Blacklisten für ISA2006 generieren und importieren

manuel-r
Goto Top

Ich hab im Internet gesucht und wie so oft beim Thema ISA mehr oder weniger nichts gefunden. Also hab ich mich schnell hingesetzt und selbst gescriptet.

Um was geht es?
Der ISA ist unter anderem ein Proxy für das Firmennetzwerk und kann als solcher natürlich auch Webseiten anhand von Black-/Whitelisten filtern. Schade, um nicht zu sagen blöd, ist nur, dass es keine (oder nur sehr eingeschränkte) Downloadquellen gibt bei denen man sich mit fertigen Blacklisten versorgen kann. Und wenn man mal was findet, dann kann man drauf wetten, dass es Plaintext ist. Damit kann der ISA aber nicht umgehen face-sad

Was brauchen wir?
Zuerst brauchen wir mal die Blacklisten von blacklist.com. Die sind sehr schön strukturiert, was sehr nützlich ist, wenn man nicht auf alles und jedes sondern nur bestimmte Themen filtern will. Außerdem brauchen wir in einem beliebigen Verzeichnis eine Ordnerstruktur die wie folgt aussieht
  • <irgeneinpfad>\ISA-Blacklist\templates
  • <irgeneinpfad>\ISA-Blacklist\bigblacklist

bcb2cf20e21b67caf0a18c821b6393d9

Während dem Download widmen wir uns dem ISA.
Wie schon angesprochen kann der leider nicht einfach Plaintext einlesen und verarbeiten sondern hätte gerne XML-Files. Und damit es nicht zu einfach wir will er auch noch ganz bestimmte ClassIDs da drin sehen. Wenn die nicht da sind weigert er sich zu importieren.
Also legen wir für jedes zu filternde Thema erstmal unter Domänennamensätze eine Liste an. Dabei geben wir uns keine große Mühe, weil wir die gleich exportieren und nur noch als Template für die zukünftig per Script erstellten Blacklist brauchen.

Also
  • rechte Maustaste auf Domänennamensätze und Neuer Domänennamensatz.../ anklicken
  • als Name die Kategoriebezeichnung aus den heruntergeladenen Blacklisten verwenden (bspw. porn, adult, drugs,...). Das ist wichtig, weil das Script später diese Namen benötigt
  • Domänennamen und Beschreibung geben wir keine ein.
  • Mit O k speichern
  • rechte Maustaste auf den gerade erzeugen Namenssatz und Auswahl exportieren.. . auswählen. Wenn nach dem Dateinamen gefragt wird geben wir widerum das Kürzel für die entsprechende Blacklist (porn, adult, drugs,...) ein
  • die einzelnen Schritte für jede gewünschte Blacklist wiederholen

b32ea8cc063acd451c1f0084dcbf77bc

Als Ergebnis haben wir dann irgendwann viele XML-Dateien, die in etwa so aussehen
Diese Dateien dienen nachher als Templates für die automatische Erstellung der Blacklists und müssen unter
\templates \ abgelegt werden.

Zwischenzeitlich sollte der Download der Blacklisten abgeschlossen sein. Wir entpacken die Datei in
\bigblacklist \ und zwar so, dass darin ein Ordner namens blacklist s vorhanden ist und unterhalb dessen die einzelnen Listen.

Jetzt kommen wir zu meinem Script, dass die einzelnen Listen erzeugt:

Das speichern wir unter beliebigem Namen im Verzeichnis
ISA-Blacklis t also bspw. blacklist-erzeugen.vb s.
Das war an Vorarbeit vorerst alles. Wir können zur Tat schreiten und machen einen beherzten Doppelklick auf die Scriptdatei. Nach kurzer Zeit sollte ein Eingabefenster erscheinen in dem wir die zu erstellende Blacklist eingeben sollen; also bspw. einfach nur
ad s.

5aae6256441100b38b5e5094e84f66d4

Je nach Rechenleistung unseres PCs/Servers können wir uns jetzt getrost zurücklehnen und den einen oder anderen Kaffee trinken. Für die adult-Liste braucht mein PC etwa 250 Sekunden; einer meiner DCs ist in knapp 15 Sekunden fertig.

d33ed62f2a7a503bdbc5290fff7d45fa

Im Ergebniss erhalten wir im Verzeichnis des aktuellen Datums unterhalb von
\ISA-Blacklist \ eine XML-Datei die etwa so aussieht
Diese Datei importieren wir jetzt in den ISA in dem wir unter
Dömennamensätz e rechts klicken und Alle importieren// auswählen. Danach will der ISA die Quelle wissen. An der Stelle geben wir die gerade eben erzeugte Datei an. Der ISA überprüft die Datei und sollte sie ohne zu meckern importieren.

279a91b325fbe795692504780e2b15d5

Danach öffnen wir den gerade importieren Namensatz mit Doppelklick. Wenn alles funktioniert hat sehen wir dort jetzt alle Domänen der Filterliste.
Das wiederholen wir für alle gewünschten Blacklists.

e7c35ec243a046e99df95d0243276fcc

Ganz zum Schluss nicht vergessen den ISA die neue Konfiguration übernehmen zu lassen. Je nach Rechenleistung des Servers trinken wir in dem Moment den Rest der Kanne Kaffee von vorhin. Auf meinem ISA (virtuell, 2 CPUs, 2 GB RAM) gehen da mehrere Minuten ins Land.

Natürlich müssen wir die Blacklisten auch noch an Firewallregeln binden. Wie das geht setze ich aber einfach mal als bekannt voraus.

Manuel

PS:
Wenn jetzt noch jemand eine Idee hat, wie man den ISA (vielleicht per Script) dazu bekommt regelmäßig und automatisch aktuelle Blacklisten zu importieren schreibe ich dass Script glatt auf komplette automatische Erstellung für geplanten Task um. Dann wäre das eine prima Fire&Forget-Lösung. Bisher hab ich dafür aber noch keine Lösung gefunden.

Content-Key: 148624

Url: https://administrator.de/contentid/148624

Ausgedruckt am: 04.07.2022 um 15:07 Uhr

Mitglied: Pjordorf
Pjordorf 09.08.2010 um 14:07:34 Uhr
Goto Top
Hallo Manuel,

Klasse Beitrag. das hilft schon ungemein viel.

Peter
Mitglied: nEmEsIs
nEmEsIs 10.08.2010 um 18:16:23 Uhr
Goto Top
Hi

Also ich verwende schon des längerem diese Anleitung für den ISA 2006.

http://www.thiele.ch/index.php/blacklists-for-isa-2006

MFG Nemesis
Mitglied: manuel-r
manuel-r 11.08.2010 um 08:43:49 Uhr
Goto Top
Das Script kenne ich auch. Was mich persönlich daran gestört hat ist die Tatsache, dass nur eine riesengroße Blacklist erzeugt wird. Ich wollte es aber gerne in getrennte Listen verpacken, damit ich die Regeln granularer gestalten kann.

Bei uns ist es bspw. so, dass in der Pause privates Surfen erlaubt ist. Demzufolge ist es also sinnvoll etwa die Filterung von shopping, vacation, audio-video und socialnetworking in der entsprechenden Zeit abzuschalten. Gleichzeitig sollen bspw. porn und adult weiterhin gefiltert werden. Außderm gelten für Azubis andere Regeln als für "normale" Benutzer und die Geschäftsleitung hat nochmal andere Regeln. Denen kann ich ja etwa schlecht verbieten während der Arbeitszeit vielleicht Xing aufzurufen.
Zusätzlich kann ich beim Greifen einer Regel auf eine beliebige Webseite umleiten. Die User werden dann also je Regel auf eine Fehlerseite umgeleitet, die in dem Fall dann als Sperrgrund die entsprechende Liste aufführt. Das vermeidet in den meisten Fällen schon mal unnötige Anrufe im Support, weil der User im Klartext lesen kann "Du kommst hier net rein. Guggsdu Porno zu Hause."