Você está na página 1de 20

Publicando Regras

Servidores WEB e Não-Web no ISA Server 2006

Michel Max Alves da Silva

Michel Max Pagina 1 de 20


Visão Geral da Publicação de Servidores Web e Servidores Não-Web

As regras de publicação de Servidores permitem controlar o acesso do serviço de


quaisquer redes que necessite, incluindo os serviços de SMTP, NNTP, POP3, WEB, OWA, NNTP,
Terminal Services, conforme sua escolha.
As regras de publicação de servidores web e servidores não-web possuem
características muito diferentes umas das outras e são usadas para finalidades muito
diferentes. As regras de Servidores WEB devem ser usadas somente para serviços de WEB, já
servidores não-web devem ser usadas somente para serviços não-web (VNC, VoIP, etc).

Regras de Publicação Web.

Quando você publica um Servidor Web o filtro de proxy web intercepta a requisição e
repassa-a para a regra de publicação do servidor.
As regras de Publicação ostentam as seguintes características:
● Protege o acesso a Sites através do FireWall do Isa Server.
● Inspeciona camada de aplicativos que acessam o Site.
● Redirecionamento.
● Pré-autenticação de servidores web(Autenticação Básica).
● Controle de cache de sites.
● Publicar vários sites com um único endereço IP.
● Transcrição de endereços protegidos pelo FireWall do Isa Server.
● Suporte a autenticação SecurID.
● Suporte a autenticação Radius.
● Programar quantas e quando as conexões ao servidor é permitido.
● Redirecionamento de porta e protocolos.

Fornecendo acesso as Sites da Web protegidos pelo FireWall do Isa


Server

As Regras de Publicação da Web provendo acesso aos sites da Web considera toda
conectada a placa de rede externa uma rede protegida pelo FireWall do Isa Server.
O filtro de Proxy da Web do FireWall do Isa Server mantem segura quaisquer
requisições feitas a web através das Regras de Publicação Web.
Mesmo quando você desabilita o Filtro de Proxy da Web ela sempre estará ativa para
publicações da Web, esta foi uma medida implementada pela equipe de desenvolvedores do
Isa Server, Sendo assim quando alguma requisição externa chega passa sempre pelo filtro
protegendo assim toda sua rede interna.

Executando uma inspeção profunda das camadas de conexões feitas a


Web Sites Publicados

Uma das vantagens principais de usar Regras de Publicação da Web é a habilidade do


FireWall do Isa Server fazer uma inspeção profunda das camadas em todas as conexões feitas
aos Sites Publicados. Esta inspeção impede que os atacantes emitam comandos maliciosos no
Site Publicado.

O inspeção das camadas é de responsabilidade do Filtro de HTTP do FireWall do Isa


Server, ele pode ser manipulado manualmente, exemplos:
● Ajustar o carregamento máximo.
● Bloqueando Caracteres High-bit.
● Verificando Normalização.
● Respostas de bloqueio de conteúdos executáveis das janelas.
● Ajustando o método adequado do HTTP você pode restringir o acesso ao Site

Michel Max Pagina 2 de 20


Publicado ao mínimo e bloquear todo os outros.
● Permitir uma lista específica de arquivos.
● Permitir uma lista específica de Cabeçalhos.
● Pode Restringir o acesso ao Site Publicado através da Assinatura, Cabeçalho,
Corpo, Rodapé, ou corpo da resposta.

Redirecionamento de Pasta

As Regras de Publicação da Web permitem que você redirecione o usuário conforme o


trajeto de sua requisição. Por Exemplo, um usuário faz uma requisição a
www.site.com.br/coisas. e você quer que a requisição seja enviada para o Servidor
Server002 para o diretório www.site.com.br/desenvolvimento_coisas. Você pode
configurar a regra de Publicação da Web para redirecionar o pedido (Coisas) para o outro
servidor ou pasta (desenvolvimento_coisas). Isto também funcionara para
redirecionamento para outros sites.

Pré-Autenticação do Acesso Feito a Sites Publicados

As Regras de Publicação de Sites podem pré-autenticar os usuário no FireWall do Isa


Server impedindo assim acessos com usuários anônimos. Caso o usuário não consiga
autenticar-se corretamente será exibida uma mensagem de tempo esgotado.
A Pré-autenticação permite determinar se o usuário poderá acessar o site mesmo que
consiga autenticar-se.

Armazenamento de Sites Publicados em Cache no Isa Server

Uma vez que um usuário faz uma requisição de conteúdo ao Isa Server ele requisita a
informação ao servidor Web e em seguida carrega a informação em cache diminuindo assim o
tráfego na rede e agilizando requisições.

Habilidade de publicação de vários sites com um único endereço IP

O Isa Server permite publicar vários sites com um único endereço IP pelo fato da sua
inspeção de camadas, basta criar duas regras de publicação de sites cada um deles apontado
para o servidor web correspondente na sua rede interna. O Isa Server faz o gerenciamento de
informação e responde ao usuário requisitante a informação correspondente ao site
requisitado.

Habilidade de reescrever URLs do Web Site publicado usando Link


Translator do FireWall do Isa Server

O Isa Server pode rescrever a URL gerada do site acessado, suponhamos que você
tenha um site publicado no endereço http://Servidor003/pasta o Isa Server pode reescrever o
mesmo como http://site_tal/pasta, impedindo assim que os usuários saibam o nome da
maquina na sua rede interna.

Redirecionamento de Portas e Protocolos

O Isa Server permite que você redirecione as requisições para uma outra porta não
Sendo necessariamente a padrão, ou mesmo que substitua o protocolo padra~por outro por
exemplo HTTP por FTP.

Regras de Publicação de Servidores

Michel Max Pagina 3 de 20


As Regras de Publicação de Servidores são:
● Um mapeamento de portas(Reversão do NAT).
● Quase todos os protocolos TCP/UDP podem ser utilizados.
● As Regras de Publicação de Servidores não suportam Autenticação.
● O Filtro de Camadas pode ser aplicado as regras aumentando a proteção de sua rede.
● Você pode configurar quais portas os usuários podem se conectar.
● Você pode configurar quais IP remotos podem acessar o servidor externamente.
● Você pode aplicar regras de tempo limite de quanto e quando o usuário pode ficar
conectado ao servidor.
● Você pode configurar o redirecionamento de portas assim o servidor recebe a requisição
em uma porta e começa a trata-la em outra.

Resumindo as Regras de Publicação de Servidores são rotas que fazem a inversão


do NAT entre Usuários e Servidores/Host.

As Regras de Publicação de Servidores WEB permitem transferência de dados sobre


HTTP, HTTPS ou FTP, já as regras de Publicação de Servidores Não-WEB permitem todo tipo de
transmissão TCP/UDP.

As Regras de Publicação dos Servidores Não-WEB não permitem pré-autenticação no


FireWall do Isa Server, ao contrário das Regras de Publicação de Servidores WEB.

Para Publicação de Servidores Não-WEB você pode definir seus próprios protocolos
Sendo utilizados os protocolos UDP/TCP, e ainda aplicar filtros nos mesmos. São Eles:

● DNS (Filtro de Segurança)


● FTP Access Filter
● H.323 Filter
● PNM Filter
● POP Intrusion Detection Filter (Filtro de Segurança)
● PPTP Filter
● RPC Filter (Filtro de Segurança)
● RTSP Filter
● SMTP Filter (Filtro de Segurança)
● SOCKS v4 Filter
● Web Proxy Filter (Filtro de Segurança)

Configurando Portas e Otimizando Espera de Dados e


Redirecionamento de Portas

Dentro de cadas Regra de Publicação de Servidores existe a habilidade de controlar a


escuta (espera de dados), tanto para a porta das requisições como para a porta de respostas,
podendo até redirecionar o usuário para outra porta.

Controle de Usuários em Servidores Não-WEB

Embora o Servidor Não-WEB publicado não possa ser Pré-Autenticado podemos definir
que IP's podem acessar o Servidor.

Michel Max Pagina 4 de 20


Criando Regras de Publicação WEB Não-SSL

Na primeira parte da publicação de Servidores WEB você deve inserir o nome da regra.

Na segunda parte você deve definir se deseja Permitir (Allow) ou negar (Deny) o acesso
ao servidor.

Michel Max Pagina 5 de 20


Na próxima tela você deve especificar se:
● Publicar um único Servidor WEB(recomendado).
● Publicar um balanceamento de mirrors entre sites.
● Publicar Vários Servidores WEB.

Na próxima tela você deve definir as seguintes opções:

● Nome ou Endereço IP do Servidor.


● Enviar o Cabeçalho padrão do Host ou do Isa Server.
● Pasta
● Site

Michel Max Pagina 6 de 20


O IP a ser descrito deve ser o IP usado na sua rede interna e não o IP externo (Erro
comum dos Administradores do Isa Server), se você decidir utilizar o nome certifique-se de
que o Isa Server conseguirá resolver o nome do site que você colocou no “Internal site Name”.

É importante ressaltar e o cabeçalho do protocolo a ser enviado deve ser substituído


pelo o do servidor Isa Server caso esteja publicando vários servidores através de um único
endereço IP, pois o Isa Server alterará o relatório para que o usuário recebe as informações
corretamente e ao requisitar novas informações o Isa Server através do cabeçalho faça a
definição se a requisição deverá ser repassada para o servidor X ou servidor Y.

Na próxima opção você determina os detalhes de nomes, com a seguintes opções:

● Accept requests for


● Public Name
● Path

Na opção “Accept requests for” você configura se vai aplicar esta regra para todos os
sites do publicados atravez do servidor Isa Server ou um site em específico.

Na opção “Public Name” você configura o nome site específico caso tenha escolhido a
opção “This domain name”.

Na opção “Path” serve para restringir o acesso a determinada pasta dentro do servidor
Sendo assim se deseja que os usuários acessem para todo site coloque “/*”.

Na próxima opção você determina os Web Listener (Serviço de Escuta).

O Web Listener é um serviço de escuta uma série ou um Endereço IP, que procura
escutar o nome de seu Servidor(Domínio).

Michel Max Pagina 7 de 20


Selecione o “Web Listener” ou crie um novo.
Para criação de um novo “Web Listener” Coloque o nome do mesmoo.
Selecione qual será o tipo de Publição a qual ele será usada SSL ou Não-SSL.
Selecione a Rede que o “Web Listener” ficará escutando as requisições.

Por padrão o Isa Server configura para que o “Web Listener” escute todos os IP's
pertencentes a rede que você selecionou, caso você queira aumentar a segurança de seu
servidor altere para seu IP externo padrão, caso não possua IP fixo você pode determinar uma
faixa de IP's que acha seguro ou não alterar esta opção.

Michel Max Pagina 8 de 20


O chekbox “Isa Server will compress content sent to clients through this web listener if
the clients requesting the content support compression”, indica que o Isa Server vai aceitar os
pedidos de compressão de conteúdo cas o usuário requisitante solicite.

Na próxima tela você irá configurar a forma de pré-autenticação, você terá as seguintes
opções:
● No Autentication
● HTTP Autentication
● HTML Form Autentication
Escolhendo a opção “No Autentication”, não será solicitada nenhuma pré-autenticação
do usuário, para que o mesmo acesse o site.

Escolhendo a opção “HTTP Autentication”, você deverá informar as formas de


Autenticação dos mesmos (Basic, Digest, Integrated).
● Basic: Suporta todos os navegadores e Servidores, não encriptado, Codificação
de nome e senha sobre BASE64 não cifradas.

● Digest: Requer suporte do navedor HTTP1.1, requer que o Controlador do


Domínio amrazene os usuários e senhas, encriptação suportada somente pelo
Windows Server 2003, é case-sensitive.

● Integrated: Utiliza NTLM e Kerberos, nome de usuário e senhas encriptadas


antes de enviar.

Escolhedo HTML Form Autentication, você deverá informar o tipo de servidor de


informação de credencias você possui.

Michel Max Pagina 9 de 20


Para configurar uma porta diferente de 80 clique duas vezes em seu Web Listener e
clique clique na guia Connections.

Para configurar o limite de conexões simultâneas e o Time-Out clique em [Advanced].

Na próxima opção você determina que usuários podem acessar.

Michel Max Pagina 10 de 20


Propriedades da Publicação de Servidor WEB.

A regra possui as seguintes guias:


● General
● Action
● From
● To
● Listener
● Public Name
● Paths
● Bridging
● Users
● Schedule
● Link translation

Vamos passar por elas para vermos quais opções não foram dispostas no ato da
publicação.

Guia General

Nesta guia você pode alterar o nome da regra e adicionar um comentário e desabilita-
la.

Guia Action

Nesta guia você define se a regra Permite ou Nega o acesso ao site, e se ele deve gerar
um log dos visitantes, é recomendado que não seja desabilitado o log pois esta regra habilita
uma porta de entrada e saída e informações.

Guia From (DE)

Você pode configurar que Host's podem acessar o site, e configurar exeções a regra.

Guia To (Para)

Esta é uma guia importante pois você pode definir:

● Nome interno do Site Publicado (Internal Site Name).


● Nome da maquina ou Endereço IP do Servidor do site (Computer Name or IP
Address).
● Enviar cabeçalho original do protocolo HTTP(forward the original host header
istead of the actual one).
● Quem Deve validar o acesso ao site (Proxy requests to published sites).

Nome do Host que possui o site: Nome do site que é utilizado para acessar o site na
rede interna.
Nome ida maquina ou endereço IP do Servidor do site: Caso o isa não consiga resolver
o endereço do Servidor que possui o site você deve informar preferencialmente nesta caixa de
texto o seu IP ou nome da maquina.
Enviar cabeçalho original do protocolo HTTP: Determina quem envia o cabeçalho do
protocolo HTTP.
Quem deve validar o acesso ao site: Caso escolha que o Servidor do Isa Server valide
os usuário que podem acessar o site você deve configurar toda a estrutura do SecureteNAT no
servidor do Isa Server, Caso escolha que a validação virá do Próprio Servidor do Site toda a

Michel Max Pagina 11 de 20


estrutura deverá pertencer a ele.

Guia Traffic (Tráfego)

Nesta guia existem quatro configurações a serem feitas Configuração do Filtro HTTP, e
no caso de HTTPS:
● Notificar para os usuário utilizarem HTTPS ao invés de HTTP..
● Requerer criptografia 128-bit.
● Requerer certificado SSL do usuário.

Guia Listener (Serviço de Escuta)


Vimos como configurar-lo completamente anteriormente.

Guia Public Name (Nome Público)

Nesta guia você pode configurar que nomes públicos podem dar acesso a este site,
você pode ter vários sites com o mesmo endereço IP utilizado este serviço, desta forma se
possui vários sites em um IP.

Guia Path (Pasta)

Nesta guia você pode determinar redirecionamento de pastas.

Guia Briging(Controle de portas e redirecionamentos)

Nesta guia você pode configurar que assim que o serviço de escuta receber uma
requisição repasse-a outra porta, mude de HTTP para HTTPS ou mesmo repasse-a para FTP.

Guia Users (Usuários)

Nesta guia você configura que usuários podem acessar o site, quando está configurada
para all users qualquer um pode acessar o site, porem quando você determina que usuários
podem acessar o site você acaba tendo duas authenticações uma do Isa Server e outra do web
site.

Guia Schedule (Determinação de período)

Nesta guia você determina em que período a Regra vai encontra-se ativa.

Guia Link Translatoin (Tradução de links)

Nesta guia você pode fazer configurações estáticas de resolvimento de endereços.

Criando Regras de Publicação de Servidores Não-WEB

Criar uma régra de publicação de servidores Não-WEB é muito mais simple do que criar
uma regra de publicação de Servidores WEB, você só precisa saber 3 coisas:
● Protocolo a publicar.
● IP do Servidor que deseja publicar.
● Rede de onde virão as quisições.

Para publicar um protocolo como serviço Não-WEB ele deve ser dos Seguintes Tipos:
● TCP - Inbound
● UDP - Receive

Michel Max Pagina 12 de 20


● UDP - Receive/Send

Lista de protocolos predefinidos pelo ISA Server:

DNS Server: TCP 53 Inbound, UDP 53 Receive/Send, DNS Security Filter Abilitado,
Domain Name System Protocol - Server. Protocolo Utilizado para publição de transferências de
informações de Zona DNS.

Exchange RPC Server: TCP 135 Inbound, RPC Filter Abilitado. Utilizado somente para
publicação e tranferencia de dados Exchange RPC Server.

FTP Server: TCP 21 Inbound, FTP Access Filter Filter Abilitado. Protocolo utilizado
somente para o serviço de FTP.

HTTPS Server: TCP 433 Inbound. Usado para Publicar Sites SSL(Seguro).

IKE Server: UDP 500 Receive/Send. Protocolo utilizado para publicar um servidor
IPSec.

IMAP4 Server: TCP 143 Inbound. Protocolo utilizado para publicar servidores IMAP.

IMAPS Server: TCP 993 Inbound. Protocolo utilizado para publicar servidores IMAP
seguros.

IPSec ESP Server: UDP Receive/Send. Protocolo utilizado para publicar servidores
IPSec com passagem de dados Completa.

IPSec NAT-T Server: UDP 4500 Receive/Send. Protocolo utilizado para publicar
servidores de L2TP/IPSec.

LSTP Server: UDP 1701 Receive/Send. Protocolo utilizado para publicar servidores de
canais LSTP/IPSec.

Microsoft SQL Server: TCP 1433 Inbound. Protocolo utilizado para publicar servidores
SQL.

MMS Server: TCP 1755 Inbound, UDP 1755 Receive, MMS Filter Abilitado. Protocolo
utilizado para publicar servidores de MMS.

NNTP Server: TCP 119 Inbound. Protocolo utilizado para publicar servidores de
tranferência.

NNTPS Server: TCP 563 Inbound. Protocolo utilizado para publicar servidores seguro
de tranferência.

PNM server: TCP 7070 Inbound, PNM filter Abilitado. Protocolo utilizado para publicar
servidores de Redes Prograssivas.

POP3 Server: TCP 110 Inbound. Protocolo utilizado para publicar servidores de e-mail.

POP3S Server: TCP 995 Inbound. Protocolo utilizado para publicar servidores seguro
de e-mail.

PPTP Server: TCP 1723 Inbound, PPTP Filter Abilitado. Protocolo utilizado para publicar
servidores ponto a ponto.

Michel Max Pagina 13 de 20


RDP (Terminal Services) Server: TCP 3389 Inbound. Protocolo utilizado para
publicar servidores de acesso remoto.

RPC Server (All interfaces): TCP 135 Inbound, RPC filter abilitado. Protocolo utilizado
para publicar servidores entre dominios.

RTSP Server: TCP 554 Inbound. Protocolo utilizado para publicar servidores Windows
Media Services, utilização em tempo real.

SMTP Server: TCP 25 Inbound, SMTP security filter Abilitado. Protocolo utilizado para
publicar servidores de e-mail (envio).

SMTPS Server: TCP 465 Inbound. Protocolo utilizado para publicar servidores Seguro
de e-mail (envio).

Telnet Server: TCP 23 Inbound. Protocolo utilizado para publicar servidores para
acesso TelNet.

Vamos agora criar uma Regra de Publicação de Servidor Não-Web. Para este
utilizaremos o Protocolo RDP (Terminal Services) Server.

Primeiro insira um nome para a Regra.

Na próxima tela insira o Endereço IP(Interno) do Servidor a Ser publicado.

Michel Max Pagina 14 de 20


Nesta tela você seleciona qual protocolo que vai publicar.

Clicando na opção “Ports...” você poderá definir:

● Publish using the default port defined in the Protocol Definition: Esta
opção permite que o FireWall do Isa Server escute as requisições na(s) porta(s)
padrão do protocolo.
● Publish on this port instead of the default port: Nesta opção você pode
mudar a porta padrão de escuta do protocolo.
● Send requests to the default port on the published server: Nesta opção o
FireWall do Isa Server envia requisições atravéz da porta padrão do portocolo.
● Send request to this port on the published server: Nesta opção você pode
definir que porta você quer enviar as requisições.
● Allow traffic from Any Allowed source port: Nesta opção a regra aceita
todas as portas para iniciação da conexão ao servidor.
● Limit access to traffic from this range of source ports: Nesta opção você
pode definir que série de portas podem ser utilizadas para início da conexão do
servidor.

Nesta tela você deve selecionar de onde virão as requisições.

Michel Max Pagina 15 de 20


Propriedades das Regras de publicação dos Servidores Não-WEB

Guia General (Geral)

Nesta guia você pode configurar o nome


da regra, uma breve descrição e se ela está
habilitada ou não.

Guia Action (Ação)

Nesta guia você pode determinar se desja


que seja logada as requisições a este protocolo.

Michel Max Pagina 16 de 20


Guia Traffic (Tráfego)

Nesta guia você configura qual protocolo


deseja publicar e as portas conforme vimos as
configurações anteriormente.

Guia From (De)

Nesta guia você configura de onde


poderão vir as requisições e ainda se haverão
exceções, por exemplo você quer permitir o
acesso a toda rede interna exceto a faixa de
micros x.x.x.x-y.y.y.y, então você configura um
Address Ranges e coloca-á em exceções.

Michel Max Pagina 17 de 20


Guia To (Para)

Nesta guia você configura o Endereço IP


do Servidor que Deseja Publicar e Request
appear to come from the Isa Server Computer ou
Requests appear to from the Original Client.

Request appear to come from the Isa


Server Computer: Permite ao Servidor
conectado ver o endereço IP do executor da
requisição e não do cliente original, esta opção é
utilizada quando você não quer que o Servidor
publicado seja um cliente NAT.

Requests appear to from the Original


Client: Permite ao Servidor conectado ver o
endereço IP do cliente original e não o do
Servidor do Isa Server

Guia Networks (Redes)

Nesta guia você seleciona de qual rede


poderão vir as requisições.

Michel Max Pagina 18 de 20


Guia Schedule (Esquema)

Nesta guia você configura quando a regra


funcionará.

Michel Max Pagina 19 de 20


Bibliografia

● How To Cheat AT Configuring ISA Server 2004.


● Professor Alexandre Gomes (People Computação Campinas).
● Professor Carlos Eduardo Meneghel (People Computação Campinas).

Michel Max Pagina 20 de 20