Michel Ma Alves da Silva Michel Max Pagina 1 de 20 !iso "eral da Publica#o de Servidores Web e Servidores No-Web As regras de publicao de Servidores permitem controlar o acesso do servio de quaisquer redes que necessite, incluindo os servios de SMTP, NNTP, POP3, W!, OWA, NNTP, Terminal Services, con"orme sua escol#a$ As regras de publicao de servidores %eb e servidores no&%eb possuem caracter'sticas muito di"erentes umas das outras e so usadas para "inalidades muito di"erentes$ As regras de Servidores W! devem ser usadas somente para servios de W!, () servidores no&%eb devem ser usadas somente para servios no&%eb *+N,, +o-P, etc.$ Regras de Publica#o Web$ /uando voc0 publica um Servidor Web o "iltro de pro12 %eb intercepta a requisio e repassa&a para a regra de publicao do servidor$ As regras de Publicao ostentam as seguintes caracter'sticas3 Protege o acesso a Sites atrav4s do 5ireWall do -sa Server$ -nspeciona camada de aplicativos que acessam o Site$ 6edirecionamento$ Pr4&autenticao de servidores %eb*Autenticao !)sica.$ ,ontrole de cac#e de sites$ Publicar v)rios sites com um 7nico endereo -P$ Transcrio de endereos protegidos pelo 5ireWall do -sa Server$ Suporte a autenticao Secur-8$ Suporte a autenticao 6adius$ Programar quantas e quando as cone19es ao servidor 4 permitido$ 6edirecionamento de porta e protocolos$ %ornecendo acesso as Si&es da Web 'ro&egidos 'elo %ireWall do Isa Server As 6egras de Publicao da Web provendo acesso aos sites da Web considera toda conectada a placa de rede e1terna uma rede protegida pelo 5ireWall do -sa Server$ O "iltro de Pro12 da Web do 5ireWall do -sa Server mantem segura quaisquer requisi9es "eitas a %eb atrav4s das 6egras de Publicao Web$ Mesmo quando voc0 desabilita o 5iltro de Pro12 da Web ela sempre estar) ativa para publica9es da Web, esta "oi uma medida implementada pela equipe de desenvolvedores do -sa Server, Sendo assim quando alguma requisio e1terna c#ega passa sempre pelo "iltro protegendo assim toda sua rede interna$ Eecu&ando u(a ins'e#o 'ro)unda das ca(adas de cone*es )ei&as a Web Si&es Publicados :ma das vantagens principais de usar 6egras de Publicao da Web 4 a #abilidade do 5ireWall do -sa Server "a;er uma inspeo pro"unda das camadas em todas as cone19es "eitas aos Sites Publicados$ sta inspeo impede que os atacantes emitam comandos maliciosos no Site Publicado$ O inspeo das camadas 4 de responsabilidade do 5iltro de <TTP do 5ireWall do -sa Server, ele pode ser manipulado manualmente, e1emplos3 A(ustar o carregamento m)1imo$ !loqueando ,aracteres <ig#&bit$ +eri"icando Normali;ao$ 6espostas de bloqueio de conte7dos e1ecut)veis das (anelas$ A(ustando o m4todo adequado do <TTP voc0 pode restringir o acesso ao Site Michel Max Pagina 2 de 20 Publicado ao m'nimo e bloquear todo os outros$ Permitir uma lista espec'"ica de arquivos$ Permitir uma lista espec'"ica de ,abeal#os$ Pode 6estringir o acesso ao Site Publicado atrav4s da Assinatura, ,abeal#o, ,orpo, 6odap4, ou corpo da resposta$ Redireciona(en&o de Pas&a As 6egras de Publicao da Web permitem que voc0 redirecione o usu)rio con"orme o tra(eto de sua requisio$ Por 1emplo, um usu)rio "a; uma requisio a +++$si&e$co($br,coisas$ e voc0 quer que a requisio se(a enviada para o Servidor Server002 para o diret=rio +++$si&e$co($br,desenvolvi(en&o-coisas$ +oc0 pode con"igurar a regra de Publicao da Web para redirecionar o pedido *.oisas. para o outro servidor ou pasta *desenvolvi(en&o-coisas.$ -sto tamb4m "uncionara para redirecionamento para outros sites$ Pr/-Au&en&ica#o do Acesso %ei&o a Si&es Publicados As 6egras de Publicao de Sites podem pr4&autenticar os usu)rio no 5ireWall do -sa Server impedindo assim acessos com usu)rios an>nimos$ ,aso o usu)rio no consiga autenticar&se corretamente ser) e1ibida uma mensagem de tempo esgotado$ A Pr4&autenticao permite determinar se o usu)rio poder) acessar o site mesmo que consiga autenticar&se$ Ar(a0ena(en&o de Si&es Publicados e( .ache no Isa Server :ma ve; que um usu)rio "a; uma requisio de conte7do ao -sa Server ele requisita a in"ormao ao servidor Web e em seguida carrega a in"ormao em cac#e diminuindo assim o tr)"ego na rede e agili;ando requisi9es$ 1abilidade de 'ublica#o de v2rios si&es co( u( 3nico endere#o IP O -sa Server permite publicar v)rios sites com um 7nico endereo -P pelo "ato da sua inspeo de camadas, basta criar duas regras de publicao de sites cada um deles apontado para o servidor %eb correspondente na sua rede interna$ O -sa Server "a; o gerenciamento de in"ormao e responde ao usu)rio requisitante a in"ormao correspondente ao site requisitado$ 1abilidade de reescrever 4R5s do Web Si&e 'ublicado usando 5in6 7ransla&or do %ireWall do Isa Server O -sa Server pode rescrever a :6? gerada do site acessado, supon#amos que voc0 ten#a um site publicado no endereo #ttp3@@ServidorAA3@pasta o -sa Server pode reescrever o mesmo como #ttp3@@siteBtal@pasta, impedindo assim que os usu)rios saibam o nome da maquina na sua rede interna$ Redireciona(en&o de Por&as e Pro&ocolos O -sa Server permite que voc0 redirecione as requisi9es para uma outra porta no Sendo necessariamente a padro, ou mesmo que substitua o protocolo padraCpor outro por e1emplo <TTP por 5TP$ Regras de Publica#o de Servidores Michel Max Pagina 3 de 20 As 6egras de Publicao de Servidores so3 :m mapeamento de portas*6everso do NAT.$ /uase todos os protocolos T,P@:8P podem ser utili;ados$ As 6egras de Publicao de Servidores no suportam Autenticao$ O 5iltro de ,amadas pode ser aplicado as regras aumentando a proteo de sua rede$ +oc0 pode con"igurar quais portas os usu)rios podem se conectar$ +oc0 pode con"igurar quais -P remotos podem acessar o servidor e1ternamente$ +oc0 pode aplicar regras de tempo limite de quanto e quando o usu)rio pode "icar conectado ao servidor$ +oc0 pode con"igurar o redirecionamento de portas assim o servidor recebe a requisio em uma porta e comea a trata&la em outra$ 6esumindo as 6egras de Publicao de Servidores so ro&as 8ue )a0e( a inverso do NA7 entre :su)rios e Servidores@<ost$ As 6egras de Publicao de Servidores W! permitem trans"er0ncia de dados sobre <TTP, <TTPS ou 5TP, () as regras de Publicao de Servidores No&W! permitem todo tipo de transmisso T,P@:8P$ As 6egras de Publicao dos Servidores No&W! no permitem pr4&autenticao no 5ireWall do -sa Server, ao contr)rio das 6egras de Publicao de Servidores W!$ Para Publicao de Servidores No&W! voc0 pode de"inir seus pr=prios protocolos Sendo utili;ados os protocolos :8P@T,P, e ainda aplicar "iltros nos mesmos$ So les3 8NS *5iltro de Segurana. 5TP Access 5ilter <$3D3 5ilter PNM 5ilter POP -ntrusion 8etection 5ilter *5iltro de Segurana. PPTP 5ilter 6P, 5ilter *5iltro de Segurana. 6TSP 5ilter SMTP 5ilter *5iltro de Segurana. SO,ES vF 5ilter Web Pro12 5ilter *5iltro de Segurana. .on)igurando Por&as e 9&i(i0ando Es'era de :ados e Redireciona(en&o de Por&as 8entro de cadas 6egra de Publicao de Servidores e1iste a #abilidade de controlar a escuta *espera de dados., tanto para a porta das requisi9es como para a porta de respostas, podendo at4 redirecionar o usu)rio para outra porta$ .on&role de 4su2rios e( Servidores No-WEB mbora o Servidor No&W! publicado no possa ser Pr4&Autenticado podemos de"inir que -PGs podem acessar o Servidor$ Michel Max Pagina 4 de 20 .riando Regras de Publica#o WEB No-SS5 Na primeira parte da publicao de Servidores W! voc0 deve inserir o nome da regra$ Na segunda parte voc0 deve de"inir se dese(a Permitir *Allo%. ou negar *8en2. o acesso ao servidor$ Michel Max Pagina 5 de 20 Na pr=1ima tela voc0 deve especi"icar se3 Publicar um 7nico Servidor W!*recomendado.$ Publicar um balanceamento de mirrors entre sites$ Publicar +)rios Servidores W!$ Na pr=1ima tela voc0 deve de"inir as seguintes op9es3 Nome ou ndereo -P do Servidor$ nviar o ,abeal#o padro do <ost ou do -sa Server$ Pasta Site Michel Max Pagina 6 de 20 O -P a ser descrito deve ser o -P usado na sua rede interna e no o -P e1terno *rro comum dos Administradores do -sa Server., se voc0 decidir utili;ar o nome certi"ique&se de que o -sa Server conseguir) resolver o nome do site que voc0 colocou no H-nternal site NameI$ J importante ressaltar e o cabeal#o do protocolo a ser enviado deve ser substitu'do pelo o do servidor -sa Server caso este(a publicando v)rios servidores atrav4s de um 7nico endereo -P, pois o -sa Server alterar) o relat=rio para que o usu)rio recebe as in"orma9es corretamente e ao requisitar novas in"orma9es o -sa Server atrav4s do cabeal#o "aa a de"inio se a requisio dever) ser repassada para o servidor K ou servidor L$ Na pr=1ima opo voc0 determina os detal#es de nomes, com a seguintes op9es3 Accept requests "or Public Name Pat# Na opo HAccept requests "orI voc0 con"igura se vai aplicar esta regra para todos os sites do publicados atrave; do servidor -sa Server ou um site em espec'"ico$ Na opo HPublic NameI voc0 con"igura o nome site espec'"ico caso ten#a escol#ido a opo HT#is domain nameI$ Na opo HPat#I serve para restringir o acesso a determinada pasta dentro do servidor Sendo assim se dese(a que os usu)rios acessem para todo site coloque H@MI$ Na pr=1ima opo voc0 determina os Web ?istener *Servio de scuta.$ O Web ?istener 4 um servio de escuta uma s4rie ou um ndereo -P, que procura escutar o nome de seu Servidor*8om'nio.$ Michel Max Pagina 7 de 20 Selecione o HWeb ?istenerI ou crie um novo$ Para criao de um novo HWeb ?istenerI ,oloque o nome do mesmoo$ Selecione qual ser) o tipo de Publio a qual ele ser) usada SS? ou No&SS?$ Selecione a 6ede que o HWeb ?istenerI "icar) escutando as requisi9es$ Por padro o -sa Server con"igura para que o HWeb ?istenerI escute todos os -PGs pertencentes a rede que voc0 selecionou, caso voc0 queira aumentar a segurana de seu servidor altere para seu -P e1terno padro, caso no possua -P "i1o voc0 pode determinar uma "ai1a de -PGs que ac#a seguro ou no alterar esta opo$ Michel Max Pagina 8 de 20 O c#eNbo1 H-sa Server %ill compress content sent to clients t#roug# t#is %eb listener i" t#e clients requesting t#e content support compressionI, indica que o -sa Server vai aceitar os pedidos de compresso de conte7do cas o usu)rio requisitante solicite$ Na pr=1ima tela voc0 ir) con"igurar a "orma de pr4&autenticao, voc0 ter) as seguintes op9es3 No Autentication <TTP Autentication <TM? 5orm Autentication scol#endo a opo HNo AutenticationI, no ser) solicitada nen#uma pr4&autenticao do usu)rio, para que o mesmo acesse o site$ scol#endo a opo H<TTP AutenticationI, voc0 dever) in"ormar as "ormas de Autenticao dos mesmos *!asic, 8igest, -ntegrated.$ !asic3 Suporta todos os navegadores e Servidores, no encriptado, ,odi"icao de nome e sen#a sobre !ASOF no ci"radas$ 8igest3 6equer suporte do navedor <TTPP$P, requer que o ,ontrolador do 8om'nio amra;ene os usu)rios e sen#as, encriptao suportada somente pelo Windo%s Server DAA3, 4 case&sensitive$ -ntegrated3 :tili;a NT?M e Eerberos, nome de usu)rio e sen#as encriptadas antes de enviar$ scol#edo <TM? 5orm Autentication, voc0 dever) in"ormar o tipo de servidor de in"ormao de credencias voc0 possui$ Michel Max Pagina 9 de 20 Para con"igurar uma porta di"erente de QA clique duas ve;es em seu Web ?istener e clique clique na guia ,onnections$ Para con"igurar o limite de cone19es simultRneas e o Time&Out clique em SAdvancedT$ Na pr=1ima opo voc0 determina que usu)rios podem acessar$ Michel Max Pagina 10 de 20 Pro'riedades da Publica#o de Servidor WEB$ A regra possui as seguintes guias3 Ueneral Action 5rom To ?istener Public Name Pat#s !ridging :sers Sc#edule ?inN translation +amos passar por elas para vermos quais op9es no "oram dispostas no ato da publicao$ Uuia Ueneral Nesta guia voc0 pode alterar o nome da regra e adicionar um coment)rio e desabilita& la$ Uuia Action Nesta guia voc0 de"ine se a regra Permite ou Nega o acesso ao site, e se ele deve gerar um log dos visitantes, 4 recomendado que no se(a desabilitado o log pois esta regra #abilita uma porta de entrada e sa'da e in"orma9es$ Uuia 5rom *8. +oc0 pode con"igurar que <ostGs podem acessar o site, e con"igurar e1e9es a regra$ Uuia To *Para. sta 4 uma guia importante pois voc0 pode de"inir3 Nome interno do Site Publicado *-nternal Site Name.$ Nome da maquina ou ndereo -P do Servidor do site *,omputer Name or -P Address.$ nviar cabeal#o original do protocolo <TTP*"or%ard t#e original #ost #eader istead o" t#e actual one.$ /uem 8eve validar o acesso ao site *Pro12 requests to publis#ed sites.$ Nome do <ost que possui o site3 Nome do site que 4 utili;ado para acessar o site na rede interna$ Nome ida maquina ou endereo -P do Servidor do site3 ,aso o isa no consiga resolver o endereo do Servidor que possui o site voc0 deve in"ormar pre"erencialmente nesta cai1a de te1to o seu -P ou nome da maquina$ nviar cabeal#o original do protocolo <TTP3 8etermina quem envia o cabeal#o do protocolo <TTP$ /uem deve validar o acesso ao site3 ,aso escol#a que o Servidor do -sa Server valide os usu)rio que podem acessar o site voc0 deve con"igurar toda a estrutura do SecureteNAT no servidor do -sa Server, ,aso escol#a que a validao vir) do Pr=prio Servidor do Site toda a Michel Max Pagina 11 de 20 estrutura dever) pertencer a ele$ Uuia Tra""ic *Tr)"ego. Nesta guia e1istem quatro con"igura9es a serem "eitas ,on"igurao do 5iltro <TTP, e no caso de <TTPS3 Noti"icar para os usu)rio utili;arem <TTPS ao inv4s de <TTP$$ 6equerer criptogra"ia PDQ&bit$ 6equerer certi"icado SS? do usu)rio$ Uuia ?istener *Servio de scuta. +imos como con"igurar&lo completamente anteriormente$ Uuia Public Name *Nome P7blico. Nesta guia voc0 pode con"igurar que nomes p7blicos podem dar acesso a este site, voc0 pode ter v)rios sites com o mesmo endereo -P utili;ado este servio, desta "orma se possui v)rios sites em um -P$ Uuia Pat# *Pasta. Nesta guia voc0 pode determinar redirecionamento de pastas$ Uuia Briging *,ontrole de portas e redirecionamentos. Nesta guia voc0 pode con"igurar que assim que o servio de escuta receber uma requisio repasse&a outra porta, mude de <TTP para <TTPS ou mesmo repasse&a para 5TP$ Uuia :sers *:su)rios. Nesta guia voc0 con"igura que usu)rios podem acessar o site, quando est) con"igurada para all users qualquer um pode acessar o site, porem quando voc0 determina que usu)rios podem acessar o site voc0 acaba tendo duas aut#entica9es uma do -sa Server e outra do %eb site$ Uuia Sc#edule *8eterminao de per'odo. Nesta guia voc0 determina em que per'odo a 6egra vai encontra&se ativa$ Uuia ?inN Translatoin *Traduo de linNs. Nesta guia voc0 pode "a;er con"igura9es est)ticas de resolvimento de endereos$ .riando Regras de Publica#o de Servidores No-WEB ,riar uma r4gra de publicao de servidores No&W! 4 muito mais simple do que criar uma regra de publicao de Servidores W!, voc0 s= precisa saber 3 coisas3 Protocolo a publicar$ -P do Servidor que dese(a publicar$ 6ede de onde viro as quisi9es$ Para publicar um protocolo como servio No&W! ele deve ser dos Seguintes Tipos3 T,P & -nbound :8P & 6eceive Michel Max Pagina 12 de 20 :8P & 6eceive@Send ?ista de protocolos prede"inidos pelo -SA Server3 :NS Server3 T,P V3 -nbound, :8P V3 6eceive@Send, 8NS Securit2 5ilter Abilitado, 8omain Name S2stem Protocol & Server$ Protocolo :tili;ado para publio de trans"er0ncias de in"orma9es de Wona 8NS$ Echange RP. Server3 T,P P3V -nbound, 6P, 5ilter Abilitado$ :tili;ado somente para publicao e tran"erencia de dados 1c#ange 6P, Server$ %7P Server3 T,P DP -nbound, 5TP Access 5ilter 5ilter Abilitado$ Protocolo utili;ado somente para o servio de 5TP$ 177PS Server3 T,P F33 -nbound$ :sado para Publicar Sites SS?*Seguro.$ I;E Server3 :8P VAA 6eceive@Send$ Protocolo utili;ado para publicar um servidor -PSec$ IMAP< Server3 T,P PF3 -nbound$ Protocolo utili;ado para publicar servidores -MAP$ IMAPS Server3 T,P XX3 -nbound$ Protocolo utili;ado para publicar servidores -MAP seguros$ IPSec ESP Server3 :8P 6eceive@Send$ Protocolo utili;ado para publicar servidores -PSec com passagem de dados ,ompleta$ IPSec NA7-7 Server3 :8P FVAA 6eceive@Send$ Protocolo utili;ado para publicar servidores de ?DTP@-PSec$ 5S7P Server3 :8P PYAP 6eceive@Send$ Protocolo utili;ado para publicar servidores de canais ?STP@-PSec$ Microso)& S=5 Server3 T,P PF33 -nbound$ Protocolo utili;ado para publicar servidores S/?$ MMS Server3 T,P PYVV -nbound, :8P PYVV 6eceive, MMS 5ilter Abilitado$ Protocolo utili;ado para publicar servidores de MMS$ NN7P Server3 T,P PPX -nbound$ Protocolo utili;ado para publicar servidores de tran"er0ncia$ NN7PS Server3 T,P VO3 -nbound$ Protocolo utili;ado para publicar servidores seguro de tran"er0ncia$ PNM server3 T,P YAYA -nbound, PNM "ilter Abilitado$ Protocolo utili;ado para publicar servidores de 6edes Prograssivas$ P9P> Server3 T,P PPA -nbound$ Protocolo utili;ado para publicar servidores de e&mail$ P9P>S Server3 T,P XXV -nbound$ Protocolo utili;ado para publicar servidores seguro de e&mail$ PP7P Server3 T,P PYD3 -nbound, PPTP 5ilter Abilitado$ Protocolo utili;ado para publicar servidores ponto a ponto$ Michel Max Pagina 13 de 20 R:P ?7er(inal Services@ Server3 T,P 33QX -nbound$ Protocolo utili;ado para publicar servidores de acesso remoto$ RP. Server ?All in&er)aces@3 T,P P3V -nbound, 6P, "ilter abilitado$ Protocolo utili;ado para publicar servidores entre dominios$ R7SP Server3 T,P VVF -nbound$ Protocolo utili;ado para publicar servidores Windo%s Media Services, utili;ao em tempo real$ SM7P Server3 T,P DV -nbound, SMTP securit2 "ilter Abilitado$ Protocolo utili;ado para publicar servidores de e&mail *envio.$ SM7PS ServerA T,P FOV -nbound$ Protocolo utili;ado para publicar servidores Seguro de e&mail *envio.$ 7elne& Server3 T,P D3 -nbound$ Protocolo utili;ado para publicar servidores para acesso TelNet$ +amos agora criar uma 6egra de Publicao de Servidor No&Web$ Para este utili;aremos o Protocolo R:P ?7er(inal Services@ Server$ Primeiro insira um nome para a 6egra$ Na pr=1ima tela insira o ndereo -P*-nterno. do Servidor a Ser publicado$ Michel Max Pagina 14 de 20 Nesta tela voc0 seleciona qual protocolo que vai publicar$ ,licando na opo HPorts$$$I voc0 poder) de"inir3 Publish using &he de)aul& 'or& de)ined in &he Pro&ocol :e)ini&ion3 sta opo permite que o 5ireWall do -sa Server escute as requisi9es na*s. porta*s. padro do protocolo$ Publish on &his 'or& ins&ead o) &he de)aul& 'or&3 Nesta opo voc0 pode mudar a porta padro de escuta do protocolo$ Send re8ues&s &o &he de)aul& 'or& on &he 'ublished server3 Nesta opo o 5ireWall do -sa Server envia requisi9es atrav4; da porta padro do portocolo$ Send re8ues& &o &his 'or& on &he 'ublished server3 Nesta opo voc0 pode de"inir que porta voc0 quer enviar as requisi9es$ Allo+ &ra))ic )ro( AnB Allo+ed source 'or&3 Nesta opo a regra aceita todas as portas para iniciao da cone1o ao servidor$ 5i(i& access &o &ra))ic )ro( &his range o) source 'or&s3 Nesta opo voc0 pode de"inir que s4rie de portas podem ser utili;adas para in'cio da cone1o do servidor$ Nesta tela voc0 deve selecionar de onde viro as requisi9es$ Michel Max Pagina 15 de 20 Pro'riedades das Regras de 'ublica#o dos Servidores No-WEB Uuia Ueneral *Ueral. Nesta guia voc0 pode con"igurar o nome da regra, uma breve descrio e se ela est) #abilitada ou no$ Uuia Action *Ao. Nesta guia voc0 pode determinar se des(a que se(a logada as requisi9es a este protocolo$ Michel Max Pagina 16 de 20 Uuia Tra""ic *Tr)"ego. Nesta guia voc0 con"igura qual protocolo dese(a publicar e as portas con"orme vimos as con"igura9es anteriormente$ Uuia 5rom *8e. Nesta guia voc0 con"igura de onde podero vir as requisi9es e ainda se #avero e1ce9es, por e1emplo voc0 quer permitir o acesso a toda rede interna e1ceto a "ai1a de micros 1$1$1$1&2$2$2$2, ento voc0 con"igura um Address 6anges e coloca&) em e1ce9es$ Michel Max Pagina 17 de 20 Uuia To *Para. Nesta guia voc0 con"igura o ndereo -P do Servidor que 8ese(a Publicar e 6equest appear to come "rom t#e -sa Server ,omputer ou 6equests appear to "rom t#e Original ,lient$ Re8ues& a''ear &o co(e )ro( &he Isa Server .o('u&er3 Permite ao Servidor conectado ver o endereo -P do e1ecutor da requisio e no do cliente original, esta opo 4 utili;ada quando voc0 no quer que o Servidor publicado se(a um cliente NAT$ Re8ues&s a''ear &o )ro( &he 9riginal .lien&3 Permite ao Servidor conectado ver o endereo -P do cliente original e no o do Servidor do -sa Server Uuia Net%orNs *6edes. Nesta guia voc0 seleciona de qual rede podero vir as requisi9es$ Michel Max Pagina 18 de 20 Uuia Sc#edule *squema. Nesta guia voc0 con"igura quando a regra "uncionar)$ Michel Max Pagina 19 de 20 Bibliogra)ia <o% To ,#eat AT ,on"iguring -SA Server DAAF$ Pro"essor Ale1andre Uomes *People ,omputao ,ampinas.$ Pro"essor Carlos Eduardo Meneghel *People ,omputao ,ampinas.$ Michel Max Pagina 20 de 20