Bloqueando Bate-papo e Web-Proxy no ISA Server

Como administrador do ISA Server você deve perceber que os usuários sempre estão tentando encontrar sites relacionados a chat’s e Proxy para burlar o ISA Server, este artigo explica como usar o filtro HTTP para minimizar essas buscas por palavras-chaves.

Este procedimento deverá obrigatoriamente ser feito sobre a sua primeira regra que permite acesso web (allow HTTP).

Abra a snap-in de gerenciamento do ISA Server (msisa.msc), expanda nó do servidor, selecione Diretivas de firewall, clique com o botão direito na regra que permite o trafego web e depois em Configurar HTTP.

Na tela Configurar HTTP Para a Regra selecione a aba Assinaturas e clique em Adicionar.

Na tela Assinatura forneça os seguintes parâmetros:
Nome: Batepapo (ou a sua escolha)
Pesquisar em: URL da Solicitação
Assinatura: batepapo (obrigatoriamente)
E clique em OK.

Clique novamente em Adicionar.
Na tela Assinatura forneça os seguintes parâmetros:
Nome: Chat (ou a sua escolha)
Pesquisar em: URL da Solicitação
Assinatura: chat (obrigatoriamente)
E clique em OK.

Clique novamente em Adicionar.
Na tela Assinatura forneça os seguintes parâmetros:
Nome: Proxy (ou a sua escolha)
Pesquisar em: URL da Solicitação
Assinatura: proxy (obrigatoriamente)
E clique em OK.

Temos o seguinte resultado.

Clique em OK

Clique em Aplicar

Ao tentar acessar qualquer site que contenha na sua URL uma das 3 palavras que foram criadas o usuário terá seu acesso bloqueado.

Bloqueando Todos os Domínios e Liberando Alguns

Imagine que temos o seguinte cenário:
Um grupo de usuários da empresa deve ter todo trafego Web bloqueado com exceção de alguns sites, por exemplo, sites do governo, bancos etc. Este artigo explica como resolver essa questão e também como usar as Exceções do ISA Server que é uma opção bastante poderosa quando queremos filtrar a aplicação das regras de acesso.

Vamos a Regra.
Crie um grupo no seu Active Directory que represente os usuários que terão o acesso bloqueado, para este artigo eu criei o grupo “operacional” no nosso domínio “Corp”.

Abra a snap-in de gerenciamento do ISA Server (msisa.msc), expanda nó do servidor, selecione Diretivas de firewall, no painel direito selecione a aba Ferramentas, em Usuários clique em Novo.

Na tela do Assistente de Novo Conjunto de Usuários, forneça um nome para o grupo de usuários e clique em Next.

Na tela Usuários, adicione o grupo que você criou no Active Directory e clique em Nex.

Na tela clique em Finish.

Agora selecione Objetos de Rede, clique em Novo e em seguida selecione Conjunto de Nomes de Domínio.

Na tela seguinte forneça um nome para o Conjunto de Nomes de Domínio e adicione os Domínios que deverão ser Liberados para os usuários.

Clique com o botão direito em Diretiva de firewall selecione New, Regra de Acesso…

Na tela do Assistente de Nova Regra de Acesso, forneça o nome da sua regra e clique em Next.

Em Ação da Regra selecione Negar e clique em Next.

Em Protocolos adicione o protocolo HTTP, HTTPS e clique em Next.

Na tela Origens de Regra de Acesso adicione o objeto interno e clique em Next.

Em Destinos de regra de Acessso adicione o objeto Externo e clique em Next.

Na tela Conjunto de Usuários adicione o objeto de grupo de usuários criado anteriormente clique em Next.

Na tela Concluindo o Assistente de Nova Regra de Acesso clique em Finish.

Agora Não clique em aplicar, antes clique com o botão direito na regra que criou e selcione propriedades.

Na caixa de dialogo Propriedades da regra selecione a aba Para, na opção exceções clique em Adicionar, adicione o Conjunto de Nomes de Domínio criado anteriormente e clique em Adcionar.

De volta as Propriedades da regra clique em OK.

Agora sim clique em Aplicar e OK para confirmar as alterações e você deverá obter a seguinte regra.

Repare que o ícone do objeto “Governamentais” está “quebrado” isso indica que a regra não está valendo para ele. A opção exceções é bastante util quando queremos contrapor uma regra seja de negação ou liberação.

Entendendo os Modelos de Firewall do ISA Server

Alguns profissionais têm dificuldade na hora de escolher o melhor modelo de firewall que o ISA Server oferece para a segurança da sua infra-estrutura de rede. Resolvi fazer este artigo que explica de forma clara e objetiva os dois modelos mais comuns de serem implantados.

Edge Firewall (Firewall de Borda):

Use este modelo quando seu servidor ISA é o firewall que divide a rede interna da externa. Ligue uma placa de rede no seu switch e a outra no seu Router (ADSL), configure todas as estações da sua rede para utilizar o ISA como Default Gatway e servidor Proxy.
Exemplo de Configuração das Placas de rede do ISA Server:

Placa de Rede Interna (Deve ser ligada no switch da sua rede).

Endereço IP . . . . . . . . . . . . : 172.16.16.254

Máscara de sub-rede . . . . : 255.255.0.0

Gateway padrão. . . . . . . .  :

 

Placa de Rede Externa (Deve ser ligada no router ADSL).

Endereço IP . . . . . . . . . . . . : 10.1.1.2

Máscara de sub-rede . . . . : 255.0.0.0

Gateway padrão. . . . . . . .  :10.1.1.1

Caso sua empresa possua um IP Fixo a configuração da Rede Externa deverá ser preenchida com os dados fornecidos pelo seu provedor de Internet.

 

Placa de Rede Clientes (Windows XP, Windows Vista, Windows 7).

Endereço IP . . . . . . . . . . . . : 172.16.16.X

Máscara de sub-rede . . . . : 255.255.0.0

Gateway padrão. . . . . . . .  :172.16.16.254

Nas configurações de Proxy do Internet Explorer preencha com o endereço IP ou FQDN do ISA Server e a porta, que por padrão é a 8080.

Single Network Adapter (Adaptador de Rede Exclusivo):

Utilize esta configuração quando seu servidor ISA possuir somente um adaptador de rede, caso no qual poderá funcionar somente como Cache e Proxy. Conecte a placa de rede do ISA Server direto no seu switch e o configure para usar o seu Router (ADSL) como Default Gateway.

Placa de Rede Interna (Deve ser ligada no switch da sua rede).

Endereço IP . . . . . . . . . . . . : 10.1.1.2

Máscara de sub-rede . . . . : 255.0.0.0

Gateway padrão. . . . . . . .  :10.1.1.1

 

Placa de Rede Clientes (Windows XP, Windows Vista, Windows 7).

Endereço IP . . . . . . . . . . . . : 10.1.1.X

Máscara de sub-rede . . . . : 255.0.0.0

Gateway padrão. . . . . . . .  :10.1.1.1

Nas configurações de Proxy do Internet Explorer preencha com o endereço IP ou FQDN do ISA Server e a porta, que por padrão é a 8080.

 

Agora ficará mais fácil de compreender os modelos de firewall do ISA Server e tomar a decisão de qual atende melhor as necessidades da sua infra-estrutura de rede.