isa server 2006

Publicando Regras

Servidores WEB e Não-Web no ISA Server 2006

Michel Max Alves da Silva

Michel Max Pagina 1 de 20

Visão Geral da Publicação de Servidores Web e Servidores Não-Web

As regras de publicação de Servidores permitem controlar o acesso do serviço de quaisquer redes que necessite, incluindo os serviços de SMTP, NNTP, POP3, WEB, OWA, NNTP, Terminal Services, conforme sua escolha.

As regras de publicação de servidores web e servidores não-web possuem características muito diferentes umas das outras e são usadas para finalidades muito diferentes. As regras de Servidores WEB devem ser usadas somente para serviços de WEB, já servidores não-web devem ser usadas somente para serviços não-web (VNC, VoIP, etc).

Regras de Publicação Web.

Quando você publica um Servidor Web o filtro de proxy web intercepta a requisição e repassa-a para a regra de publicação do servidor.

As regras de Publicação ostentam as seguintes características:● Protege o acesso a Sites através do FireWall do Isa Server.● Inspeciona camada de aplicativos que acessam o Site.● Redirecionamento.● Pré-autenticação de servidores web(Autenticação Básica).● Controle de cache de sites.● Publicar vários sites com um único endereço IP.● Transcrição de endereços protegidos pelo FireWall do Isa Server.● Suporte a autenticação SecurID.● Suporte a autenticação Radius.● Programar quantas e quando as conexões ao servidor é permitido.● Redirecionamento de porta e protocolos.

Fornecendo acesso as Sites da Web protegidos pelo FireWall do Isa Server

As Regras de Publicação da Web provendo acesso aos sites da Web considera toda conectada a placa de rede externa uma rede protegida pelo FireWall do Isa Server.

O filtro de Proxy da Web do FireWall do Isa Server mantem segura quaisquer requisições feitas a web através das Regras de Publicação Web.

Mesmo quando você desabilita o Filtro de Proxy da Web ela sempre estará ativa para publicações da Web, esta foi uma medida implementada pela equipe de desenvolvedores do Isa Server, Sendo assim quando alguma requisição externa chega passa sempre pelo filtro protegendo assim toda sua rede interna.

Executando uma inspeção profunda das camadas de conexões feitas a Web Sites Publicados

Uma das vantagens principais de usar Regras de Publicação da Web é a habilidade do FireWall do Isa Server fazer uma inspeção profunda das camadas em todas as conexões feitas aos Sites Publicados. Esta inspeção impede que os atacantes emitam comandos maliciosos no Site Publicado.

O inspeção das camadas é de responsabilidade do Filtro de HTTP do FireWall do Isa Server, ele pode ser manipulado manualmente, exemplos:

● Ajustar o carregamento máximo.● Bloqueando Caracteres High-bit.● Verificando Normalização.● Respostas de bloqueio de conteúdos executáveis das janelas.● Ajustando o método adequado do HTTP você pode restringir o acesso ao Site


Publicado ao mínimo e bloquear todo os outros.● Permitir uma lista específica de arquivos.● Permitir uma lista específica de Cabeçalhos.● Pode Restringir o acesso ao Site Publicado através da Assinatura, Cabeçalho,

Corpo, Rodapé, ou corpo da resposta.

Redirecionamento de Pasta

As Regras de Publicação da Web permitem que você redirecione o usuário conforme o trajeto de sua requisição. Por Exemplo, um usuário faz uma requisição a www.site.com.br/coisas. e você quer que a requisição seja enviada para o Servidor Server002 para o diretório www.site.com.br/desenvolvimento_coisas. Você pode configurar a regra de Publicação da Web para redirecionar o pedido (Coisas) para o outro servidor ou pasta (desenvolvimento_coisas). Isto também funcionara para redirecionamento para outros sites.

Pré-Autenticação do Acesso Feito a Sites Publicados

As Regras de Publicação de Sites podem pré-autenticar os usuário no FireWall do Isa Server impedindo assim acessos com usuários anônimos. Caso o usuário não consiga autenticar-se corretamente será exibida uma mensagem de tempo esgotado.

A Pré-autenticação permite determinar se o usuário poderá acessar o site mesmo que consiga autenticar-se.

Armazenamento de Sites Publicados em Cache no Isa Server

Uma vez que um usuário faz uma requisição de conteúdo ao Isa Server ele requisita a informação ao servidor Web e em seguida carrega a informação em cache diminuindo assim o tráfego na rede e agilizando requisições.

Habilidade de publicação de vários sites com um único endereço IP

O Isa Server permite publicar vários sites com um único endereço IP pelo fato da sua inspeção de camadas, basta criar duas regras de publicação de sites cada um deles apontado para o servidor web correspondente na sua rede interna. O Isa Server faz o gerenciamento de informação e responde ao usuário requisitante a informação correspondente ao site requisitado.

Habilidade de reescrever URLs do Web Site publicado usando Link Translator do FireWall do Isa Server

O Isa Server pode rescrever a URL gerada do site acessado, suponhamos que você tenha um site publicado no endereço http://Servidor003/pasta o Isa Server pode reescrever o mesmo como http://site_tal/pasta, impedindo assim que os usuários saibam o nome da maquina na sua rede interna.

Redirecionamento de Portas e Protocolos

O Isa Server permite que você redirecione as requisições para uma outra porta não Sendo necessariamente a padrão, ou mesmo que substitua o protocolo padra~por outro por exemplo HTTP por FTP.

Regras de Publicação de Servidores


As Regras de Publicação de Servidores são: ● Um mapeamento de portas(Reversão do NAT).● Quase todos os protocolos TCP/UDP podem ser utilizados.● As Regras de Publicação de Servidores não suportam Autenticação.● O Filtro de Camadas pode ser aplicado as regras aumentando a proteção de sua rede.● Você pode configurar quais portas os usuários podem se conectar.● Você pode configurar quais IP remotos podem acessar o servidor externamente.● Você pode aplicar regras de tempo limite de quanto e quando o usuário pode ficar

conectado ao servidor.● Você pode configurar o redirecionamento de portas assim o servidor recebe a requisição

em uma porta e começa a trata-la em outra.

Resumindo as Regras de Publicação de Servidores são rotas que fazem a inversão do NAT entre Usuários e Servidores/Host.

As Regras de Publicação de Servidores WEB permitem transferência de dados sobre HTTP, HTTPS ou FTP, já as regras de Publicação de Servidores Não-WEB permitem todo tipo de transmissão TCP/UDP.

As Regras de Publicação dos Servidores Não-WEB não permitem pré-autenticação no FireWall do Isa Server, ao contrário das Regras de Publicação de Servidores WEB.

Para Publicação de Servidores Não-WEB você pode definir seus próprios protocolos Sendo utilizados os protocolos UDP/TCP, e ainda aplicar filtros nos mesmos. São Eles:

● DNS (Filtro de Segurança)● FTP Access Filter● H.323 Filter● PNM Filter● POP Intrusion Detection Filter (Filtro de Segurança)● PPTP Filter● RPC Filter (Filtro de Segurança)● RTSP Filter● SMTP Filter (Filtro de Segurança)● SOCKS v4 Filter● Web Proxy Filter (Filtro de Segurança)

Configurando Portas e Otimizando Espera de Dados e Redirecionamento de Portas

Dentro de cadas Regra de Publicação de Servidores existe a habilidade de controlar a escuta (espera de dados), tanto para a porta das requisições como para a porta de respostas, podendo até redirecionar o usuário para outra porta.

Controle de Usuários em Servidores Não-WEB

Embora o Servidor Não-WEB publicado não possa ser Pré-Autenticado podemos definir que IP's podem acessar o Servidor.


Criando Regras de Publicação WEB Não-SSL

Na primeira parte da publicação de Servidores WEB você deve inserir o nome da regra.

Na segunda parte você deve definir se deseja Permitir (Allow) ou negar (Deny) o acesso ao servidor.


Na próxima tela você deve especificar se:● Publicar um único Servidor WEB(recomendado).● Publicar um balanceamento de mirrors entre sites. ● Publicar Vários Servidores WEB.

Na próxima tela você deve definir as seguintes opções:

● Nome ou Endereço IP do Servidor.● Enviar o Cabeçalho padrão do Host ou do Isa Server.● Pasta● Site


O IP a ser descrito deve ser o IP usado na sua rede interna e não o IP externo (Erro comum dos Administradores do Isa Server), se você decidir utilizar o nome certifique-se de que o Isa Server conseguirá resolver o nome do site que você colocou no “Internal site Name”.

É importante ressaltar e o cabeçalho do protocolo a ser enviado deve ser substituído pelo o do servidor Isa Server caso esteja publicando vários servidores através de um único endereço IP, pois o Isa Server alterará o relatório para que o usuário recebe as informações corretamente e ao requisitar novas informações o Isa Server através do cabeçalho faça a definição se a requisição deverá ser repassada para o servidor X ou servidor Y.

Na próxima opção você determina os detalhes de nomes, com a seguintes opções:

● Accept requests for ● Public Name● Path

Na opção “Accept requests for” você configura se vai aplicar esta regra para todos os sites do publicados atravez do servidor Isa Server ou um site em específico.

Na opção “Public Name” você configura o nome site específico caso tenha escolhido a opção “This domain name”.

Na opção “Path” serve para restringir o acesso a determinada pasta dentro do servidor Sendo assim se deseja que os usuários acessem para todo site coloque “/*”.

Na próxima opção você determina os Web Listener (Serviço de Escuta).

O Web Listener é um serviço de escuta uma série ou um Endereço IP, que procura escutar o nome de seu Servidor(Domínio).


Selecione o “Web Listener” ou crie um novo.Para criação de um novo “Web Listener” Coloque o nome do mesmoo.Selecione qual será o tipo de Publição a qual ele será usada SSL ou Não-SSL.Selecione a Rede que o “Web Listener” ficará escutando as requisições.

Por padrão o Isa Server configura para que o “Web Listener” escute todos os IP's pertencentes a rede que você selecionou, caso você queira aumentar a segurança de seu servidor altere para seu IP externo padrão, caso não possua IP fixo você pode determinar uma faixa de IP's que acha seguro ou não alterar esta opção.


O chekbox “Isa Server will compress content sent to clients through this web listener if the clients requesting the content support compression”, indica que o Isa Server vai aceitar os pedidos de compressão de conteúdo cas o usuário requisitante solicite.

Na próxima tela você irá configurar a forma de pré-autenticação, você terá as seguintes opções:

● No Autentication● HTTP Autentication● HTML Form Autentication

Escolhendo a opção “No Autentication”, não será solicitada nenhuma pré-autenticação do usuário, para que o mesmo acesse o site.

Escolhendo a opção “HTTP Autentication”, você deverá informar as formas de Autenticação dos mesmos (Basic, Digest, Integrated).

● Basic: Suporta todos os navegadores e Servidores, não encriptado, Codificação de nome e senha sobre BASE64 não cifradas.

● Digest: Requer suporte do navedor HTTP1.1, requer que o Controlador do Domínio amrazene os usuários e senhas, encriptação suportada somente pelo Windows Server 2003, é case-sensitive.

● Integrated: Utiliza NTLM e Kerberos, nome de usuário e senhas encriptadas antes de enviar.

Escolhedo HTML Form Autentication, você deverá informar o tipo de servidor de informação de credencias você possui.


Para configurar uma porta diferente de 80 clique duas vezes em seu Web Listener e clique clique na guia Connections.

Para configurar o limite de conexões simultâneas e o Time-Out clique em [Advanced].

Na próxima opção você determina que usuários podem acessar.


Propriedades da Publicação de Servidor WEB.

A regra possui as seguintes guias:● General● Action● From● To ● Listener● Public Name● Paths● Bridging● Users● Schedule● Link translation

Vamos passar por elas para vermos quais opções não foram dispostas no ato da publicação.

Guia General

Nesta guia você pode alterar o nome da regra e adicionar um comentário e desabilita-la.

Guia Action

Nesta guia você define se a regra Permite ou Nega o acesso ao site, e se ele deve gerar um log dos visitantes, é recomendado que não seja desabilitado o log pois esta regra habilita uma porta de entrada e saída e informações.

Guia From (DE)

Você pode configurar que Host's podem acessar o site, e configurar exeções a regra.

Guia To (Para)

Esta é uma guia importante pois você pode definir:

● Nome interno do Site Publicado (Internal Site Name).● Nome da maquina ou Endereço IP do Servidor do site (Computer Name or IP

Address).● Enviar cabeçalho original do protocolo HTTP(forward the original host header

istead of the actual one).● Quem Deve validar o acesso ao site (Proxy requests to published sites).

Nome do Host que possui o site: Nome do site que é utilizado para acessar o site na rede interna.

Nome ida maquina ou endereço IP do Servidor do site: Caso o isa não consiga resolver o endereço do Servidor que possui o site você deve informar preferencialmente nesta caixa de texto o seu IP ou nome da maquina.

Enviar cabeçalho original do protocolo HTTP: Determina quem envia o cabeçalho do protocolo HTTP.

Quem deve validar o acesso ao site: Caso escolha que o Servidor do Isa Server valide os usuário que podem acessar o site você deve configurar toda a estrutura do SecureteNAT no servidor do Isa Server, Caso escolha que a validação virá do Próprio Servidor do Site toda a


estrutura deverá pertencer a ele.

Guia Traffic (Tráfego)

Nesta guia existem quatro configurações a serem feitas Configuração do Filtro HTTP, e no caso de HTTPS:

● Notificar para os usuário utilizarem HTTPS ao invés de HTTP..● Requerer criptografia 128-bit.● Requerer certificado SSL do usuário.

Guia Listener (Serviço de Escuta)Vimos como configurar-lo completamente anteriormente.

Guia Public Name (Nome Público)

Nesta guia você pode configurar que nomes públicos podem dar acesso a este site, você pode ter vários sites com o mesmo endereço IP utilizado este serviço, desta forma se possui vários sites em um IP.

Guia Path (Pasta)

Nesta guia você pode determinar redirecionamento de pastas.

Guia Briging (Controle de portas e redirecionamentos)

Nesta guia você pode configurar que assim que o serviço de escuta receber uma requisição repasse-a outra porta, mude de HTTP para HTTPS ou mesmo repasse-a para FTP.

Guia Users (Usuários)

Nesta guia você configura que usuários podem acessar o site, quando está configurada para all users qualquer um pode acessar o site, porem quando você determina que usuários podem acessar o site você acaba tendo duas authenticações uma do Isa Server e outra do web site.

Guia Schedule (Determinação de período)

Nesta guia você determina em que período a Regra vai encontra-se ativa.

Guia Link Translatoin (Tradução de links)

Nesta guia você pode fazer configurações estáticas de resolvimento de endereços.

Criando Regras de Publicação de Servidores Não-WEB

Criar uma régra de publicação de servidores Não-WEB é muito mais simple do que criar uma regra de publicação de Servidores WEB, você só precisa saber 3 coisas:

● Protocolo a publicar.● IP do Servidor que deseja publicar.● Rede de onde virão as quisições.

Para publicar um protocolo como serviço Não-WEB ele deve ser dos Seguintes Tipos:● TCP - Inbound● UDP - Receive


● UDP - Receive/Send

Lista de protocolos predefinidos pelo ISA Server:

DNS Server: TCP 53 Inbound, UDP 53 Receive/Send, DNS Security Filter Abilitado, Domain Name System Protocol - Server. Protocolo Utilizado para publição de transferências de informações de Zona DNS.

Exchange RPC Server: TCP 135 Inbound, RPC Filter Abilitado. Utilizado somente para publicação e tranferencia de dados Exchange RPC Server.

FTP Server: TCP 21 Inbound, FTP Access Filter Filter Abilitado. Protocolo utilizado somente para o serviço de FTP.

HTTPS Server: TCP 433 Inbound. Usado para Publicar Sites SSL(Seguro).

IKE Server: UDP 500 Receive/Send. Protocolo utilizado para publicar um servidor IPSec.

IMAP4 Server: TCP 143 Inbound. Protocolo utilizado para publicar servidores IMAP.

IMAPS Server: TCP 993 Inbound. Protocolo utilizado para publicar servidores IMAP seguros.

IPSec ESP Server: UDP Receive/Send. Protocolo utilizado para publicar servidores IPSec com passagem de dados Completa.

IPSec NAT-T Server: UDP 4500 Receive/Send. Protocolo utilizado para publicar servidores de L2TP/IPSec.

LSTP Server: UDP 1701 Receive/Send. Protocolo utilizado para publicar servidores de canais LSTP/IPSec.

Microsoft SQL Server: TCP 1433 Inbound. Protocolo utilizado para publicar servidores SQL.

MMS Server: TCP 1755 Inbound, UDP 1755 Receive, MMS Filter Abilitado. Protocolo utilizado para publicar servidores de MMS.

NNTP Server: TCP 119 Inbound. Protocolo utilizado para publicar servidores de tranferência.

NNTPS Server: TCP 563 Inbound. Protocolo utilizado para publicar servidores seguro de tranferência.

PNM server: TCP 7070 Inbound, PNM filter Abilitado. Protocolo utilizado para publicar servidores de Redes Prograssivas.

POP3 Server: TCP 110 Inbound. Protocolo utilizado para publicar servidores de e-mail.

POP3S Server: TCP 995 Inbound. Protocolo utilizado para publicar servidores seguro de e-mail.

PPTP Server: TCP 1723 Inbound, PPTP Filter Abilitado. Protocolo utilizado para publicar servidores ponto a ponto.


RDP (Terminal Services) Server: TCP 3389 Inbound. Protocolo utilizado para publicar servidores de acesso remoto.

RPC Server (All interfaces): TCP 135 Inbound, RPC filter abilitado. Protocolo utilizado para publicar servidores entre dominios.

RTSP Server: TCP 554 Inbound. Protocolo utilizado para publicar servidores Windows Media Services, utilização em tempo real.

SMTP Server: TCP 25 Inbound, SMTP security filter Abilitado. Protocolo utilizado para publicar servidores de e-mail (envio).

SMTPS Server: TCP 465 Inbound. Protocolo utilizado para publicar servidores Seguro de e-mail (envio).

Telnet Server: TCP 23 Inbound. Protocolo utilizado para publicar servidores para acesso TelNet.

Vamos agora criar uma Regra de Publicação de Servidor Não-Web. Para este utilizaremos o Protocolo RDP (Terminal Services) Server.

Primeiro insira um nome para a Regra.

Na próxima tela insira o Endereço IP(Interno) do Servidor a Ser publicado.


Nesta tela você seleciona qual protocolo que vai publicar.

Clicando na opção “Ports...” você poderá definir:

● Publish using the default port defined in the Protocol Definition: Esta opção permite que o FireWall do Isa Server escute as requisições na(s) porta(s) padrão do protocolo.

● Publish on this port instead of the default port: Nesta opção você pode mudar a porta padrão de escuta do protocolo.

● Send requests to the default port on the published server: Nesta opção o FireWall do Isa Server envia requisições atravéz da porta padrão do portocolo.

● Send request to this port on the published server: Nesta opção você pode definir que porta você quer enviar as requisições.

● Allow traffic from Any Allowed source port: Nesta opção a regra aceita todas as portas para iniciação da conexão ao servidor.

● Limit access to traffic from this range of source ports: Nesta opção você pode definir que série de portas podem ser utilizadas para início da conexão do servidor.

Nesta tela você deve selecionar de onde virão as requisições.


Propriedades das Regras de publicação dos Servidores Não-WEB

Guia General (Geral)

Nesta guia você pode configurar o nome da regra, uma breve descrição e se ela está habilitada ou não.

Guia Action (Ação)

Nesta guia você pode determinar se desja que seja logada as requisições a este protocolo.


Guia Traffic (Tráfego)

Nesta guia você configura qual protocolo deseja publicar e as portas conforme vimos as configurações anteriormente.

Guia From (De)

Nesta guia você configura de onde poderão vir as requisições e ainda se haverão exceções, por exemplo você quer permitir o acesso a toda rede interna exceto a faixa de micros x.x.x.x-y.y.y.y, então você configura um Address Ranges e coloca-á em exceções.


Guia To (Para)

Nesta guia você configura o Endereço IP do Servidor que Deseja Publicar e Request appear to come from the Isa Server Computer ou Requests appear to from the Original Client.

Request appear to come from the Isa Server Computer: Permite ao Servidor conectado ver o endereço IP do executor da requisição e não do cliente original, esta opção é utilizada quando você não quer que o Servidor publicado seja um cliente NAT.

Requests appear to from the Original Client: Permite ao Servidor conectado ver o endereço IP do cliente original e não o do Servidor do Isa Server

Guia Networks (Redes)

Nesta guia você seleciona de qual rede poderão vir as requisições.


Guia Schedule (Esquema)

Nesta guia você configura quando a regra funcionará.


Bibliografia

● How To Cheat AT Configuring ISA Server 2004.● Professor Alexandre Gomes (People Computação Campinas).● Professor Carlos Eduardo Meneghel (People Computação Campinas).


isa server 2006

Documents