У меня есть сеть из примерно 60 пользователей, которые имеют доступ в Интернет через ISA Server 2004 и аппаратный брандмауэр. Естественно, я всегда блокировал анонимные запросы к внешнему миру.
Мы устанавливаем новое программное обеспечение, которое должно искать данные с определенного веб-сайта, и единственный способ, которым оно будет работать, - это разрешить анонимные запросы через брандмауэр.
Я сильно рискую или в прошлом был слишком осторожен?
Да, это риск. Злоумышленник может использовать ваше соединение для рассылки спама, этого можно избежать, заблокировав исходящий TCP 25 (smtp) и TCP 465 (smtps). Пару лет назад черви (например, бластеры) часто сканировали порт tcp 445 и распространялись, используя одну из многих уязвимостей в Windows dcom / rpc. Это может привести к тому, что против вас будет подан приказ о прекращении действия договора (C&D). В другом случае злонамеренный хакер может использовать ваше соединение для безопасного проведения атак. Или другой сценарий - злонамеренный хакер может целенаправленно сканировать диапазоны IP-адресов, принадлежащие Министерству обороны, что приведет к отключению вашего интернет-соединения в течение нескольких дней, что является неприятной атакой отказа в обслуживании.
Похоже, вы используете функцию аутентификации веб-прокси ISA для аутентификации доступа пользователей к веб-сайтам. Теперь у вас есть программа, которая не может обрабатывать прокси-аутентификацию, и поэтому вы вынуждены выйти из строя и разрешить анонимный доступ к сайту, к которому программа, не поддерживающая прокси, хочет получить доступ.
На мой взгляд, открытие анонимного HTTP-доступа к одному сайту при условии, что этот сайт не имеет никаких «прокси» или «прокси-подобных» функций (например, Google Translate, кеш Google и т. Д.), Вероятно, не очень большое дело.
Если программное обеспечение действительно работает на ваших клиентских компьютерах, и вы настроены на индивидуальную аутентификацию, вы можете рассмотреть возможность развертывания клиента межсетевого экрана Microsoft на своих клиентских компьютерах. Клиент межсетевого экрана встроен в Windows Sockets API (что является довольно хитрым приемом) и позволяет индивидуально выполнять авторизацию и аудит TCP-соединений через ISA-сервер с клиентских компьютеров. Поскольку вся проверка подлинности происходит на уровне сокетов, проверка подлинности HTTP-прокси не выполняется.