12:52:00 UTC
Permalink
Si ha me a dato questa impressione nel senso che tutte le mattine arrivavo in
ufficio e i client non si autenticavano più in rete, i server non si vedevano
più tra di loro e quindi dovevo riavviare i dc per far funzionare la rete.
Togliendo i dc da isa e quindi facendoli uscire in internet attraverso un
altro gateway e disinstallando il client isa non ho più avuto problemi
Gli attacchi avvengo ancora oggi su isa (come scanport) da questo ip
96.6.128.167
Su isa ho creato una regola che permette il traffico del protocollo DNS dai
due DC a External e verso il verso il server isa
Sui DNS dei 2 server faccio un forword verso l'ip gateway di isa che è sulla
scheda lan
Quindi se nei 2 dc non metto come gatawey l'indirizzo ip della scheda lan di
isa, chi si collega in vpn si autentica ma non risolve i nomi della rete e
quindi non sfoglia la rete
Grazie
Post by Edoardo Benussi [MVP]
Post by JJ
Salve
ho una rete con 2 dc windows 2003 sp2 e un isa server 2004 sp3.
Da un certo momento in avanti ho avuto alcuni DoS sui dc e per
pervedre se veramente mi bucavano visto che i server dc non erano
completamente aggiornati li ho tolti da isa server disinstallando il
client isa.
Infatti non ho più avuto DoS.
vuoi dire che attacchi denial of service
attraversavano il tuo isa e giungevano sino
ai tuoi DC ?
Post by JJ
Ora il problema si pone perchè gli utenti che si collagano alla rete
aziendale in VPN tramite isa anche se si autenticano perfettamente non
riescono a risolvere il nome degli altri files server.
Ho provato a mettere nel file hosts dei vari client che accedono alla
rete gli ip dei server con il loro nome netbios ma non sempre
funziona.
Esiste un modo per far passare il dns hai client senza che i dc siano
messi sotto isa server?
ti spiace spiegare meglio la tua rete ?
tu pubblicavi i tuoi dns di dominio sulla scheda esterna di isa ?
--
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Edoardo Benussi [MVP]
2008-03-28 13:52:42 UTC
Permalink
Post by JJ
Si ha me a dato questa impressione nel senso che tutte le mattine
arrivavo in ufficio e i client non si autenticavano più in rete, i
server non si vedevano più tra di loro e quindi dovevo riavviare i dc
per far funzionare la rete.
questo non è sufficiente per dire che
i DC erano sotto attacco DoS
Post by JJ
Togliendo i dc da isa
"togliendoli" che vuol dire ?
Post by JJ
e quindi facendoli
uscire in internet attraverso un altro gateway e disinstallando il
client isa non ho più avuto problemi
ripeto che se isa è ben configurato
non passa niente e per quanto riguarda
i dns di dominio, non c'è alcun motivo
di renderli raggiungibili da internet.
Post by JJ
Gli attacchi avvengo ancora oggi su isa (come scanport) da questo ip
96.6.128.167
uno scanport non è un attacco,
è solo un'azione preliminare
e l'ip in questione può essere blacklistato
Post by JJ
Su isa ho creato una regola che permette il traffico del protocollo
DNS dai due DC a External e verso il verso il server isa
per quale scopo ?
Post by JJ
Sui DNS dei 2 server faccio un forword verso l'ip gateway di isa che
è sulla scheda lan
per quale scopo ?
Post by JJ
Quindi se nei 2 dc non metto come gatawey l'indirizzo ip della scheda
lan di isa, chi si collega in vpn si autentica ma non risolve i nomi
della rete e quindi non sfoglia la rete
è giusto che tu metta sui dc come gateway
l'ip della scheda interna di isa visto che usi securenat
ma non per il motivo che adduci tu.
i due dc dovranno pur aggiornarsi, no ?
e se non hai un wsus interno come fanno ad andare
in internet ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
JJ
2008-03-28 14:19:01 UTC
Permalink
Togliere i 2 DC da isa vuol dire che tolgo il client isa e come gateway gli
metto quello di un altro firewall che uso per fare una vpn con un altra sede
e per aggiornarli lacioa manualmente il microsoft update
Come mi spieghi che mi cadeva la rete e dovevo riavviarli al mattino e
questo non è più successo da quando non li faccio più passare da isa per
uscire in internet?
La regola del DNS su isa non l'ho creata io ma i consulenti che me lo hanno
installato (certificati microsoft)
anche il fatto che nel DNS dei 2 DC faccio un forword verso l'ip gateway di
isa che è sulla scheda lan l'hanno fatto i consulenti
quindi (non per essere polemico) se chi è certificato da microsoft installa
i software non in maniera corretta io cosa posso farci?
Mi mandi un link a qualche articolo microsoft per poter bloccare o mettere
in blacklist quell'ip che ti ho segnalato?
Mi puoi gentilmente spiegare come posso risolvere il problema degli utenti
che si collegano in vpn alla rete aziendale per permettergli di sfogliare la
rete aziendale?
perchè come ti ho detto se nel dc non metto come gatawey l'indirizzo ip
della scheda lan di isa, chi si collega in vpn si autentica ma non risolve i
nomi interni?
Grazie mille
Post by Edoardo Benussi [MVP]
Post by JJ
Si ha me a dato questa impressione nel senso che tutte le mattine
arrivavo in ufficio e i client non si autenticavano più in rete, i
server non si vedevano più tra di loro e quindi dovevo riavviare i dc
per far funzionare la rete.
questo non è sufficiente per dire che
i DC erano sotto attacco DoS
Post by JJ
Togliendo i dc da isa
"togliendoli" che vuol dire ?
Post by JJ
e quindi facendoli
uscire in internet attraverso un altro gateway e disinstallando il
client isa non ho più avuto problemi
ripeto che se isa è ben configurato
non passa niente e per quanto riguarda
i dns di dominio, non c'è alcun motivo
di renderli raggiungibili da internet.
Post by JJ
Gli attacchi avvengo ancora oggi su isa (come scanport) da questo ip
96.6.128.167
uno scanport non è un attacco,
è solo un'azione preliminare
e l'ip in questione può essere blacklistato
Post by JJ
Su isa ho creato una regola che permette il traffico del protocollo
DNS dai due DC a External e verso il verso il server isa
per quale scopo ?
Post by JJ
Sui DNS dei 2 server faccio un forword verso l'ip gateway di isa che
è sulla scheda lan
per quale scopo ?
Post by JJ
Quindi se nei 2 dc non metto come gatawey l'indirizzo ip della scheda
lan di isa, chi si collega in vpn si autentica ma non risolve i nomi
della rete e quindi non sfoglia la rete
è giusto che tu metta sui dc come gateway
l'ip della scheda interna di isa visto che usi securenat
ma non per il motivo che adduci tu.
i due dc dovranno pur aggiornarsi, no ?
e se non hai un wsus interno come fanno ad andare
in internet ?
--
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Edoardo Benussi [MVP]
2008-03-28 15:18:24 UTC
Permalink
Post by JJ
Togliere i 2 DC da isa vuol dire che tolgo il client isa e come
gateway gli metto quello di un altro firewall che uso per fare una
vpn con un altra sede e per aggiornarli lacioa manualmente il
microsoft update
ma cosa c'entra come esegui gli aggiornamenti ?
anche se tu lanci manualmente il microsoft update
viene sempre utilizzato come protocollo l'http
e l'https quindi passi per il proxy, se ce n'è uno, in tutti i casi.
Post by JJ
Come mi spieghi che mi cadeva la rete e dovevo riavviarli al mattino e
questo non è più successo da quando non li faccio più passare da isa
per uscire in internet?
ripeto che l'affermazione fatta così
senza alcun approfondimento di analisi
lascia il tempo che trova.
i motivi potrebbero essercene anche più di mille.
Post by JJ
La regola del DNS su isa non l'ho creata io ma i consulenti che me lo
hanno installato (certificati microsoft)
anche il fatto di essere certificati Microsoft
non è assolutamente una garanzia di buon risultato.
Post by JJ
anche il fatto che nel DNS dei 2 DC faccio un forword verso l'ip
gateway di isa che è sulla scheda lan l'hanno fatto i consulenti
quindi (non per essere polemico) se chi è certificato da microsoft
installa i software non in maniera corretta io cosa posso farci?
non puoi farci niente tu e non posso farci niente io.
senza essere polemici quello che possiamo fare
è di tentare di capire perchè ti avevano configurato così l'ambiente
e vedere se si può sistemare il tutto.
Post by JJ
Mi mandi un link a qualche articolo microsoft per poter bloccare o
mettere in blacklist quell'ip che ti ho segnalato?
Mi puoi gentilmente spiegare come posso risolvere il problema degli
utenti che si collegano in vpn alla rete aziendale per permettergli
di sfogliare la rete aziendale?
perchè come ti ho detto se nel dc non metto come gatawey l'indirizzo
ip della scheda lan di isa, chi si collega in vpn si autentica ma non
risolve i nomi interni?
cerchiamo di mettere qualche punto fermo
in questa discussione.

1) isa supporta tre tipi di clients
- securenat
- web proxy
- firewall
come puoi leggere in questo tutorial
http://www.isaserver.org/tutorials/ISA_Clients__Part_1__General_ISA_Server_Configuration.html

2) mentre il web proxy viene utilizzato solo per i protocolli
http, https e ftp; tutti gli altri protocolli passano mediante
securenat o firewall a seconda della configurazione del tuo isa.

3) in particolare il securenat viene utilizzato quando
non te ne frega niente di identificare che fa il traffico
attraverso isa mentre se vuoi identificare chi fa il traffico
e quindi vuoi che si autentichi devi usare il firewall
ed installare il firewall client.

nel tuo caso hai tolto ai due dc la possibilità di far transitare
qualunque protocollo (ad esclusione di http, https e ftp)
attraverso isa perchè hai rimosso il firewall client ma questo
significa che hai impedito il transito di qualsiasi protocollo
e non solo quello di risoluzione dei nomi dns sulla porta 53.
il fatto che i dc non fossero in grado di autenticare gli utenti
al mattino poteva anche non essere dovuto ai dns ma
all'impallamento di qualche altro servizio, ad esempio l'rpc.

stabilito questo
hai detto che hai messo ora come gateway
sui dc l'indirizzo ip della scheda interna dell'isa server
e questo è corretto perchè se non hanno il firewall client
installato i dc possono uscire in internet con gli altri protocolli
sfruttando appunto il securenat.
mettere come gateway sui dc l'ip di isa
serve sia a passare la risoluzione dei dns interni ai clients
vpn ma anche a svolgere una marea di altre operazioni
su altri protocolli come ad esempio ottenere l'ora
da un server ntp su internet, ottenere la risoluzione di
nomi internet mediante i forwarders impostati nel dns server,
aggiornare ledefinizioni degli antivirus se questo non
avviene mediante http, ecc.ecc.

per creare la blacklist vedi questo documento
http://www.windowserver.it/Articoli/Soluzioni/ManagementSecurity/IsaServer/ImplementareunaBlackList/tabid/107/Default.aspx

se poi ti manca qualche informazione chiedi pure
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
JJ
2008-03-28 15:42:02 UTC
Permalink
Sei stato gentilissimo
per ora ve be così ti ringrazio sono poche le persone disponibili ad aiutarti
Grazie e buon week
Post by Edoardo Benussi [MVP]
Post by JJ
Togliere i 2 DC da isa vuol dire che tolgo il client isa e come
gateway gli metto quello di un altro firewall che uso per fare una
vpn con un altra sede e per aggiornarli lacioa manualmente il
microsoft update
ma cosa c'entra come esegui gli aggiornamenti ?
anche se tu lanci manualmente il microsoft update
viene sempre utilizzato come protocollo l'http
e l'https quindi passi per il proxy, se ce n'è uno, in tutti i casi.
Post by JJ
Come mi spieghi che mi cadeva la rete e dovevo riavviarli al mattino e
questo non è più successo da quando non li faccio più passare da isa
per uscire in internet?
ripeto che l'affermazione fatta così
senza alcun approfondimento di analisi
lascia il tempo che trova.
i motivi potrebbero essercene anche più di mille.
Post by JJ
La regola del DNS su isa non l'ho creata io ma i consulenti che me lo
hanno installato (certificati microsoft)
anche il fatto di essere certificati Microsoft
non è assolutamente una garanzia di buon risultato.
Post by JJ
anche il fatto che nel DNS dei 2 DC faccio un forword verso l'ip
gateway di isa che è sulla scheda lan l'hanno fatto i consulenti
quindi (non per essere polemico) se chi è certificato da microsoft
installa i software non in maniera corretta io cosa posso farci?
non puoi farci niente tu e non posso farci niente io.
senza essere polemici quello che possiamo fare
è di tentare di capire perchè ti avevano configurato così l'ambiente
e vedere se si può sistemare il tutto.
Post by JJ
Mi mandi un link a qualche articolo microsoft per poter bloccare o
mettere in blacklist quell'ip che ti ho segnalato?
Mi puoi gentilmente spiegare come posso risolvere il problema degli
utenti che si collegano in vpn alla rete aziendale per permettergli
di sfogliare la rete aziendale?
perchè come ti ho detto se nel dc non metto come gatawey l'indirizzo
ip della scheda lan di isa, chi si collega in vpn si autentica ma non
risolve i nomi interni?
cerchiamo di mettere qualche punto fermo
in questa discussione.
1) isa supporta tre tipi di clients
- securenat
- web proxy
- firewall
come puoi leggere in questo tutorial
http://www.isaserver.org/tutorials/ISA_Clients__Part_1__General_ISA_Server_Configuration.html
2) mentre il web proxy viene utilizzato solo per i protocolli
http, https e ftp; tutti gli altri protocolli passano mediante
securenat o firewall a seconda della configurazione del tuo isa.
3) in particolare il securenat viene utilizzato quando
non te ne frega niente di identificare che fa il traffico
attraverso isa mentre se vuoi identificare chi fa il traffico
e quindi vuoi che si autentichi devi usare il firewall
ed installare il firewall client.
nel tuo caso hai tolto ai due dc la possibilità di far transitare
qualunque protocollo (ad esclusione di http, https e ftp)
attraverso isa perchè hai rimosso il firewall client ma questo
significa che hai impedito il transito di qualsiasi protocollo
e non solo quello di risoluzione dei nomi dns sulla porta 53.
il fatto che i dc non fossero in grado di autenticare gli utenti
al mattino poteva anche non essere dovuto ai dns ma
all'impallamento di qualche altro servizio, ad esempio l'rpc.
stabilito questo
hai detto che hai messo ora come gateway
sui dc l'indirizzo ip della scheda interna dell'isa server
e questo è corretto perchè se non hanno il firewall client
installato i dc possono uscire in internet con gli altri protocolli
sfruttando appunto il securenat.
mettere come gateway sui dc l'ip di isa
serve sia a passare la risoluzione dei dns interni ai clients
vpn ma anche a svolgere una marea di altre operazioni
su altri protocolli come ad esempio ottenere l'ora
da un server ntp su internet, ottenere la risoluzione di
nomi internet mediante i forwarders impostati nel dns server,
aggiornare ledefinizioni degli antivirus se questo non
avviene mediante http, ecc.ecc.
per creare la blacklist vedi questo documento
http://www.windowserver.it/Articoli/Soluzioni/ManagementSecurity/IsaServer/ImplementareunaBlackList/tabid/107/Default.aspx
se poi ti manca qualche informazione chiedi pure
ciao.
--
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Edoardo Benussi [MVP]
2008-03-28 16:14:31 UTC
Permalink
Post by JJ
Sei stato gentilissimo
per ora ve be così ti ringrazio sono poche le persone disponibili ad
aiutarti Grazie e buon week
buon w.e. anche a te, ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
ObiWan [MVP]
2008-03-28 16:26:30 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by JJ
96.6.128.167
uno scanport non è un attacco,
è solo un'azione preliminare
e l'ip in questione può essere blacklistato
96.6.128.167 = a96-6-128-167.deploy.akamaitechnologies.com

che è ... un attacco da parte di windows update :D ??

Continua a leggere su narkive:
Loading...