Kent Nordström

ISA 2006 SP1 - Released

2008-07-03T07:49:00Z

Finally, it's here.... ISA 2006 SP1 was released last night.

You find it at http://www.microsoft.com/downloads/details.aspx?FamilyId=D2FECA6D-81D7-430A-9B2D-B070A5F6AE50&displaylang=en

Please read other blogposts here and also at http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx for information on all the new stuff in SP1.

Enjoy!

ISA 2006 and SAN Certificates

2008-05-15T17:08:00Z

Many customers and others have been confused by the well spread rumor that ISA 2006 do not support SAN certificates like the ones used by Exchange 2007.

The confusion is often caused by the fact that they do not understand how ISA is using SSL bridging in a typical Exchange Publishing scenario.

You have to remember that SSL bridging means that there are TWO (2) separate SSL sessions going on.

Session 1: From the Client (usually on the Internet) to ISA
In this case the certificate shown by ISA is validated by the client and must satisfy the demands the client has, if no warning is to appear. If the client supports SAN certificates then you can have a SAN certificate in the ISA listener.

Session 2: From ISA to the published server (usually on the Internal network)
In this case the certificate shown by the published server needs to satisfy ISA (the original client has nothing to do with this). This means it has to be issued by a trusted CA and have a Common Name that matches the hostname on the "To" tab in the publishing rule. If this is a SAN certificate, the first SAN also needs to be the same name as the name used on the "To" tab in the publishing rule.

To summarize, ISA 2006 do support SAN certificates, but when acting as a client it can only validate the common name and the first SAN entry. This will change in SP1 (released later this summer), with SP1 ISA will as a client be able to validate any SAN entry to match the "To" used in the publishing rule.

The "great" Jim Harrison, has described this in more detail in his blog at http://blogs.technet.com/isablog/archive/2007/08/29/certificates-with-multiple-san-entries-may-break-isa-server-web-publishing.aspx

ISA 2006 SP1 - Traffic Simulator

2008-04-27T12:28:00Z

One of the new interesting features of SP1 is the Traffic Simulator.

Using the Traffic Simulator you will be able to try out your rules to see if they match your intentions.

The Traffic Simulator is a new tab in the Troubleshooting node.

The way it works is that it "injects" the scenario into the actual engine, and therefore we can only run the simulations on a server where firewall service is running. So it's not possible to do this remote.

The result is in my opinion still a bit "short". It simply states the result and show the rule causing the result. If I for example have a rule that requires authentication to access internet. The results will be.
1: Traffic sent from this user:

2: Traffic sent from anonymous user:

And as you can see the information you get from the denied is only that it got stuck on the rule, but it is so far up to you to realize that it is because of authentication requirements. I have filed a change request for more info in this case, hopefully it will make it into RTM.

In all this is yet another great new feature of SP1 that i believe many customers have wanted for some time.

ISA 2006 SP1 - NEW Features

2008-04-26T06:35:00Z

To give you all a quick overview of the new features in ISA 2006 SP1 here is a quick list. I will cover some the features in more detail in some upcoming articles. As always, since this is a beta everything is subject to change, so let's say this is features we are "likely" to see.

When it comes to release date for SP1, the official timeframe is "late summer 2008". And since this is built in Israel where the summer never ends (compared to here in Sweden)... Who knows how long this summer will be...I hope it will be the shortest summer in mankind so that SP1 becomes available to all of you a.s.a.p.

The list below is not ordered in any way just a list, but WHAT A LIST!!!!

1.	Configuration Change Tracking	Registers all configuration changes applied to ISA Server configuration to help you assess issues that may occur as a result of these changes
2.	Test Button	Tests the consistency of a Web publishing rule between the published server and ISA Server.
3.	Traffic Simulator	Simulates network traffic in accordance with specified request parameters, such as an internal user and the Web server, providing information about firewall policy rules evaluated for the request.
4.	Diagnostic Logging Viewer	Now integrated as a tab into the Management console, this feature displays detailed events about the status of your ISA Server computer, as well as configuration and policy issues.
5.	NLB Multicast	NLB now supports all three modes, Unicast, Multicast and Multicast with IGMP.
6.	Cross domain KCD	Kerberos Constrained Delegation (KCD) now works in both cross-domain and cross-forest trust environments.
7.	SAN certificates	Improved support for certificate with multiple SAN entries.
8.	Filter RPC by UUID	Supports filtering for RPC traffic by UUID for an access rule. Previously, an access rule to RPC traffic would not be restricted by RPC interface UUID.
9.	Monitor virtual memory	A new event has been created that monitors the virtual memory of the WSPSRV process.

There are more in SP1 but i believe these are the most important ones.

When i look at this it is almost more interesting then the one we could see as news in RTM of 2006 when we compared it to 2004 SP2 (and later SP3).

Ones again... To all of you in the ISA team... Congratulations, nice work!

ISA 2006 SP1 - Change Tracking

2008-04-26T06:06:00Z

So finally I can share with you some features of ISA 2006 SP1.
One of the great new features we will see is Change Tracking.
I have sent the product team my love for introducing this, this feature alone will make everyone hurry to get ISA2006 SP1. I also think that this will make selling ISA as a "serious" Firewall will be much easier.

In Enterprise Edition this feature is enabled on the Enterprise level.
You also have the option to require a description for all changes made.
I would suggest that you enable this as soon as the basic configuration of ISA is done and we are moving into production.

Even though you might feel tempted to raise the number of entries to a huge number, be aware that this might cause the Change Tracking, search and filtering function to be real slow.

With Change Tracking you will be able to track every change made to ISA configuration.

I will just LOVE this feature, it will make my life working with ISA so much easier. Imagine having solid proof when the customer complains that ISA "just stopped working" and they "haven't done anything".

If you drill down into the change you want to check out you will then see a very detailed view on what was changed.

One of the things this feature will make me stress to my customers is to use individual accounts when working with ISA, in this way we will always know "who" made this change. If we all use the administrator account, that part will be lost.

This is the first in the series of blogs I plan on SP1 features, stay in touch for more.

ISA2006 SP1 - coming soon

2008-04-24T07:17:00Z

So finally i got my hands on SP1 of ISA 2006.

Havent had any time to test it yet, but i can promise you all a happy moment when you are able to run it.

Still NDA on the exact featurelist but let me just give you some hints about what's in the current build.
Hopefully none of them will be removed, but as always. You never know.
- Change tracking possibility
- Multi domain/forest KCD
- Improved support for SAN certs
- Heavy improvements on troubleshooting
and much much more...

In some parts SP1 contains more news than 2006 RTM did compared to 2004 SP2.

Stay in touch and i will tell you more as soon as possible.
The Beta period is planned to be a short one, but no release date so far.

Forefront Threat Management Gateway. Part 1 – Web Access Policy

2008-04-09T21:45:00Z

After trying hard for a while.. and failed...to make this article readable on the web.
I decided to just give it to you as pdf until i figured out how to format it, to fit the blog page sizes.

So please download:
http://www.konab.com/tmg/TMG%20Blogg%20-%20Web%20Access%20Policy.pdf

/Kent

Nitrogen beta 1!

2007-10-20T16:00:00Z

Äntligen har den då kommit!

Första betan av Nitrogen (ISA 2008) släpptes i slutet av veckan till TAP deltagarna.

Har inte hunnit slänga upp en ännu eftersom den kräver en x64 Server 2008 i botten.
Men i början på nästa vecka skall jag sätta upp den hos min kund som är med i TAP:en.

Så fort som möjligt ska jag sedan börja bombardera produktteamet med bloggposter för att få godkänt att jag börjar skriva lite om vad ni kan förvänta Er i nästa generation av ISA Server.

Själv har jag bett om pris på en ny server (Dubbla QuadCore o 16GB RAM!) för att kunna börja virtualisera x64 på 2008 RC0's virtualiserings plattform. När den är på plats (förhoppningsvis om ett par veckor) så kan jag på allvar börja testa den i andra scenarion än dom som min TAP-kund tänker testa för.

Det kom ett mail...

2007-09-15T08:46:00Z

från en av mina kunder med funderingar kring varför ISA skall stå på ett DMZ och om den kan ersätta en Exchange FE server.

Jag vill hör delge Er alla mitt svar. Som kanske kommer att reta någon men förhoppningsvis väcker en del tankar.

Hej!

Låt oss först konstatera vad en FrontEnd Exchange 2003 server gör för nytta…

Den behöver man om man har ”flera” mailbox servrar (BE) då man kan låta användare accessa FE och den routar / hämtar data från rätt mailbox server.

Det betyder att om man har flera mailboxservrar och vill publicera OWA, ActiveSync o RPC/HTTPs så måste man ha en FE vare sig man har ISA eller inte.

Alternativet är att användare på olika mailbox servrar måste använda olika URL:er.

Har man ”bara” en mailbox server behöver man tekniskt ingen FE utan kan publicera de webbaserade tjänsterna direkt mot BE.

ISA ersätter INTE FE de två gör inte samma sak.

ISA ser till att man säkert kan publicera tjänsterna medans FE ser till att vi bara behöver en URL även om vi har många BE servrar.

Notera nu att Edge servern i Exchange 2007 har ett helt annat syfte.

Om man vill låta användare komma åt de webbaserade tjänsterna som exchange tillhandahåller är det dock många som föredrar att göra denna publicering i en ISA, p.g.a. dess http applikationsfilter och SSL bridging förmåga.

I de flesta fall skulle jag vilja påstå att huruvida det står en brandvägg framför/bakom ISA servern är helt egalt ur säkerhets synvinkel då trafiken som släpps fram till ISA är SSL och den trafiks om går mellan ISA och Exchange är SSL, ingen brandvägg som inte i likhet med ISA kör SSL bridging adderar något säkerhetsvärde. Den släpper ju bara fram TCP443 utan vidare analys.

Om man vill publicera andra exchange tjänster så beror ISAns värde på om den har ett applikationsfilter eller inte för trafiken.

Den har ju t.ex. ett ”basalt” SMTP filter där man t.ex. kan blockera VRFY kommandot, om den ”yttre” brandväggen saknar appfilter för SMTP utan bara släpper fram TCP25 till ISAn gör den i detta läge ingen nytta och adderar enligt min mening ingenting till säkerheten.

---Ang Single NIC----

Det är ett väldigt tjafsande med att sätta ISA på DMZ och bara ha ett NIC.

Att trafiken går upp o vänder i ISA är ju bra om det för att utnyttja ISAns filter, därför stödjer man bara trafik som baseras på webproxy filtret i single nic läge.

Dessutom är det så att de flesta ju vill låta ISA autentisera emot ett AD. Detta kan man naturligtvis göra i ISA 2006 utan att ISA är med i domänen men det ökar komplexiteten och man kan då t.ex. inte välja att delegera med Kerberos. Att då låta ISA vara med i domänen är enligt klassiskt synsätt att kortsluta sitt DMZ, jag brukar därför rekommendera kunder som ”måste” har en brandvägg framför ISAn att sätta den med ett ben i den yttre brandväggens DMZ och ett ben in i LANet så att den kan vara med i domänen. Helst skall då också ISAns externa interface vara ett routat interface i den yttre så att man har full frihet att utnyttja ISAns alla funktionaliteter om man så önskar.

När den är placerad så kan man sedan välja att den används för utgående trafik, VPN osv om man så önskar utan att ändra infrastrukturen.

Att ”kräva” att trafiken till LAN:et från ISA går genom ytterligare en brandvägg som ändå bara är en ”dum” portgenomsläppare adderar inget till den ökade säkerheten.

Men kan ibland bli ett ”krav” som man uppfyller genom att låta ISA’n inre interface ta vägen via den ”stora” (dumma o dyra ;-) ) brandväggen man har på vägen till LAN:et.

---Varför då två brandväggar…---

Detta är den stora frågan.

I de flesta fall sätter man flera brandväggar av ”gammal” vana, men det är också så att man inte kan opponera sig mot att även en ”dum” brandvägg som ”bara” släpper fram en port inte faktiskt kan addera värde i form av att t.ex. kunna stoppa denial of service attacker.

Frågan brukar ju till stor del handla om att man inte ser ISAns som en av de bästa brandväggarna på marknaden utan som en ”proxy”.

Be dom berätta hur deras brandvägg löser ISA 2006s ”Flood Mitigation” eller hur de gör för att i deras brandvägg skanna SSL trafik.

(Idag finns till ISA addon som gör detta även för utgående trafik!)

Den har ju inte prioritering säger då belackarna. Nä inte inbyggt men köp till t.ex. Digirains Quota hanterare och se om inte de flesta klarar sig med det.

Hoppas du blivit lite klokare och som du förstår så är detta mina privata åsikter och ingen ”officiell” syn på saken från Microsoft.

Mvh

/Kent

ISA 2006 Supportability Update

2007-09-12T12:19:00Z

Microsoft verkar ha dragit ut på SP1 till ISA 2006, men släpper nu en supportability pack för ISA 2006 så att vi kan få samma "snygga" logg och felsökning som i ISA 2004 med SP3.

http://www.microsoft.com/downloads/details.aspx?FamilyId=6F629EAC-D8C6-4437-9D20-B47B02DB413A&displaylang=en

Bara att installera!

Nitrogen TAP Kickoff

2007-04-18T14:20:00Z

First let me apologize for writing this in English.

I will do all my blogging around Nitrogen in English due to the fact (NDA) that i need to send it to the product team for approval before I publish it.

Finally the TAP for Nitrogen is started :-)

During three nice days in Berlin, Microsoft ISA Team presented all the new stuff to expect in Nitrogen and off course opportunity for us to give input on features and functions.

Due to the NDA I will NOT, for the moment, be able to tell you much, but one thing is clear.
You are going to like it, many of the features we were hoping for in ISA 2004 and 2006 are now being implemented.

So when are you guys going to have some details. Well basically we will not see public betas until the end of the year. But hopefully I will be allowed to drop some details during the TAP period.

Please keep your eyes on my blog and i will keep you updated and if you think that you have important features you would like to see in the next version of ISA, please drop me an email.

ISA 2004 SP3 o Nitrogen

2007-02-26T06:13:00Z

Microsoft har beslutat släppa en SP3 till ISA Server 2004. Detta ser jag som ett litet bakslag eftersom det antagligen innebär att man upptäckt, precis som jag, att kunderna inte skyndat att uppgradera till ISA 2006.

Någon kod finns ännu inte att testa men det talas om förbättrad diagnostisk hantering. Dvs förbättrad logghantering och felsökning.

Eller som det står i den engelska texten:
"ISA Server 2004 SP3 provides increased security, new troubleshooting options and tools available directly from the ISA Server Management console, new diagnostic logging functionality, and enhanced log viewer and log filtering options for ISA Server 2004 Standard Edition and Enterprise Edition. In addition, this service pack adds support for publishing Microsoft Exchange Server 2007 with ISA Server 2004."

Man kan väl också misstänka att detta kommer att innebära att vi får se en SP1 till ISA 2006 med ungefär samma innehåll.

Så fort jag fått kod och hunnit testa återkommer jag med rapport om de faktiska förbättringar som ingår.

TAP programmet för ISA 2008 (Nitrogen) är också i startgroparna, även där hoppas jag löpande kunna rapportera om de nyheter som kommer. Jag deltar i detta på två fronter, dels själv men också som tekniskt ansvarig tillsammans med en kund.

Verisign och ActiveSync

2007-01-05T09:20:00Z

De flesta väljer att köpa ett certifikat från t.ex. Verisign när man börjar prata om att köra ActiveSync.

Tanken är att man inte ska få några problem med att telefonen inte "litar" på certifikatet.
Döm om förvåning när det visar sig att man kan få samma problem även med ett köpt certifikat!

Detta kan inträffa om man t.ex. köper ett certifikat utfärdat att "VeriSign Class 3 Secure Server CA", detta är nämligen en s.k. intermediate CA och har en RootCA som heter "VeriSign Class 3 Public Primary CA"

Root CA'n finns i Mobile 5 som trusted men inte den intermediate som utfärdat den.
Detta gör att Mobile 5 kan uppfatta certifikatet som icke trusted.

Om man ska publicera ActiveSync i ISA och har ett sådant certifikat (kan tänka mig att det gäller för fler som använder intermediate CA) MÅSTE man i ISA lägga in "VeriSign Class 3 Secure Server CA" som en Intermediate CA i samband med att man imorterar certifikatet.

När man exporterar Certifikatet från den IIS där man gjorde requesten bockar man lämpligen i att ta med alla certifikat i pathen så får man med sig både intermediate certifikatet och rootcertifikatet att installera på ISA'n.

ISA kan nu ge Mobile 5 "hela" pathen för certifikatet och telefonen kan se att den kommer från en "trusted" root CA.

Kan man ha för många regler?

2006-12-17T14:34:00Z

En kund undrade i veckan om man kunde ha för många regler och jag sa lite "självsäkert" att antalet regler inte spelar någon roll i ISA Server. Dom påstod då att "någon" sagt att vid ca 250 regler så "bryter" den ihop.

Upp till bevis tänkte jag och har igår testat.
Jag gjorde ett litet script (maila om ni vill ha en kopia) som genererade ett antal regler av normal karaktär (specifikt protokoll, UserSet med 2 st domänkonton, internal to external).
Jag satte det att på min ISA Server 2006 (P4 2,8Ghz, 1GB RAM) generera 500 regler.
Det tog lite tid för jag gjorde apply efter varje ny regel så vartefter tog det längre och längre tid att skapa nya regler.
Totalt jobbade skriptet i ca 2 timmar och datorn låg då på en jämn 50-70% CPU belastning.

Under skapandet satt jag och surfade, lyssnade på radio kikade på mediasändningar och fick inte ens ett hack i en film. Jag kunde alltså inte se att jag fick någon prestanda-påverkan.

När det var klart kontrollerade jag återigen prestandan och kunde då se att den inte drog nämnvärt mer RAM än innan och inga prestandaproblem trots att den regel som jag nu använde för att t.ex. kunna surfa var regel nr. 520.

En liten försämring kunde man se när man gjorde ändringar i regelverket, apply tog nu lite längre tid 15-20 sek.

Jag kan sammanfattningsvis bara konstatera att antalet regler inte spelar någon som helst roll för prestandan i en ISA Server.

Att administrera 500 regler däremot är en helt annan sak

Det förargliga frågetecknet

2006-12-17T14:18:00Z

Har i ett kundprojekt sprungit på ett "dumt" beteende hos ISA.

Om ni vill göra mer avancerade Path regler så kommer ni att upptäcka att ni inte kan ha ? med i pathen.

I hjälpen nämns att man kan avsluta med ett * wildcard och att detta endast kan finnas i slutet av en path. Men i övrigt ser det ut att vara en strängjämförelse.

Mitt problem kom när jag ville filtrera på den path som ActiveSync genererar.
Där är pathen alltid i stil med
HTTP://mail.company.com/Microsoft-Server-ActiveSync?User=kent&DeviceId=12345654321A01234*
Idéen var att med hjälp av denna begränsa vilken kombination av UserID och DeviceID som kunde användas, och samtidigt göra det lite svårare för en hacker som nu måste lista ut den device-unika GUID som en device använder som DeviceID.

Denna idé kom alltså till korta när det visar sig att ISA inte läser bortom det lilla frågetecknet.
Tyvärr för min del så har detta dokumenterats på bl.a.
http://www.microsoft.com/technet/isa/2000/plan/faq-urldomainnamesets.mspx och gäller som det verkar även för ISA 2004 0ch ISA 2006.