Antes da implementação do ISA Server 2004 devemos definir o tipo de client que será utilizado. O ISA Server 2004 possui os seguintes clients: SecureNAT Clients, Firewall Clients e Web Proxy Clients. O Firewall Client provê o maior nível de funcionalidade, porém, para que esse tipo de client seja utilizado, um aplicativo deve ser instalado nas estações de trabalho. SecureNAT clients e Web Proxy Clients são mais simples de configurar pois não exigem a instalação de um aplicativo nas estações de trabalho. O detalhe é que o SecureNAT clients e Web Proxy Clients não implementam todas as funcionalidades implementadas pelo Firewall Client.
A escolha do ISA Server Client depende principalmente do nível de segurança que você deseja implementar.
O que é um ISA Server Client?
O ISA Server Client é todo computador, ou notebook, ou servidor, que se conecta a recursos localizados em outras redes através do ISA Server. Como exemplo podemos citar o seguinte: o ISA Server é o servidor que libera o acesso a Internet e o ISA Server Client são as estações de trabalho, as quais acessam a Internet através do ISA Server.
O ISA Server 2004 possui 3 tipos de clients:
ü Firewall Clients: São computadores nos quais o aplicativo Firewall Client está instalado e habilitado. Quando um computador com o Firewall Client instalado solicita o acesso a um recurso na Internet, a solicitação é redirecionada para o serviço de Firewall no servidor ISA. O serviço de Firewall faz a autenticação e autoriza ou não o acesso solicitado pelo computador, baseado nas regras do Firewall e nos filtros de aplicação. O Firewall Client provê o maior nível de segurança.
ü SecureNat Clients: Esse tipo de client é bem simples de ser implementado pois não necessita da instalação de nenhum aplicativo. Para implementar o SecureNAT Clients devemos configurar o default gateway dos computadores com o endereço IP interno do ISA Server (supondo que a rede possua apenas um segmento).
ü Web Proxy Clients: Para que um computador possa ser configurado como Web Proxy Client, deverá possuir instalado um browser compatível com o HTTP 1.1. Como a maioria dos computadores hoje em dia já atendem esse pré-requisito, não é necessário a instalação de aplicativos adicionais para que esse tipo de client seja implementado. Para implementar o Web Proxy Client devemos configurar o browser para utilizar o ISA Server. Quando um computador com o Web Proxy Client habilitado solicita o acesso a um recurso na Internet, a solicitação é redirecionada para o serviço de Firewall no ISA Server. Caso a regra que libere acesso ao recurso solicitado requira autenticação, uma tela será exibida para o usuário solicitando os dados para a autenticação (nome de usuário e senha).
Computadores configurados como Firewall Clients ou SecureNAT Clients também podem ser configurados como Web Proxy Cients.
Vantagens e desvantagens do Firewall Client
Vantagens:
ü Com o uso do Firewall Client podemos limitar o acesso a recursos na Internet utilizando nomes de usuários ou grupos.
ü Quando o Firewall Client se conecta com o ISA Server, o serviço Firewall autentica o usuário automaticamente.
ü Podemos utilizar o Firewall Client para configurar o Web Proxy Client automaticamente.
ü O Firewall Client suporta muitos tipos de aplicações Winsock, enquanto o client Web Proxy só pode ser utilizado para se conectar a recursos na Internet utilizando os protocolos HTTP, HTTPS e FTP. O SecureNAT Client suporta alguns outros protocolos.
Desvantagens:
ü Para que esse tipo de client seja utilizado, devemos instalar um aplicativo nas estações de trabalho. Já a configuração do client pode ser feita automaticamente através do ISA Server.
ü O Firewall Client só pode ser instalado em computadores baseados no sistema operacional Windows. Para computadores com outros sistemas operacionais, o uso de outro tipo de client será necessário.
Dica para o exame 70-350:
O Firewall Client só pode ser instalado em computadores baseados no sistema operacional Windows.
Vantagens e desvantagens do SecureNAT Client
Vantagens:
ü Muitas das funcionalidades oferecidas pelo Firewall Client também são oferecidas pelo SecureNAT Client. Por exemplo, ao bloquear o acesso a um determinado site ou liberar o acesso a um determinado protocolo, essas regras serão aplicadas perfeitamente para os SecureNAT Clients.
ü Todos os computadores que suportam o protocolo TCP/IP podem ser configurados como SecureNAT Client.
Desvantagens:
ü Com o uso do SecureNAT Client não podemos controlar o acesso a recursos baseado no nome de usuário ou grupo. Isso não é possível devido ao fato do SecureNAT Client não passar as credenciais de autenticação para o ISA Server, o que faz com que o usuário não seje autenticado. Portanto, todos os recursos liberados a partir de regras que exijam autenticação não serão acessados pelos SecureNAT Clients.
ü O SecureNAT Client não suporta diversos protocolos, principalmente aqueles que requerem conexões secundárias. O ISA Server possui alguns filtros de aplicação (Application Filters) que permitem que os SecureNAT Clients utilizem alguns protocolos que requerem conexões secundárias.
Dica para o exame 70-350:
Quando publicar um servidor na Internet, não se esqueça que o sevidor deve estar configurado como SecureNAT Client, ou seja, o default gateway do servidor publicado deve ser o endereço IP interno do ISA Server. Essa configuração evitará problemas de publicação e não exige configurações adicionais.
Vantagens e desvantagens do Web Proxy Client
Vantagens:
ü Hoje em dia, a maioria dos sistemas operacionais possuem um browser compatível com o HTTP 1.1, o que elimina a necessidade de instalação de aplicativos nos computadores. A configuração do Web Proxy Client pode ser automatizada.
ü Os Web Proxy Clients suportam autenticação, portanto, podemos utilizar regras baseadas em nomes de usuários e grupos.
ü Todas as requisições dos Web Proxy Clients passam pelo Web Proxy Filter no ISA Server, o que nos permite utilizar o filtro da camada de aplicação (Application Layer Filter) para filtrar todo o trafego desses clients.
Desvantagens:
ü O Web Proxy Client suporta apenas os protocolos HTTP, HTTPS e FTP. Nenhum outro protocolo é suportado por esse client.
Dica para o exame 70-350:
O Web Proxy Client suporta apenas os protocolos HTTP, HTTPS e FTP. Para acesso a recursos que utilizam outros protocolos, utilize o Firewall Client ou SecureNAT Client.
Diferenças entre os clients
Abaixo temos uma tabela com as principais diferenças entre os clients do ISA Server 2004:
|
Recurso
|
SecureNAT
|
Firewall Client
|
Web Proxy
|
|
Instalação
|
Não requer instalação de client
|
Requer instalação de client
|
Não requer instalação de client
|
|
Configuração
|
Requer configuração
|
Requer configuração
|
Requer configuração
|
|
Suporte de SO
|
Todos que suportam o TCP/IP
|
Somente Windows
|
Browser compatível com HTTP 1.1
|
|
Suporte de Protocolo
|
Exige Application Filters para utilização de alguns protocolos
|
Todas aplicações Winsock
|
HTTP, HTTPS e FTP sobre HTTP
|
|
Autenticação de usuário
|
Somente para VPN
|
Suporta
|
Suporta
|
Dicas para escolha do client
ü Se você quer ter pouco trabalho, escolha o SecureNAT Client. A única ação que deverá ser tomada é a configuração do default gateway nos computadores, o que pode ser feito rapidamente por um servidor DHCP.
ü Se você quer um nível maior de segurança, exigindo autenticação por exemplo, escolha o Firewall Client ou Web Proxy Client (de preferência, Firewall Client).
ü Para aumentar a performance no acesso a Internet em redes que possuem computadores com outros tipos de sistema operacional, utilize Web Proxy Client ou SecureNAT Client (o Firewall client só pode ser instalado em computadores baseados no Windows). Com a utilização de Web Proxy Client ou SecureNAT Client podemos aumentar a performance no acesso a Internet utilizando o cache.
Configurar o SecureNAT Client
Após uma longa introdução, vamos para a parte prática.
Em redes simples, com apenas um segmento, devemos configurar o default gateway dos computadores com o IP interno do ISA Server. Temos duas opções para fazer essa configuração:
ü Manualmente, através das propriedades do TCP/IP das estações de trabalho.
ü Ou através de um servidor DHCP, o qual distribuirá as configurações TCP/IP para as estações de trabalho automaticamente.
Além da configuração do default gateway, devemos verificar também o DNS, ou seja, a resolução de nomes dos recursos localizados na Internet. Caso o DNS interno da sua rede consiga resolver nomes de recursos localizados na Internet, devemos apenas configurar nas propriedades do TCP/IP das estações de trabalho (ou no servidor DHCP) o endereço IP do servidor DNS interno. Caso o servidor DNS interno não consiga resolver nomes de recursos que estão localizados na Internet, os clients deverão estar configurados com o endereço IP de um DNS externo, capaz de resolver nomes na Internet.
Dica para o exame 70-350:
Por padrão, o ISA Server não permite que os servidores DNS internos enviem solicitações de resoluções de nomes para a Internet. Sendo assim, devemos configurar uma Access Rule que permita esse tipo de acesso.
Importante: ao configurar um SecureNAT Client para utilizar um DNS externo, este client não conseguirá resolver nomes da rede interna. Portanto, a melhor configuração a ser feita é utilizar um DNS interno e configurar o DNS interno para que resolva nomes na Internet.
Configurar o WebProxy Client
O primeiro passo para a configuração do Web Proxy Client é verificar se o ISA Server está permitindo que esse tipo de client seja utilizado. Por padrão, a utilização do Web Proxy Client é habilitada. Para verificar essa configuração, siga os passos abaixo:
ü Abra o console de Administação do ISA Server 2004.
ü Expanda a opção Configuration e clique em Networks.
ü No painel de detalhes, clique na aba Networks e selecione Internal Network.
ü Na aba Tasks, clique em Edit Selected Network e clique em Web Proxy.
ü Verifique se a opção Enable Web Proxy clients está selecionada. Nessa tela podemos também habilitar ou desabilitar os protocolos HTTP e HTTPS, configurar as portas utilizadas por esses protocolos e as opções de autenticação.
Após a verificação acima devemos fazer as configurações do Web Proxy Client. Essa configuração pode ser manual ou automatica. Para configurar manualmente, siga os passos abaixo:
ü Abra o Internet Explorer.
ü Clique em Tools, Internet Options, Connections, Lan Settings.
ü Habilite a opção Use a proxy server for your LAN e na caixa Address digite o IP interno do ISA Server ou o nome do ISA Server. Na caixa port digite a porta que o client utilizará para se conectar com o ISA Server (8080 por padrão).
ü Nessa tela também temos a opção Bypass proxy server for local address. Com essa opção selecionada, o Web Proxy Client acessará os recursos da rede local sem passar pelo ISA Server, ou seja, fará o acesso diretamente com o recurso interno.
ü Clique em OK.
Podemos também fazer as configurações do Web Proxy Cient automaticamente. Quando configuramos o Web Proxy Client automaticamente, o client fará o download de um script de configuração todas as vezes que o computador for iniciado, ou a cada seis horas. Toda a configuração do client é feita através do ISA Server.
Para que o Web Proxy Client faça o download do script de configuração, siga o procedimento abaixo:
ü Abra o Internet Explorer.
ü Clique em Tools, Internet Options, Connections, Lan Settings.
ü Habilite as opções Automatically detect settings e Use automatic configuration script. Na caixa Address digite o caminho do script de configuração, que por padrão é http://ISA_Server/array.dll?Get.Routing.Script.
O próximo passo da configuração automatica do Web Proxy Client é a configuração do script. Mas não se assuste, o próprio ISA Server faz a configuração desse script. Ou seja, fazemos as configurações desejadas através do console do ISA Server, o qual por sua vez elabora o script de acordo com nossas configurações. Para isso, siga o procedimento abaixo:
ü Abra o console de Administação do ISA Server 2004.
ü Expanda a opção Configuration e clique em Networks.
ü No painel de detalhes, clique na aba Networks e selecione Internal Network.
ü Na aba Tasks, clique em Edit Selected Network e clique em Web Browser. Nessa tela temos as seguintes opções:
o Bypass Proxy For Web Servers In This Network: com essa opção habilitada, os Web Proxy clients se conectarão diretamente aos servidores Web que estiverem na mesma rede.
o Directly Access Computers Specified In the Domains Tab: esta opção é válida somente para Firewall Clients. Podemos adicionar domínios na aba Domains e especificar que o acesso a todos os recursos desses domínios serão acessados diretamente, sem que as requisições passem pelo ISA Server.
o Directly Access These Servers Or Domains: aqui podemos adicionar domínios ou endereços IPs para os quais o acesso dos Web Proxy Clients e Firewall Clients serão diretos, ou seja, sem passarem pelo ISA Server.
o If ISA Server Is Unavailable, Use This Backup Route To Connect Internet: caso você possua vários ISA Servers, poderá configurar rotas de backup para os Web Proxy Clients. Caso o ISA Server principal não esteja disponível, a rota backup sera utilizada.
Quando habilitamos o Automatic Discovery, os Firewall Clients e Web Proxy Clients podem automaticamente localizar um ISA Server na rede. Com esse recurso ganhamos muito tempo na resolução de problemas de conexão de um client com o ISA Server. O Web Proxy client utiliza o protocolo WPAD para implementar o Automatic Discovery, enquanto o Firewall Client utiliza o WSPAD.
Para habilitar esse recurso, devemos fazer uma configuração no ISA Server e configurar o DHCP ou o DNS com as informações do ISA Server que os clients se conectarão. Para isso, siga os procedimentos abaixo:
ü Abra o console de Administação do ISA Server 2004.
ü Expanda a opção Configuration e clique em Networks.
ü No painel de detalhes, clique na aba Networks e selecione Internal Network.
ü Na aba Tasks, clique em Edit Selected Network e clique em Auto Discovery. Habilite a opção Publish automatic discovery information e clique em OK.
ü O ISA Server já esta configurado. Agora vamos configurar o DHCP. Para isso, abra o console de Administração do DHCP.
ü Clique com o botão direito sobre o nome do servidor DHCP e escolha a opção Set Predefined Options.
ü Clique em Add. Na caixa Name digite WPAD. Em Data Type selecione String. Na caixa Code digite 252. Clique em OK
ü Na tela abaixo, na caixa String digite o caminho no qual o client deverá se conectar, por exemplo http://ISA_Server:80/wpad.dat e clique em OK.
ü Agora expanda o escopo no qual o parametro Automatic Discovery será implementado, clique com o botão direito sobre o escopo e selecione a opção Configure Options. Selecione a opção 252 WPAD e clique em OK.
ü Pronto, o Automatic Discovery está implementado, utilizando o DHCP.
Configurar o Firewall Client
Durante a instalação do ISA Server 2004 temos a opção de instalar o compartilhamento do Firewall Client. Quando habilitamos essa opção, os arquivos de instalação do Firewall Client são copiados para o ISA Server, na pasta C:\Program Files\Microsoft ISA Server\Clients. Além disso essa pasta é compartilhada com o nome Mspclnt.
Para instalar o Firewall Client a partir da pasta Mspclnt, siga o procedimento abaixo:
ü Clique duas vezes sobre o arquivo MS_FPC.msi.
ü Na tela que será aberta, clique em Next.
ü Defina o caminho no qual o Firewall Client será instalado e clique em Next.
ü Na próxima tela definimos como o Firewall Client localizará o ISA Server. Temos duas opções: Connect to this ISA Server computer ou Automatically Detect The Appropriate ISA Server Computer. Escolha a opção desejada e clique em Next. Lembrando que a opção Automatically Detect The Appropriate ISA Server Computer funcionará somente se o recurso Automatic Discovery estiver corretamente configurado.
ü Clique em Install. Após a instalação ser concluída, clique em Finish.
Dica para o exame 70-350:
O Firewall Client não pode ser instalado no ISA Server.
Após o Firewall Client ser instalado, um ícone é adicionado na area de notificação, localizada no canto direito da barra de tarefas. Para configurar o Firewall Client clique com o botão direito sobre o ícone do Firewall Client e clique em Configure.
Ao invés de instalarmos o Firewall Client manualmente, podemos automatizar sua instalação. Podemos utiizar GPOs, SMS ou instalação unattended.
Dica para o exame 70-350:
A instalação unattended do Firewall Client só pode ser realizada por usuários com direito de Administrador.
O próximo passo é fazer as configurações relacionadas ao Firewall Client no ISA Server. Todas as vezes que o Firewall Client é reiniciado, este se conecta com o ISA Server para verificar se houve alguma alteração de suas configurações. Além disso, essas configurações são verificadas a cada seis horas.
Para configurar quais versões do Firewall Client serão suportadas pelo ISA Server siga o procedimento abaixo:
ü Abra o console de Administração do ISA Server.
ü Expanda a opção Configuration e clique em General.
ü Clique em Define Firewall Client Settings.
ü Na aba Connection, defina se versões anteriores do Firewall Client serão suportadas. Para isso selecione a opção Allow non-encrypted Firewall client connection.
Dica para o exame 70-350:
Por padrão a opção Allow non-encrypted Firewall client connection não é habilitada no ISA Server, o que significa que versões anteriores do Firewall Client não serão suportadas.
Temos ainda algumas outras opções que podem ser configuradas para o Firewall Client. Para fazer essas configurações siga os procedimentos abaixo:
ü Abra o console de Administação do ISA Server 2004.
ü Expanda a opção Configuration e clique em Networks.
ü No painel de detalhes, clique na aba Networks e selecione Internal Network.
ü Na aba Tasks, clique em Edit Selected Network.
ü Na aba Addresses configuramos os Ips da rede interna.
ü Na aba Domains configuramos os domínios existentes na rede interna.
ü Na aba Firewall Client definimos as opções que serão configuradas no browser dos Web Proxy Clients.
As configurações do Firewall Client são armazenadas em alguns arquivos, os quais são armazenados no computador em que o Firewall Client está instalado. Os arquivos são:
ü Commom.ini – este arquivo armazena configurações comuns para todas aplicações.
ü Management.ini – este arquivo especifica as configurações do próprio Firewall Client.
ü Application.ini – este arquivo armazena configurações específicas para aplicações.
Os arquivos Common.ini e Management.ini são criados automaticamente para todos os usuários. Esses arquivos podem ser modificados de acordo com as necessidades do usuário (as configurações específicas dos usuários sobrepoem as configurações do servidor). Já o arquivo Application.ini não é criado automaticamente, portanto deve ser criado manualmente quando necessário. Lembrando que todas as configurações desses arquivos são utilizadas pelo Firewall Client. Esses arquivos podem estar localizados em uma das seguintes pastas:
ü \Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004.
ü \Documents and Settings\user_name\Local Settings\Application Data\Microsoft\Firewall Client 2004.
As configurações definidas por esses arquivos são aplicadas na seguinte ordem:
-
Os arquivos localizados na pasta do perfil do usuário são aplicados primeiro.
-
Depois são aplicados as configurações dos arquivos que estão localizados na pasta All Users.
-
E por último, as configurações do ISA Server são aplicadas.
ü http://www.microsoft.com/isaserver/prodinfo/previousversions/2004.mspx
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Em breve novos artigos serão publicados no site winsec.org
__________________________________________________________________________
Fabiano de Santana, trabalha com TI a mais de 7 anos. Bacharelado em Análise de Sistemas e cursando Pós Graduação em Segurança da Informação. Trabalha atualmente na IBM Brasil, membro do time de Intel Security. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004, implementação de políticas de segurança, implementação de Lotus Notes, entre outros. Possui as certificações MCP, MCDST, MCSA / MCSE 2000 Security, MCSA/MCSE 2003 Security, ITIL Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7. MVP em Windows Server Management Infrastructure.
Autor de ebooks e artigos em parceria com o Julio Battisti há mais de 2 anos, moderador do Fórum de Windows / Certificações do site www.juliobattisti.com.br e autor de artigos para o Technet. Atua também como professor e autor de cursos para o site iPED.
Líder da comunidade Winsec.org, juntamente com o Vitor Nakano.