Winsec.org Winsec.org Winsec.org
Winsec.org


Registro |

 

 

 

 

 

 

 

 

 

 

 
Winsec.org
Winsec.org
Detalhes do Artigo
ISA Server 2006 - Tipos de Clientes

Neste artigo iremos conhecer os tipos de clientes do ISA Server 2006.

Antes da implementação do ISA Server 2006 devemos definir o tipo de client que será utilizado. O ISA Server 2006 possui os seguintes clients: SecureNAT Clients, Firewall Clients e Web Proxy Clients. O Firewall Client provê o maior nível de funcionalidade, porém, para que esse tipo de client seja utilizado, um aplicativo deve ser instalado nas estações de trabalho. SecureNAT clients e Web Proxy Clients são mais simples de configurar pois não exigem a instalação de um aplicativo nas estações de trabalho. O detalhe é que o SecureNAT clients e Web Proxy Clients não implementam todas as funcionalidades implementadas pelo Firewall Client.

A escolha do ISA Server Client depende principalmente do nível de segurança que você deseja implementar.

O que é um ISA Server Client?

O ISA Server Client é todo computador, ou notebook, ou servidor, que se conecta a recursos localizados em outras redes através do ISA Server. Como exemplo podemos citar o seguinte: o ISA Server é o servidor que libera o acesso a Internet e o ISA Server Client são as estações de trabalho, as quais acessam a Internet através do ISA Server.

Tipos de Clients

O ISA Server 2006 possui 3 tipos de clients:

  • Firewall Clients: São computadores nos quais o aplicativo Firewall Client está instalado e habilitado. Quando um computador com o Firewall Client instalado solicita o acesso a um recurso na Internet, a solicitação é redirecionada para o serviço de Firewall no servidor ISA. O serviço de Firewall faz a autenticação e autoriza ou não o acesso solicitado pelo computador, baseado nas regras do Firewall e nos filtros de aplicação. O Firewall Client provê o maior nível de segurança.
  • SecureNat Clients: Esse tipo de client é bem simples de ser implementado pois não necessita da instalação de nenhum aplicativo. Para implementar o SecureNAT Clients devemos configurar o default gateway dos computadores com o endereço IP interno do ISA Server (supondo que a rede possua apenas um segmento).
  • Web Proxy Clients: Para que um computador possa ser configurado como Web Proxy Client, deverá possuir instalado um browser compatível com o HTTP 1.1. Como a maioria dos computadores hoje em dia já atendem esse pré-requisito, não é necessário a instalação de aplicativos adicionais para que esse tipo de client seja implementado. Para implementar o Web Proxy Client devemos configurar o browser para utilizar o ISA Server. Quando um computador com o Web Proxy Client habilitado solicita o acesso a um recurso na Internet, a solicitação é redirecionada para o serviço de Firewall no ISA Server. Caso a regra que libere acesso ao recurso solicitado requira autenticação, uma tela será exibida para o usuário solicitando os dados para a autenticação (nome de usuário e senha).

Computadores configurados como Firewall Clients ou SecureNAT Clients também podem ser configurados como Web Proxy Cients.

Vantagens e desvantagens do Firewall Client

Vantagens:

  • Com o uso do Firewall Client podemos limitar o acesso a recursos na Internet utilizando nomes de usuários ou grupos.
  • Quando o Firewall Client se conecta com o ISA Server, o serviço Firewall autentica o usuário automaticamente.
  • Podemos utilizar o Firewall Client para configurar o Web Proxy Client automaticamente.
  • O Firewall Client suporta muitos tipos de aplicações Winsock, enquanto o client Web Proxy só pode ser utilizado para se conectar a recursos na Internet utilizando os protocolos HTTP, HTTPS e FTP. O SecureNAT Client suporta alguns outros protocolos.

Desvantagens:

  • Para que esse tipo de client seja utilizado, devemos instalar um aplicativo nas estações de trabalho. Já a configuração do client pode ser feita automaticamente através do ISA Server.
  • O Firewall Client só pode ser instalado em computadores baseados no sistema operacional Windows. Para computadores com outros sistemas operacionais, o uso de outro tipo de client será necessário.
Dica para o exame 70-350:
O Firewall Client só pode ser instalado em computadores baseados no sistema operacional Windows.

Vantagens e desvantagens do SecureNAT Client

Vantagens:

  • Muitas das funcionalidades oferecidas pelo Firewall Client também são oferecidas pelo SecureNAT Client. Por exemplo, ao bloquear o acesso a um determinado site ou liberar o acesso a um determinado protocolo, essas regras serão aplicadas perfeitamente para os SecureNAT Clients.
  • Todos os computadores que suportam o protocolo TCP/IP podem ser configurados como SecureNAT Client.

Desvantagens:

  • Com o uso do SecureNAT Client não podemos controlar o acesso a recursos baseado no nome de usuário ou grupo. Isso não é possível devido ao fato do SecureNAT Client não passar as credenciais de autenticação para o ISA Server, o que faz com que o usuário não seja autenticado. Portanto, todos os recursos liberados a partir de regras que exijam autenticação não serão acessados pelos SecureNAT Clients.
  • O SecureNAT Client não suporta diversos protocolos, principalmente aqueles que requerem conexões secundárias. O ISA Server possui alguns filtros de aplicação (Application Filters) que permitem que os SecureNAT Clients utilizem alguns protocolos que requerem conexões secundárias.
Dica para o exame 70-350:
Quando publicar um servidor na Internet, não se esqueça que o servidor deve estar configurado como SecureNAT Client, ou seja, o default gateway do servidor publicado deve ser o endereço IP interno do ISA Server. Essa configuração evitará problemas de publicação e não exige configurações adicionais. 

Vantagens e desvantagens do Web Proxy Client

Vantagens:

  • Hoje em dia, a maioria dos sistemas operacionais possuem um browser compatível com o HTTP 1.1, o que elimina a necessidade de instalação de aplicativos nos computadores. A configuração do Web Proxy Client pode ser automatizada.
  • Os Web Proxy Clients suportam autenticação, portanto, podemos utilizar regras baseadas em nomes de usuários e grupos.
  • Todas as requisições dos Web Proxy Clients passam pelo Web Proxy Filter no ISA Server, o que nos permite utilizar o filtro da camada de aplicação (Application Layer Filter) para filtrar todo o trafego desses clients.

Desvantagens:

  • O Web Proxy Client suporta apenas os protocolos HTTP, HTTPS e FTP. Nenhum outro protocolo é suportado por esse client.
Dica para o exame 70-350:
O Web Proxy Client suporta apenas os protocolos HTTP, HTTPS e FTP. Para acesso a recursos que utilizam outros protocolos, utilize o Firewall Client ou SecureNAT Client. 

Diferenças entre os clients

Abaixo temos uma tabela com as principais diferenças entre os clients do ISA Server 2006:

Recurso SecureNAT Firewall Client Web Proxy
Instalação Não requer instalação de client Requer instalação de client Não requer instalação de client
Configuração Requer configuração Requer configuração Requer configuração
Suporte de SO Todos que suportam o TCP/IP Somente Windows Browser compatível com HTTP 1.1
Suporte de Protocolo Exige Application Filters para utilização de alguns protocolos Todas aplicações Winsock HTTP, HTTPS e FTP sobre HTTP
Autenticação de usuário Somente para VPN Suporta Suporta

Dicas para escolha do client

  • Se você quer ter pouco trabalho, escolha o SecureNAT Client. A única ação que deverá ser tomada é a configuração do default gateway nos computadores, o que pode ser feito rapidamente por um servidor DHCP.
  • Se você quer um nível maior de segurança, exigindo autenticação por exemplo, escolha o Firewall Client ou Web Proxy Client (de preferência, Firewall Client).
  • Para aumentar a performance no acesso a Internet em redes que possuem computadores com outros tipos de sistema operacional, utilize Web Proxy Client ou SecureNAT Client (o Firewall client só pode ser instalado em computadores baseados no Windows). Com a utilização de Web Proxy Client ou SecureNAT Client podemos aumentar a performance no acesso a Internet utilizando o cache.

Configurar o SecureNAT Client

Após uma longa introdução, vamos para a parte prática.

Em redes simples, com apenas um segmento, devemos configurar o default gateway dos computadores com o IP interno do ISA Server. Temos duas opções para fazer essa configuração:

  • Manualmente, através das propriedades do TCP/IP das estações de trabalho.

Configuração do TCP/IP

  • Ou através de um servidor DHCP, o qual distribuirá as configurações TCP/IP para as estações de trabalho automaticamente.

Opções de Escopo no Servidor DHCP

Além da configuração do default gateway, devemos verificar também o DNS, ou seja, a resolução de nomes dos recursos localizados na Internet. Caso o DNS interno da sua rede consiga resolver nomes de recursos localizados na Internet, devemos apenas configurar nas propriedades do TCP/IP das estações de trabalho (ou no servidor DHCP) o endereço IP do servidor DNS interno. Caso o servidor DNS interno não consiga resolver nomes de recursos que estão localizados na Internet, os clients deverão estar configurados com o endereço IP de um DNS externo, capaz de resolver nomes na Internet.

Dica para o exame 70-350:
Por padrão, o ISA Server não permite que os servidores DNS internos enviem solicitações de resoluções de nomes para a Internet. Sendo assim, devemos configurar uma Access Rule que permita esse tipo de acesso. 

Importante: ao configurar um SecureNAT Client para utilizar um DNS externo, este client não conseguirá resolver nomes da rede interna. Portanto, a melhor configuração a ser feita é utilizar um DNS interno e configurar o DNS interno para que resolva nomes na Internet.

Configurar o WebProxy Client

O primeiro passo para a configuração do Web Proxy Client é verificar se o ISA Server está permitindo que esse tipo de client seja utilizado. Por padrão, a utilização do Web Proxy Client é habilitada. Para verificar essa configuração, siga os passos abaixo:

  • Abra o console de Administração do ISA Server 2006.
  • Expanda a opção Configuration e clique em Networks.

Console de Administração do ISA Server 2006

  • No painel de detalhes, clique na aba Networks e selecione Internal Network.
  • Na aba Tasks, clique em Edit Selected Network e clique em Web Proxy.
  • Verifique se a opção Enable Web Proxy clients está selecionada. Nessa tela podemos também habilitar ou desabilitar os protocolos HTTP e HTTPS, configurar as portas utilizadas por esses protocolos e as opções de autenticação.

Opções de Web Proxy – Internal Network

Após a verificação acima devemos fazer as configurações do Web Proxy Client. Essa configuração pode ser manual ou automática. Para configurar manualmente, siga os passos abaixo:

  • Abra o Internet Explorer.
  • Clique em Tools, Internet Options, Connections, Lan Settings.
  • Habilite a opção Use a proxy server for your LAN e na caixa Address digite o IP interno do ISA Server ou o nome do ISA Server. Na caixa port digite a porta que o client utilizará para se conectar com o ISA Server (8080 por padrão).

Lan Settings – Internet Explorer

  • Nessa tela também temos a opção Bypass proxy server for local address. Com essa opção selecionada, o Web Proxy Client acessará os recursos da rede local sem passar pelo ISA Server, ou seja, fará o acesso diretamente com o recurso interno.
  • Clique em OK.

Podemos também fazer as configurações do Web Proxy Cient automaticamente. Quando configuramos o Web Proxy Client automaticamente, o client fará o download de um script de configuração todas as vezes que o computador for iniciado, ou a cada seis horas. Toda a configuração do client é feita através do ISA Server.

Para que o Web Proxy Client faça o download do script de configuração, siga o procedimento abaixo:

  • Abra o Internet Explorer.
  • Clique em Tools, Internet Options, Connections, Lan Settings.
  • Habilite as opções Automatically detect settings e Use automatic configuration script. Na caixa Address digite o caminho do script de configuração, que por padrão é http://ISA_Server/array.dll?Get.Routing.Script.

Lan Settings – Internet Explorer

O próximo passo da configuração automática do Web Proxy Client é a configuração do script. Mas não se assuste, o próprio ISA Server faz a configuração desse script. Ou seja, fazemos as configurações desejadas através do console do ISA Server, o qual por sua vez elabora o script de acordo com nossas configurações. Para isso, siga o procedimento abaixo:

  • Abra o console de Administração do ISA Server 2006.
  • Expanda a opção Configuration e clique em Networks.
  • No painel de detalhes, clique na aba Networks e selecione Internal Network.
  • Na aba Tasks, clique em Edit Selected Network e clique em Web Browser. Nessa tela temos as seguintes opções:
    • Bypass Proxy For Web Servers In This Network: com essa opção habilitada, os Web Proxy clients se conectarão diretamente aos servidores Web que estiverem na mesma rede.
    • Directly Access Computers Specified In the Domains Tab: esta opção é válida somente para Firewall Clients. Podemos adicionar domínios na aba Domains e especificar que o acesso a todos os recursos desses domínios serão acessados diretamente, sem que as requisições passem pelo ISA Server.
    • Directly Access These Servers Or Domains: aqui podemos adicionar domínios ou endereços IPs para os quais o acesso dos Web Proxy Clients e Firewall Clients serão diretos, ou seja, sem passarem pelo ISA Server.
    • If ISA Server Is Unavailable, Use This Backup Route To Connect Internet: caso você possua vários ISA Servers, poderá configurar rotas de backup para os Web Proxy Clients. Caso o ISA Server principal não esteja disponível, a rota backup será utilizada.

Web Browser – Internal Network

Automatic Discovery

Quando habilitamos o Automatic Discovery, os Firewall Clients e Web Proxy Clients podem automaticamente localizar um ISA Server na rede. Com esse recurso ganhamos muito tempo na resolução de problemas de conexão de um client com o ISA Server. O Web Proxy client utiliza o protocolo WPAD para implementar o Automatic Discovery, enquanto o Firewall Client utiliza o WSPAD.

Para habilitar esse recurso, devemos fazer uma configuração no ISA Server e configurar o DHCP ou o DNS com as informações do ISA Server que os clients se conectarão. Para isso, siga os procedimentos abaixo:

  • Abra o console de Administração do ISA Server 2006.
  • Expanda a opção Configuration e clique em Networks.
  • No painel de detalhes, clique na aba Networks e selecione Internal Network.
  • Na aba Tasks, clique em Edit Selected Network e clique em Auto Discovery. Habilite a opção Publish automatic discovery information e clique em OK.

Auto Discovery – Internal Network

  • O ISA Server já esta configurado. Agora vamos configurar o DHCP. Para isso, abra o console de Administração do DHCP.
  • Clique com o botão direito sobre o nome do servidor DHCP e escolha a opção Set Predefined Options.
  • Clique em Add. Na caixa Name digite WPAD. Em Data Type selecione String. Na caixa Code digite 252. Clique em OK

DHCP - WPAD

  • Na tela abaixo, na caixa String digite o caminho no qual o client deverá se conectar, por exemplo http://ISA_Server:80/wpad.dat e clique em OK.

DHCP - WPAD

  • Agora expanda o escopo no qual o parâmetro Automatic Discovery será implementado, clique com o botão direito sobre o escopo e selecione a opção Configure Options. Selecione a opção 252 WPAD e clique em OK.

DHCP - WPAD

  • Pronto, o Automatic Discovery está implementado, utilizando o DHCP.

Configurar o Firewall Client

Durante a instalação do ISA Server 2004 temos a opção de instalar o compartilhamento do Firewall Client. Quando habilitamos essa opção, os arquivos de instalação do Firewall Client são copiados para o ISA Server, na pasta C:\Program Files\Microsoft ISA Server\Clients. Além disso essa pasta é compartilhada com o nome Mspclnt. Já no ISA Server 2006 não temos mais essa opção. O motivo é simples: um ISA Server não deve ter pastas compartilhadas.

Portanto, você precisará distribuir o instalador do Firewall Cliente de outra forma. Pode ser via GPO, ou através de um compartilhamento no servidor de arquivos da sua rede, ou da forma que achar mais conveniente.

Os arquivos de instalação do Firewall Client estão no CD de instalação do ISA Server 2006, na pasta Client. Porém, essa versão do Firewall Cliente não pode ser instalada no Windows Vista. Uma versão para o Windows Vista pode ser baixada do site da Microsoft, no site abaixo:

Efetue o download do cliente para que possamos instalá-lo no Windows Vista.

Para instalar o Firewall Client siga o procedimento abaixo:

  • Efetue o logon na estação de trabalho Cliente01 com a conta de usuário Administrador.
  • Clique duas vezes sobre o arquivo ISACLIENT-KB929556-ENU.
  • Na tela que será aberta, clique em Next.

Instalação do Firewall Client

  • Aceite os termos de licença e clique em Next.
  • Defina o caminho no qual o Firewall Client será instalado e clique em Next.
  • Na próxima tela definimos como o Firewall Client localizará o ISA Server. Temos duas opções: Connect to this ISA Server computer ou Automatically Detect The Appropriate ISA Server Computer.Selecione a primeira opção e na caixa que será habilitada digite o nome do servidor ISA. Clique em Next.

Instalação do Firewall Client

  • Clique em Install. Após a instalação ser concluída, clique em Finish.

Após o Firewall Client ser instalado, um ícone será adicionado na área de notificação, localizado no canto direito da barra de tarefas. Para configurar o Firewall Client clique com o botão direito sobre o ícone do Firewall Client e clique em Configure.

Configuração do Firewall Client

Na aba Settings você pode alterar as configurações selecionadas durante a instalação do Firewall Client. Existe também o botão Test Server, o qual testa a conexão com o servidor ISA. É provável que esse teste não funcione nesse momento, pois o firewall bloqueará todas as conexões.

O próximo passo é fazer as configurações relacionadas ao Firewall Client no ISA Server. Todas as vezes que o Firewall Client é reiniciado, este se conecta com o ISA Server para verificar se houve alguma alteração de suas configurações. Além disso, essas configurações são verificadas a cada seis horas.

Para configurar quais versões do Firewall Client serão suportadas pelo ISA Server siga o procedimento abaixo:

  • Abra o console de Administração do ISA Server.
  • Expanda a opção Configuração e clique em Geral.
  • Clique em Definir Configurações do Cliente de Firewall.

Configuração do Firewall Client

  • Na aba Conexão, defina se versões anteriores do Firewall Client serão suportadas. Para isso selecione a opção Permitir conexões de cliente de Firewall não-criptogradas.

Temos ainda algumas outras opções que podem ser configuradas para o Firewall Client. Para fazer essas configurações siga os procedimentos abaixo:

  • Abra o console de Administração do ISA Server 2006.
  • Expanda a opção Configurações e clique em Redes.
  • No painel de detalhes, que é o painel central, clique na aba Redes e clique duas vezes sobre Interno.
  • Na aba Endereços configuramos os IPs da rede interna.

IPs da rede interna

  • Na aba Domínios configuramos os domínios existentes na rede interna.

Domínios internos

  • Na aba Firewall Client definimos as opções que serão configuradas no browser dos clientes.

Firewall Client – Configurações de browser

As configurações do Firewall Client são armazenadas em alguns arquivos, os quais são armazenados no computador em que o Firewall Client está instalado. Os arquivos são:

  • Commom.ini – este arquivo armazena configurações comuns para todas as aplicações.
  • Management.ini – este arquivo especifica as configurações do próprio Firewall Client.
  • Application.ini – este arquivo armazena configurações específicas para aplicações.

Os arquivos Common.ini e Management.ini são criados automaticamente para todos os usuários. Esses arquivos podem ser modificados de acordo com as necessidades do usuário (as configurações específicas dos usuários sobrepõem as configurações do servidor). Já o arquivo Application.ini não é criado automaticamente, portanto deve ser criado manualmente quando necessário. Lembrando que todas as configurações desses arquivos são utilizadas pelo Firewall Client.

As configurações definidas por esses arquivos são aplicadas na seguinte ordem:

  1. Os arquivos localizados na pasta do perfil do usuário são aplicados primeiro.
  1. Depois são aplicados as configurações dos arquivos que estão localizados na pasta All Users.
  1. E por último, as configurações do ISA Server são aplicadas.

Conclusão

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org

Links Relacionados

http://www.microsoft.com/isaserver/default.mspx

Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:

http://forums.microsoft.com/technet-br

Fabiano de Santana, trabalha com TI a mais de 7 anos. Bacharelado em Análise de Sistemas e cursando Pós Graduação em Segurança da Informação. Trabalha atualmente na IBM Brasil, membro do time de Intel Security. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004, implementação de políticas de segurança, implementação de Lotus Notes, entre outros. Possui as certificações MCP, MCDST, MCSA / MCSE 2000 Security, MCSA/MCSE 2003 Security, ITIL Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7.
Autor de ebooks e artigos em parceria com o Julio Battisti há mais de 2 anos, moderador do Fórum de Windows / Certificações do site www.juliobattisti.com.br e autor de artigos para o Technet. Atua também como professor e autor de cursos para o site iPED.
Líder da comunidade Winsec.org, juntamente com o Vitor Nakano.
Escrito Por: vinakano
Data de Envio: 6/2/2009
Número de Acessos: 11349


Comentários
Você deve estar logado para postar um comentário.
Retornar