Publicando Regras Servidores WEB e No-Web no ISA Server 2006

Michel Max Alves da Silva

Michel Max

Pagina 1 de 20

Viso Geral da Publicao de Servidores Web e Servidores No-Web

As regras de publicao de Servidores permitem controlar o acesso do servio de quaisquer redes que necessite, incluindo os servios de SMTP, NNTP, POP3, WEB, OWA, NNTP, Terminal Services, conforme sua escolha. As regras de publicao de servidores web e servidores no-web possuem caractersticas muito diferentes umas das outras e so usadas para finalidades muito diferentes. As regras de Servidores WEB devem ser usadas somente para servios de WEB, j servidores no-web devem ser usadas somente para servios no-web (VNC, VoIP, etc).

Regras de Publicao Web.

Quando voc publica um Servidor Web o filtro de proxy web intercepta a requisio e repassa-a para a regra de publicao do servidor. As regras de Publicao ostentam as seguintes caractersticas: Protege o acesso a Sites atravs do FireWall do Isa Server. Inspeciona camada de aplicativos que acessam o Site. Redirecionamento. Pr-autenticao de servidores web(Autenticao Bsica). Controle de cache de sites. Publicar vrios sites com um nico endereo IP. Transcrio de endereos protegidos pelo FireWall do Isa Server. Suporte a autenticao SecurID. Suporte a autenticao Radius. Programar quantas e quando as conexes ao servidor permitido. Redirecionamento de porta e protocolos.

Fornecendo acesso as Sites da Web protegidos pelo FireWall do Isa Server

As Regras de Publicao da Web provendo acesso aos sites da Web considera toda conectada a placa de rede externa uma rede protegida pelo FireWall do Isa Server. O filtro de Proxy da Web do FireWall do Isa Server mantem segura quaisquer requisies feitas a web atravs das Regras de Publicao Web. Mesmo quando voc desabilita o Filtro de Proxy da Web ela sempre estar ativa para publicaes da Web, esta foi uma medida implementada pela equipe de desenvolvedores do Isa Server, Sendo assim quando alguma requisio externa chega passa sempre pelo filtro protegendo assim toda sua rede interna.

Executando uma inspeo profunda das camadas de conexes feitas a Web Sites Publicados
Uma das vantagens principais de usar Regras de Publicao da Web a habilidade do FireWall do Isa Server fazer uma inspeo profunda das camadas em todas as conexes feitas aos Sites Publicados. Esta inspeo impede que os atacantes emitam comandos maliciosos no Site Publicado. O inspeo das camadas de responsabilidade do Filtro de HTTP do FireWall do Isa Server, ele pode ser manipulado manualmente, exemplos: Ajustar o carregamento mximo. Bloqueando Caracteres High-bit. Verificando Normalizao. Respostas de bloqueio de contedos executveis das janelas. Ajustando o mtodo adequado do HTTP voc pode restringir o acesso ao Site

Michel Max

Pagina 2 de 20

Publicado ao mnimo e bloquear todo os outros. Permitir uma lista especfica de arquivos. Permitir uma lista especfica de Cabealhos. Pode Restringir o acesso ao Site Publicado atravs da Assinatura, Cabealho, Corpo, Rodap, ou corpo da resposta.

Redirecionamento de Pasta
As Regras de Publicao da Web permitem que voc redirecione o usurio conforme o trajeto de sua requisio. Por Exemplo, um usurio faz uma requisio a www.site.com.br/coisas. e voc quer que a requisio seja enviada para o Servidor Server002 para o diretrio www.site.com.br/desenvolvimento_coisas. Voc pode configurar a regra de Publicao da Web para redirecionar o pedido (Coisas) para o outro servidor ou pasta (desenvolvimento_coisas). Isto tambm funcionara para redirecionamento para outros sites.

Pr-Autenticao do Acesso Feito a Sites Publicados

As Regras de Publicao de Sites podem pr-autenticar os usurio no FireWall do Isa Server impedindo assim acessos com usurios annimos. Caso o usurio no consiga autenticar-se corretamente ser exibida uma mensagem de tempo esgotado. A Pr-autenticao permite determinar se o usurio poder acessar o site mesmo que consiga autenticar-se.

Armazenamento de Sites Publicados em Cache no Isa Server

Uma vez que um usurio faz uma requisio de contedo ao Isa Server ele requisita a informao ao servidor Web e em seguida carrega a informao em cache diminuindo assim o trfego na rede e agilizando requisies.

Habilidade de publicao de vrios sites com um nico endereo IP

O Isa Server permite publicar vrios sites com um nico endereo IP pelo fato da sua inspeo de camadas, basta criar duas regras de publicao de sites cada um deles apontado para o servidor web correspondente na sua rede interna. O Isa Server faz o gerenciamento de informao e responde ao usurio requisitante a informao correspondente ao site requisitado.

Habilidade de reescrever URLs do Web Site publicado usando Link Translator do FireWall do Isa Server
O Isa Server pode rescrever a URL gerada do site acessado, suponhamos que voc tenha um site publicado no endereo http://Servidor003/pasta o Isa Server pode reescrever o mesmo como http://site_tal/pasta, impedindo assim que os usurios saibam o nome da maquina na sua rede interna.

Redirecionamento de Portas e Protocolos

O Isa Server permite que voc redirecione as requisies para uma outra porta no Sendo necessariamente a padro, ou mesmo que substitua o protocolo padra~por outro por exemplo HTTP por FTP.

Regras de Publicao de Servidores

Michel Max

Pagina 3 de 20

As Regras de Publicao de Servidores so: Um mapeamento de portas(Reverso do NAT). Quase todos os protocolos TCP/UDP podem ser utilizados. As Regras de Publicao de Servidores no suportam Autenticao. O Filtro de Camadas pode ser aplicado as regras aumentando a proteo de sua rede. Voc pode configurar quais portas os usurios podem se conectar. Voc pode configurar quais IP remotos podem acessar o servidor externamente. Voc pode aplicar regras de tempo limite de quanto e quando o usurio pode ficar conectado ao servidor. Voc pode configurar o redirecionamento de portas assim o servidor recebe a requisio em uma porta e comea a trata-la em outra. Resumindo as Regras de Publicao de Servidores so rotas que fazem a inverso do NAT entre Usurios e Servidores/Host. As Regras de Publicao de Servidores WEB permitem transferncia de dados sobre HTTP, HTTPS ou FTP, j as regras de Publicao de Servidores No-WEB permitem todo tipo de transmisso TCP/UDP. As Regras de Publicao dos Servidores No-WEB no permitem pr-autenticao no FireWall do Isa Server, ao contrrio das Regras de Publicao de Servidores WEB. Para Publicao de Servidores No-WEB voc pode definir seus prprios protocolos Sendo utilizados os protocolos UDP/TCP, e ainda aplicar filtros nos mesmos. So Eles:

DNS (Filtro de Segurana) FTP Access Filter H.323 Filter PNM Filter POP Intrusion Detection Filter (Filtro de Segurana) PPTP Filter RPC Filter (Filtro de Segurana) RTSP Filter SMTP Filter (Filtro de Segurana) SOCKS v4 Filter Web Proxy Filter (Filtro de Segurana)

Configurando Portas e Redirecionamento de Portas

Otimizando

Espera

de

Dados

Dentro de cadas Regra de Publicao de Servidores existe a habilidade de controlar a escuta (espera de dados), tanto para a porta das requisies como para a porta de respostas, podendo at redirecionar o usurio para outra porta.

Controle de Usurios em Servidores No-WEB

Embora o Servidor No-WEB publicado no possa ser Pr-Autenticado podemos definir que IP's podem acessar o Servidor.

Michel Max

Pagina 4 de 20

Criando Regras de Publicao WEB No-SSL

Na primeira parte da publicao de Servidores WEB voc deve inserir o nome da regra.

Na segunda parte voc deve definir se deseja Permitir (Allow) ou negar (Deny) o acesso ao servidor.

Michel Max

Pagina 5 de 20

Na prxima tela voc deve especificar se: Publicar um nico Servidor WEB(recomendado). Publicar um balanceamento de mirrors entre sites. Publicar Vrios Servidores WEB.

Na prxima tela voc deve definir as seguintes opes:

Nome ou Endereo IP do Servidor. Enviar o Cabealho padro do Host ou do Isa Server. Pasta Site

Michel Max

Pagina 6 de 20

O IP a ser descrito deve ser o IP usado na sua rede interna e no o IP externo (Erro comum dos Administradores do Isa Server), se voc decidir utilizar o nome certifique-se de que o Isa Server conseguir resolver o nome do site que voc colocou no Internal site Name. importante ressaltar e o cabealho do protocolo a ser enviado deve ser substitudo pelo o do servidor Isa Server caso esteja publicando vrios servidores atravs de um nico endereo IP, pois o Isa Server alterar o relatrio para que o usurio recebe as informaes corretamente e ao requisitar novas informaes o Isa Server atravs do cabealho faa a definio se a requisio dever ser repassada para o servidor X ou servidor Y. Na prxima opo voc determina os detalhes de nomes, com a seguintes opes:

Accept requests for Public Name Path

Na opo Accept requests for voc configura se vai aplicar esta regra para todos os sites do publicados atravez do servidor Isa Server ou um site em especfico. Na opo Public Name voc configura o nome site especfico caso tenha escolhido a opo This domain name. Na opo Path serve para restringir o acesso a determinada pasta dentro do servidor Sendo assim se deseja que os usurios acessem para todo site coloque /*. Na prxima opo voc determina os Web Listener (Servio de Escuta). O Web Listener um servio de escuta uma srie ou um Endereo IP, que procura escutar o nome de seu Servidor(Domnio).

Michel Max

Pagina 7 de 20

Selecione o Web Listener ou crie um novo. Para criao de um novo Web Listener Coloque o nome do mesmoo. Selecione qual ser o tipo de Publio a qual ele ser usada SSL ou No-SSL. Selecione a Rede que o Web Listener ficar escutando as requisies.

Por padro o Isa Server configura para que o Web Listener escute todos os IP's pertencentes a rede que voc selecionou, caso voc queira aumentar a segurana de seu servidor altere para seu IP externo padro, caso no possua IP fixo voc pode determinar uma faixa de IP's que acha seguro ou no alterar esta opo.

Michel Max

Pagina 8 de 20

O chekbox Isa Server will compress content sent to clients through this web listener if the clients requesting the content support compression, indica que o Isa Server vai aceitar os pedidos de compresso de contedo cas o usurio requisitante solicite. Na prxima tela voc ir configurar a forma de pr-autenticao, voc ter as seguintes opes: No Autentication HTTP Autentication HTML Form Autentication Escolhendo a opo No Autentication, no ser solicitada nenhuma pr-autenticao do usurio, para que o mesmo acesse o site. Escolhendo a opo HTTP Autentication, voc dever informar as formas de Autenticao dos mesmos (Basic, Digest, Integrated). Basic: Suporta todos os navegadores e Servidores, no encriptado, Codificao de nome e senha sobre BASE64 no cifradas.

Digest: Requer suporte do navedor HTTP1.1, requer que o Controlador do Domnio amrazene os usurios e senhas, encriptao suportada somente pelo Windows Server 2003, case-sensitive. Integrated: Utiliza NTLM e Kerberos, nome de usurio e senhas encriptadas antes de enviar.

Escolhedo HTML Form Autentication, voc dever informar o tipo de servidor de informao de credencias voc possui.

Michel Max

Pagina 9 de 20

Para configurar uma porta diferente de 80 clique duas vezes em seu Web Listener e clique clique na guia Connections.

Para configurar o limite de conexes simultneas e o Time-Out clique em [Advanced]. Na prxima opo voc determina que usurios podem acessar.

Michel Max

Pagina 10 de 20

Propriedades da Publicao de Servidor WEB.

A regra possui as seguintes guias: General Action From To Listener Public Name Paths Bridging Users Schedule Link translation Vamos passar por elas para vermos quais opes no foram dispostas no ato da publicao. Guia General Nesta guia voc pode alterar o nome da regra e adicionar um comentrio e desabilitala. Guia Action Nesta guia voc define se a regra Permite ou Nega o acesso ao site, e se ele deve gerar um log dos visitantes, recomendado que no seja desabilitado o log pois esta regra habilita uma porta de entrada e sada e informaes. Guia From (DE) Voc pode configurar que Host's podem acessar o site, e configurar exees a regra. Guia To (Para) Esta uma guia importante pois voc pode definir:

Nome interno do Site Publicado (Internal Site Name). Nome da maquina ou Endereo IP do Servidor do site (Computer Name or IP Address). Enviar cabealho original do protocolo HTTP(forward the original host header istead of the actual one). Quem Deve validar o acesso ao site (Proxy requests to published sites).

Nome do Host que possui o site: Nome do site que utilizado para acessar o site na rede interna. Nome ida maquina ou endereo IP do Servidor do site: Caso o isa no consiga resolver o endereo do Servidor que possui o site voc deve informar preferencialmente nesta caixa de texto o seu IP ou nome da maquina. Enviar cabealho original do protocolo HTTP: Determina quem envia o cabealho do protocolo HTTP. Quem deve validar o acesso ao site: Caso escolha que o Servidor do Isa Server valide os usurio que podem acessar o site voc deve configurar toda a estrutura do SecureteNAT no servidor do Isa Server, Caso escolha que a validao vir do Prprio Servidor do Site toda a

Michel Max

Pagina 11 de 20

estrutura dever pertencer a ele. Guia Traffic (Trfego) Nesta guia existem quatro configuraes a serem feitas Configurao do Filtro HTTP, e no caso de HTTPS: Notificar para os usurio utilizarem HTTPS ao invs de HTTP.. Requerer criptografia 128-bit. Requerer certificado SSL do usurio. Guia Listener (Servio de Escuta) Vimos como configurar-lo completamente anteriormente. Guia Public Name (Nome Pblico) Nesta guia voc pode configurar que nomes pblicos podem dar acesso a este site, voc pode ter vrios sites com o mesmo endereo IP utilizado este servio, desta forma se possui vrios sites em um IP. Guia Path (Pasta) Nesta guia voc pode determinar redirecionamento de pastas. Guia

Briging(Controle de portas e redirecionamentos)

Nesta guia voc pode configurar que assim que o servio de escuta receber uma requisio repasse-a outra porta, mude de HTTP para HTTPS ou mesmo repasse-a para FTP. Guia Users (Usurios) Nesta guia voc configura que usurios podem acessar o site, quando est configurada para all users qualquer um pode acessar o site, porem quando voc determina que usurios podem acessar o site voc acaba tendo duas authenticaes uma do Isa Server e outra do web site. Guia Schedule (Determinao de perodo) Nesta guia voc determina em que perodo a Regra vai encontra-se ativa. Guia Link Translatoin (Traduo de links) Nesta guia voc pode fazer configuraes estticas de resolvimento de endereos.

Criando Regras de Publicao de Servidores No-WEB

Criar uma rgra de publicao de servidores No-WEB muito mais simple do que criar uma regra de publicao de Servidores WEB, voc s precisa saber 3 coisas: Protocolo a publicar. IP do Servidor que deseja publicar. Rede de onde viro as quisies. Para publicar um protocolo como servio No-WEB ele deve ser dos Seguintes Tipos: TCP - Inbound UDP - Receive

Michel Max

Pagina 12 de 20

UDP - Receive/Send

Lista de protocolos predefinidos pelo ISA Server: DNS Server: TCP 53 Inbound, UDP 53 Receive/Send, DNS Security Filter Abilitado, Domain Name System Protocol - Server. Protocolo Utilizado para publio de transferncias de informaes de Zona DNS. Exchange RPC Server: TCP 135 Inbound, RPC Filter Abilitado. Utilizado somente para publicao e tranferencia de dados Exchange RPC Server. FTP Server: TCP 21 Inbound, FTP Access Filter Filter Abilitado. Protocolo utilizado somente para o servio de FTP. HTTPS Server: TCP 433 Inbound. Usado para Publicar Sites SSL(Seguro). IPSec. IKE Server: UDP 500 Receive/Send. Protocolo utilizado para publicar um servidor IMAP4 Server: TCP 143 Inbound. Protocolo utilizado para publicar servidores IMAP. IMAPS Server: TCP 993 Inbound. Protocolo utilizado para publicar servidores IMAP seguros. IPSec ESP Server: UDP Receive/Send. Protocolo utilizado para publicar servidores IPSec com passagem de dados Completa. IPSec NAT-T Server: UDP 4500 Receive/Send. Protocolo utilizado para publicar servidores de L2TP/IPSec. LSTP Server: UDP 1701 Receive/Send. Protocolo utilizado para publicar servidores de canais LSTP/IPSec. Microsoft SQL Server: TCP 1433 Inbound. Protocolo utilizado para publicar servidores SQL. MMS Server: TCP 1755 Inbound, UDP 1755 Receive, MMS Filter Abilitado. Protocolo utilizado para publicar servidores de MMS. NNTP Server: TCP 119 Inbound. Protocolo utilizado para publicar servidores de tranferncia. NNTPS Server: TCP 563 Inbound. Protocolo utilizado para publicar servidores seguro de tranferncia. PNM server: TCP 7070 Inbound, PNM filter Abilitado. Protocolo utilizado para publicar servidores de Redes Prograssivas. POP3 Server: TCP 110 Inbound. Protocolo utilizado para publicar servidores de e-mail. POP3S Server: TCP 995 Inbound. Protocolo utilizado para publicar servidores seguro de e-mail. PPTP Server: TCP 1723 Inbound, PPTP Filter Abilitado. Protocolo utilizado para publicar servidores ponto a ponto.

Michel Max

Pagina 13 de 20

RDP (Terminal Services) Server: TCP 3389 Inbound. Protocolo utilizado para publicar servidores de acesso remoto. RPC Server (All interfaces): TCP 135 Inbound, RPC filter abilitado. Protocolo utilizado para publicar servidores entre dominios. RTSP Server: TCP 554 Inbound. Protocolo utilizado para publicar servidores Windows Media Services, utilizao em tempo real. SMTP Server: TCP 25 Inbound, SMTP security filter Abilitado. Protocolo utilizado para publicar servidores de e-mail (envio). SMTPS Server: TCP 465 Inbound. Protocolo utilizado para publicar servidores Seguro de e-mail (envio). Telnet Server: TCP 23 Inbound. Protocolo utilizado para publicar servidores para acesso TelNet. Vamos agora criar uma Regra de Publicao de Servidor No-Web. Para este utilizaremos o Protocolo RDP (Terminal Services) Server. Primeiro insira um nome para a Regra.

Na prxima tela insira o Endereo IP(Interno) do Servidor a Ser publicado.

Michel Max

Pagina 14 de 20

Nesta tela voc seleciona qual protocolo que vai publicar.

Clicando na opo Ports... voc poder definir:

Publish using the default port defined in the Protocol Definition: Esta opo permite que o FireWall do Isa Server escute as requisies na(s) porta(s) padro do protocolo. Publish on this port instead of the default port: Nesta opo voc pode mudar a porta padro de escuta do protocolo. Send requests to the default port on the published server: Nesta opo o FireWall do Isa Server envia requisies atravz da porta padro do portocolo. Send request to this port on the published server: Nesta opo voc pode definir que porta voc quer enviar as requisies. Allow traffic from Any Allowed source port: Nesta opo a regra aceita todas as portas para iniciao da conexo ao servidor. Limit access to traffic from this range of source ports: Nesta opo voc pode definir que srie de portas podem ser utilizadas para incio da conexo do servidor.

Nesta tela voc deve selecionar de onde viro as requisies.

Michel Max

Pagina 15 de 20

Propriedades das Regras de publicao dos Servidores No-WEB

Guia General (Geral)

Nesta guia voc pode configurar o nome da regra, uma breve descrio e se ela est habilitada ou no.

Guia Action (Ao)

Nesta guia voc pode determinar se desja que seja logada as requisies a este protocolo.

Michel Max

Pagina 16 de 20

Guia Traffic (Trfego)

Nesta guia voc configura qual protocolo deseja publicar e as portas conforme vimos as configuraes anteriormente.

Guia From (De)

Nesta guia voc configura de onde podero vir as requisies e ainda se havero excees, por exemplo voc quer permitir o acesso a toda rede interna exceto a faixa de micros x.x.x.x-y.y.y.y, ento voc configura um Address Ranges e coloca- em excees.

Michel Max

Pagina 17 de 20

Guia To (Para)

Nesta guia voc configura o Endereo IP do Servidor que Deseja Publicar e Request appear to come from the Isa Server Computer ou Requests appear to from the Original Client. Request appear to come from the Isa Server Computer: Permite ao Servidor conectado ver o endereo IP do executor da requisio e no do cliente original, esta opo utilizada quando voc no quer que o Servidor publicado seja um cliente NAT. Requests appear to from the Original Client: Permite ao Servidor conectado ver o endereo IP do cliente original e no o do Servidor do Isa Server

Guia Networks (Redes)

Nesta guia voc seleciona de qual rede podero vir as requisies.

Michel Max

Pagina 18 de 20

Guia Schedule (Esquema) Nesta guia voc configura quando a regra funcionar.

Michel Max

Pagina 19 de 20

Bibliografia

How To Cheat AT Configuring ISA Server 2004. Professor Alexandre Gomes (People Computao Campinas). Professor Carlos Eduardo Meneghel (People Computao Campinas).

Michel Max

Pagina 20 de 20