MS ISA 2004/2006 & Forefront TMG - черные списки и их авто-обновление (Защита корп. сети - Вар. 1)

Если в конторе есть Интернет, то пользователи обязательно ходят не в те Интернеты, где полезно и безопасно, а в те, где можно найти много болезненного и вредоносного, и как правило - на голову системному администратора падает гора зараженных изысканными безобразиями компьютеров.

Если используется продукция MS, а точнее Internet Security and Acceleration Server или же последнюю версию Forefront Threat Management Gateway, в простонародье "прокси", то тот, кто их видел - знает, там есть возможность создавать черные списки. Но, как это можно делать? Есть пара способов, Вы мониторите логи, или используете что-то вроде Bandwidth Splitter, и найдя ссылку на "нехороший" сайт - добавляете ее вручную в ЧС. Способ № 2 - найти готовые ЧС и приладить их к серверу. Но тут встает проблема, есть ЧС для MS серверов, и даже спец софт, но они как и все продукты MS хотят денег, либо за подписку, либо за сам софт (к примеру GFI WebMonitor).
Можно, конечно раскрутить руководство на покупку, а можно пойти более простыми путями.
  1. Путь для гуру - поставить между MS ISA и Интернетом еще один шлюз на базе *nix системы и настроить на нем фильтрацию по ЧС, например Shalla Secure Services.
  2. Освоить скрипты и переделать их под себя, используя все те же ЧС с Shalla Secure Services.

Для автоматизации нам понадобиться утилитка wget для windows, с помощью которой будем скачивать ЧС.

Так же, понадобится архиватор, будь то RAR или 7Z, главное, чтобы он умел из командной строки распаковать tar.gz файл.

И так, пример батч файла:

echo off
title DOWNLOAD & RUN BLACK LISTS
color 0e
cls echo.

rem # удаляем старые ЧС
echo. ### CLEAR OLD
del /F /Q *.gz
rmdir /S /Q BL

rem # скачиваем новые ЧС
echo. ### LOAD
wget --cache=off http://www.shallalist.de/Downloads/shallalist.tar.gz
title APPLY BLACK LISTS

rem # распаковываем
echo. ### UNPACK
"C:\Program Files\WinRAR\winrar.exe" x -cl -o+ -y shallalist.tar.gz

rem # внедряем в сервер
echo.
echo. ### INJECT IN ISA
echo.
cscript //Nologo ISA_Fill_URL_Set.vbs HACKING "C:\=ABL=\BL\hacking\domains" /appendstar /prependstar
rem echo.
rem cscript //Nologo ISA_Fill_URL_Set.vbs REDIRECTOR "C:\=ABL=\BL\redirector\domains" /appendstar /prependstar
echo.
cscript //Nologo ISA_Fill_URL_Set.vbs SPYWARE "C:\=ABL=\BL\spyware\domains" /appendstar /prependstar

rem # собственно все
echo.
echo. ### DONE INJECTING
echo.
echo Wscript.echo " 10 sec. Pause" > sleep.vbs
echo Wscript.Sleep 10000 >> sleep.vbs
CScript.exe //Nologo sleep.vbs
del /F /Q sleep.vbs

Здесь все достаточно просто, в комментариях все видно, главное - это использование скрипта ISA_Fill_URL_Set.vbs, взять который можно на сайте www.ISAscripts.org.  Нужно упомянуть еще один момент: HACKING, REDIRECTOR, SPYWARE - это URL Set листы в самом ISA сервере, которые желательно создать до начала работы скрипта, хотя последний и умеет их самостоятельно создавать.



Comments