ISA Server https http proxy url domain sets allow google

Челябинская область

Автор:Dmitriy Altuhov

ISA Server https http proxy url domain sets allow google

Имеем сервер/шлюз с установленным ISA Server (2006).

Базовая настройка выполнена.
Предположим, что доступ к сайтам (HTTP и HTTPS) полностью закрыт.

Требуется открыть всем пользователям доступ к сервисам Google.

Что мы делаем?

  1. Создаём  Domain Name Set «Google» куда прописываем *google.com *google.ru и прочие сайты Google
  2. Создаём разрешающее правило Allow HTTP/HTTPS from Localhost/Internal to Domain Name Set «Google»
  3. Открываем браузер, пробуем зайти на google.ru
  4. Не работает?
  5. Добавляем в наш domain name set «Google» ещё один domain для проверки, например, *mail.ru (без точки межу * и mail.ru!)
  6. Заходим на https://mail.ru
  7. Работает!?

Объясняю почему так:

  1. С HTTP всё понятно, трафик не шифрованный и ISA Server может «заглянуть внутрь» пакета и увидеть на какой domain name мы «лезем»
  2. HTTPS трафик шифрованный и ISA Server не может посмотреть domain name. Для ISA Server будет только подключение на уже конкретный IP. (Потому что браузер «зарезолвил» mail.ru и уже лезет по IP)
    mail.ru
    Addresses: 217.69.139.201
    94.100.180.199
    217.69.139.199
    94.100.180.201
  3. ISA Server не долго думая делает PTR-запрос к DNS серверу.
    Предположим, что браузер лезет на mail.ru по IP 217.69.139.201.
    Тогда ISA Server делает PTR-запрос 201.139.69.217.in-addr.arpa и получает ответ
    201.139.69.217.in-addr.arpa     name = ko.mail.ru
  4. Далее ISA Server сравнивает полученный ko.mail.ru с нашим Domain Name Set и видит, что ko.mail.ru подходит под правило *mail.ru.
    Если бы мы указали в Domain Name Set вместо *mail.ru www.mail.ru, то ничего бы не работало.
  5. А теперь пробуем все предыдущие шаги для google.ru

Что делать?

  1. Использовать встроенный в ISA Server proxy server. Но нужно указывать в каждом браузере каждого пользователя адрес/порт прокси. Легче, если есть WPAD.
    Это позволит ISA Server видеть domain name
  2. Разрешить весь https-трафик
  3. Разрешать https трафик до определённых IP нужных сайтов (в случае с google проще разрешить весь https)
Comments Are Closed!!!