[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Gennaio 2006 ml@sikurezza.org Soggetto: [ml] Squid, ISA Server ed Active Directory Mittente: Luca Messori Data: Fri, 13 Jan 2006 18:03:19 +0100 (CET)
Di recente ho installato da un cliente un proxy per la navigazione autenticata, autorizzata, filtatta, ... in pratica Squid + SquidGuard + HAVP. La parte di autenticazione è fatta tramite ntlm_auth di Samba che va ad interrogare l'Active Directore sul controller di dominio (un Windows 2003 Server). L'architettura della rete è la seguente: --> ROUTER <--> LINUX <--> WIN2003 <--> LOCA_LNET LINUX è un host con due schede di rete bridged che esegue varie funzioni di filtraggio del traffico ed antivirus, aggiunta alla precedente architettura di rete con il preciso obiettivo/requisito di essere eliminabile all'occorrenza senza traumi (in effetti basta cambiare il cavo collegato al ROUTER). Il mio progetto era di mettere tutto il "sistema di navigazine" su LINUX. In realtà per ora ho dovuto desistere ed inserire un secondo squid nella rete interna per fare le operazioni di autenticazione. Ciò che non sono riuscito a fare stando nella rete esterna è il "net join" per inserire LINUX nel Active Directory. Benché abbia più volte controllato le rule del firewall di ISA server e non abbia scoperto nulla che dovrebbe filtrarmi i pacchetti che mi interessano, nei log di ISA continnuano a comparire dei pacchetti rigettati. Preso da sconforto ho anche inserito momentaneamente un regola per consentire tutto il traffico tra LINUX e WIN2003, ma il risultato non è cambiato. I pacchetti a cui mi riferisco (spero di non ricordare male) sono dei broadcast UDP sulla sottorete pubblica del cliente (un set di 8 IP) alla porta 138 (e forse 139). Qualcuno sa darmi qualche spiegazione/suggerimento/incoraggiamento su questo comportamento di ISA Server o Windows2003 o boh? Per ora posso solo presumere che se si mette ISA allora essendo firewall e dovendo difendere la rete interna si rifiuta di far entrare nel dominio host che stanno nella "sua" rete esterna. Vi chiedo di lasciar perdere i fattori inerenti la sicurezza, cui penserò se riesco a far entrare il mio LINUX nel Dominio. Saluti a tutta lista, Luca Messori
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005