Em função da necessidade de acesso rápido à informação, tornou-se essencial para empresas, instituições e indivíduos utilizarem cada vez mais o meio público da Internet para troca de informações. A rede mundial de computadores, através de suas conexões internacionais, possibilita que em pouco tempo transações sejam efetuadas reduzindo o espaço geográfico. Por outro lado, essa abertura e superexposição ao mundo exterior faz com que a Internet, veículo de difusão de informações utilizado também para promover negócios, seja usada para finalidades ilegais como espionagem industrial, roubo de informações, chantagens e outros tipos de crimes cometidos contra o patrimônio das corporações envolvidas. (FREIRE, 2006)
Devido a tal fato, existe a necessidade e preocupação das empresas em proteger informações de sua propriedade ou interesse que trafeguem dentro ou fora de sua rede corporativa. A proteção interna normalmente é baseada em definições de política de segurança que incluem procedimentos de auditoria interna, segurança de senhas, normas para utilização de Internet, correio eletrônico, antivírus em estações de trabalho, entre outros. Já a proteção em relação ao resto do mundo é mantida através da utilização de uma tecnologia específica, denominada Firewall. (FREIRE, 2006)
Para tanto, a escolha sobre a utilização de uma determinada solução firewall deve atender a uma série de requisitos. As peculiaridades de cada empresa traduzem necessidades diferentes de recursos ou modos de implementação. É nesse segmento, porém, onde o Microsoft ISA Server se destaca. Com um enorme leque de recursos e templates (modelos) customizados, torna-se uma ferramenta adaptável a diversos tipos de redes e empresas. Uma ferramenta completa, que atende desde os filtros básicos até os mais avançados, como detecção de intrusos e suporte a redes virtuais privadas. Devido a estes mesmos motivos, como objeto de pesquisa, realizou-se um estudo especifico desta solução, o qual será demonstrado como foco principal do artigo.
Devido a tal fato, existe a necessidade e preocupação das empresas em proteger informações de sua propriedade ou interesse que trafeguem dentro ou fora de sua rede corporativa. A proteção interna normalmente é baseada em definições de política de segurança que incluem procedimentos de auditoria interna, segurança de senhas, normas para utilização de Internet, correio eletrônico, antivírus em estações de trabalho, entre outros. Já a proteção em relação ao resto do mundo é mantida através da utilização de uma tecnologia específica, denominada Firewall. (FREIRE, 2006)
Para tanto, a escolha sobre a utilização de uma determinada solução firewall deve atender a uma série de requisitos. As peculiaridades de cada empresa traduzem necessidades diferentes de recursos ou modos de implementação. É nesse segmento, porém, onde o Microsoft ISA Server se destaca. Com um enorme leque de recursos e templates (modelos) customizados, torna-se uma ferramenta adaptável a diversos tipos de redes e empresas. Uma ferramenta completa, que atende desde os filtros básicos até os mais avançados, como detecção de intrusos e suporte a redes virtuais privadas. Devido a estes mesmos motivos, como objeto de pesquisa, realizou-se um estudo especifico desta solução, o qual será demonstrado como foco principal do artigo.
Definição de Firewall:
Podemos definir firewall como uma ferramenta que proporciona a proteção do segmento de rede corporativo interno ao mundo exterior, permitindo somente a passagem de protocolos e serviços autorizados de acordo com as definições da política de segurança estabelecidas (PROTEGENDO, 2004). O Firewall age como um portão de acesso, provendo segurança para os componentes dentro do perímetro protegido, controlando quem ou o que é permitido entrar neste ambiente restrito, bem como o que é permitido sair do mesmo. (CARUSO, 1999)
Entretanto, o recurso bem implementado é aquele que, através de um controle baseado em filtros de tráfego, permitirá acesso restrito a determinadas portas e executará o bloqueio de todos os demais serviços a fim de evitar acesso não autorizado de visitantes indesejáveis sem interromper as necessidades de acesso externo confiáveis.
Entretanto, o recurso bem implementado é aquele que, através de um controle baseado em filtros de tráfego, permitirá acesso restrito a determinadas portas e executará o bloqueio de todos os demais serviços a fim de evitar acesso não autorizado de visitantes indesejáveis sem interromper as necessidades de acesso externo confiáveis.
Arquitetura de Rede:
A princípio, podemos tratar a arquitetura de rede das empresas como uma simples divisão entre o que está dentro e o que esta fora dos limites estabelecidos. Assim, obtemos como resultado uma rede interna (que contem os servidores e estações de trabalho locais) e uma rede de limite, correspondente ao canal que leva ao meio público de comunicação da internet.
Embora este seja o principal desenho de rede utilizado nas empresas, sua facilidade na configuração e a praticidade oferecida, podem resumir em diversas preocupações no que diz respeito à segurança. Serviços da rede interna, localizados na mesma máquina que provê os serviços externos deixarão os dados do usuário expostos em caso de uma invasão. Podemos considerar ainda que o fato de concentrar muitos serviços em uma única máquina gera maior fragilidade a vulnerabilidades conhecidas, pois quanto mais serviços disponíveis, mais falhas podem ser exploradas e, conseqüentemente, existe um maior grau de exposição e risco de invasão (PINHEIRO, 2004). Neste caso, uma estratégia comumente utilizada é a criação de uma zona desmilitarizada (DMZ), também denominada rede de perímetro.Em suma, trata-se de colocar os servidores acessíveis externamente (Web, FTP, correio eletrônico, etc.) em uma área isolada. Em geral, como requisito primário de segurança às redes DMZ, é necessário especificar uma faixa de endereços IP diferente da rede interna ou informar diretamente os endereços das máquinas que devem ser incluídas nessa zona .
Embora este seja o principal desenho de rede utilizado nas empresas, sua facilidade na configuração e a praticidade oferecida, podem resumir em diversas preocupações no que diz respeito à segurança. Serviços da rede interna, localizados na mesma máquina que provê os serviços externos deixarão os dados do usuário expostos em caso de uma invasão. Podemos considerar ainda que o fato de concentrar muitos serviços em uma única máquina gera maior fragilidade a vulnerabilidades conhecidas, pois quanto mais serviços disponíveis, mais falhas podem ser exploradas e, conseqüentemente, existe um maior grau de exposição e risco de invasão (PINHEIRO, 2004). Neste caso, uma estratégia comumente utilizada é a criação de uma zona desmilitarizada (DMZ), também denominada rede de perímetro.Em suma, trata-se de colocar os servidores acessíveis externamente (Web, FTP, correio eletrônico, etc.) em uma área isolada. Em geral, como requisito primário de segurança às redes DMZ, é necessário especificar uma faixa de endereços IP diferente da rede interna ou informar diretamente os endereços das máquinas que devem ser incluídas nessa zona .
Todavia, este tipo de estratégia não é suportada por todos os firewalls encontrados no mercado.
Figura 1. Rede com Firewall e DMZFonte:
2.3 Ameaças (Ataques e Invasões)
A principal defesa oferecida pelo dispositivo firewall é a proteção contra ameaças externas. Estas, porém, podem assumir muitas formas e variações. Discuti-las aqui teria uma finalidade limitada, visto que a cada dia surgem outras mais. Por esse motivo, o mecanismo de defesa deve oferecer métodos para ser frequentemente atualizado e configurado.
Algumas ações, como efetuar um ping em um endereço IP de um servidor podem parecer inofensivas, mas este pode ser apenas o primeiro passo para um ataque mais sério (DESIGN, 2004). De um modo geral, todos os ataques devem ser considerados como potencialmente perigosos e, assim, devem ser tratados a primeira instancia, com um firewall qualificado.
3 A ESCOLHA DO FIREWALL
Existem diversas soluções de firewall disponíveis no mercado. A escolha de uma delas está atrelada a fatores como custo, recursos desejados, flexibilidade, escalabilidade, disponibilidade e facilidade de configuração. Além disso, é necessária ainda uma análise especial quanto à adaptação do dispositivo frente à realidade da empresa e sua política de segurança. Certos tipos de firewall servem apenas para estruturas especificas de rede, bem como servidores específicos (e com elevado grau de importância) exigem alta confiabilidade do mecanismo de defesa.
Como principal estudo para o desenvolvimento do artigo, o conteúdo a seguir descreve a ferramenta Microsoft ISA (Internet Security and Acceleration) Server 2004. Uma solução avançada de firewall e cache web que acompanha diversos outros recursos, elevando a capacidade de segurança e desempenho da rede. Mais do que isso, releva as principais características do produto, bem como seus métodos filtragem, interface e capacidades de
trabalho e configuração.
4 MIcrosoft Isa Server 2004
4 MIcrosoft Isa Server 2004
O ISA Server 2004 apresenta-se como uma solução completa. Além de prover serviços de firewall e cache web para redes corporativas, incluem vários outros itens com o intuito de proteger sua rede interna dos perigos das redes públicas. Implementando tecnologias para detecção de intrusos, filtros de conteúdo e redes privadas virtuais (tanto para interligar duas redes locais quanto para conectá-lo à sua rede de onde quer que esteja), a versão 2004 do ISA oferece altos níveis de segurança, facilidade na administração e melhorias de performance. Baseada em web, a interface é intuitiva e agradável, além de provervários assistentes para ajudar na configuração do servidor.
Após a instalação e a passagem dos parâmetros iniciais de configuração (que serão mostrados mais tarde), o sistema pode ser acessado através de um ícone localizado na área de trabalho do Windows. A figura 2 representa a tela de abertura do software.
Figura 2 - Tela de Abertura do ISA Server 2004 Como exibido anteriormente, o painel à direita contém uma lista de ações disponíveis (aba Tasks) e uma ajuda de contexto (aba Help). Este painel é mostrado em todas as áreas do software, exibindo as tarefas e tópicos de ajuda relacionados. Já o painel da esquerda, determina as configurações e o funcionamento geral do firewall. É através dele que são acessados e configurados todos os recursos do Microsoft ISA Server.
Figura 3. Painel de configuração do ISA Server 2004
4.1 Monitoring
O ISA Server possui como uma de suas principais características, uma grande variedade de ferramentas de monitoramento para auxiliar no controle de status e tráfego da rede, tornando mais fácil garantir que o produto esteja funcionando conforme esperado. Os principais recursos de monitoramento podem ser acessados através do nó Monitoring e estão descritos em abas conforme verificado na figura 4.
Figura 4 - Tela de Monitoração do ISA Server 2004.•
Dashboard.O Dashboard do ISA Server resume informações de monitoramento em sessões, alertas, serviços, relatórios, conectividade e integridade do sistema geral. O Dashboard fornece uma visualização geral sobre o funcionamento .
•
Alertas.Os alertas do ISA Server avisam quando eventos especificados ocorrem. Você pode configurar as definições de alerta para disparar uma série de ações quando ocorrer um evento. Ele é responsável por capturar eventos, verificar se determinadas condições são atendidas e tomar as respectivas medidas.
•
Sessões.Você pode exibir todas as conexões ativas. A partir de um modo de exibição é possível classificar ou desconectar sessões individuais ou em grupos. Além disso, você pode filtrar as entradas na interface para focalizar as sessões de interesse usando o recurso de filtragem de sessões internas.
•
Serviços.Serviços no monitoramento para verificar o status dos serviços do ISA Server e para interromper e iniciar o serviço do Microsoft Firewall, do Agendador de Tarefas do Microsoft ISA Server e do Microsoft Data Engine.
•
Relatórios.É possível usar os recursos de relatório para resumir e analisar os padrões de uso, bem como monitorar a segurança da rede. Esse poderoso recurso permite ainda detalhar diversos resultados em prol de se obter dados exatos sobre requisições de acesso.
•
Conectividade.Você pode usar os verificadores de conectividade para examinar as conexões de um nome de computador, endereço IP ou URL específicos. Além disso permite o teste de conectividade para servidores internos.
•
Log.É possível exibir os logs do firewall e do proxy da Web em tempo real. Você pode consultar os arquivos de log usando o recurso de consulta de log interno. Os logs do Microsoft Data Engine (MSDE) também podem ser consultados sobre informações contidas em qualquer campo registrado nos logs.
Quadro 1 - Recursos de Monitoramento
4.2 Firewall Policy
O servidor ISA é configurado a partir de diretrizes (ou policies). Entenda uma diretriz como um conjunto de regras que controlam o acesso dos clientes internos à rede externa e vice-versa.
Figura 5 - Tela de configuração das regras de filtragemNesta seção (através do painel de ações à direita) também podem ser configurados os elementos que compõe sua regra de acesso, como protocolos, conjunto de usuários (combinados ou não com um domínio Microsoft), tipos de conteúdo, schedules e objetos de rede (endereços ou redes específicos, range de IP, URL’s, etc...).
O principal destaque de filtragem da ferramenta, porém, descreve pela capacidade de inspecionar o tráfego na Internet (como HTTP, download FTP e SSL) através de seu conteúdo, gerando muito mais controle sobre o modo com que o tráfego passa pelo firewall.
Talvez por isso, o ISA Server seja o mais sofisticado firewall encontrado atualmente no mercado. Sua enorme capacidade de utilização deste recurso permite que, por exemplo, exerça a verificação de múltiplos protocolos em diversas portas, com base nas informações que estão na rede. O mecanismo garante que os pacotes circulantes sejam adequados, devido à capacidade de inspecionar os dados e comandos que estão indo e voltando. É importante destacar também a capacidade de verificar o tráfego DNS ao passo que ele circula pelo firewall para buscar comandos específicos na rede interna. Essa proteção adicional impõe que os usuários (ou invasores), não possam esconder informações em tipos de tráfego permitidos (DESIGN, 2004). Diversos ataques são baseados na camada de aplicação do modelo OSI, como exemplo, os worms nimda e codered.
4.3 Virtual Private Network (VPN)
A utilização de redes VPN tornou-se hoje um símbolo de praticidade para as empresas, principalmente no que tange aos dispositivos móveis de computação. Mais do que isso, para permitir que uma conexão virtual desta natureza seja confiável, o ISA Server além de tornar possível, emprega diversos tratamentos ao iniciar uma sessão. Consiste na checagem da máquina visitante através de scripts configuráveis, que verificam os componentes ou executam uma rápida análise no cliente, buscando, por exemplo, um software antivírus atualizado. Esse processo é denominado Quarentine e exige conhecimentos avançados de configuração para garantir comandos de scripts confiáveis.
Figura 6 - VPN – Virtual Private Network 4.4 Configuration
De um modo geral, trata das configurações globais do ISA Server, fazendo referencia com a estrutura corporativa ao qual a ferramenta é submetida. Em outras palavras, sugere os parâmetros fornecidos ao software em consideração o modelo físico e lógico da rede, quesitos de segurança local, administração dos sistemas, além da qualidade e manutenção do serviço de internet.
4.4.1 NetWorks
Com o objetivo pratico de elevar a capacidade do firewall e facilitar a resolução de problemas a interface de configuração para redes exibe uma série de modelos pré-configurados, de acordo com as principais práticas empresariais.
Mais do que isso, determina ainda as regras internas de roteamento e tratamento de pacotes que influenciarão no acesso inter-redes. Um importante recurso encontrado dentro destas regras é o Network Address Translation, ou simplesmente NAT. Refere-se à utilização de apenas um endereço público (válido na internet) para os dispositivos internos de uma rede local. Além disso, como os endereços privados não são exibidos, este mecanismo proporciona ainda a máscara dos endereços das estações e servidores internos, de modo a aumentar a segurança da rede.
Figura 7. NAT – Network Address TranslationFonte: Disponível em:
4.4.2 Cache
Tem como principal objetivo acelerar o acesso à internet. A cada solicitação de uma url, parte do conteúdo da página fica armazenada no servidor, ao passo que conexões futuras ao mesmo site possam ser exibidas com maior velocidade. O ISA Server oferece diversas capacidades ao efetuar o cache de conteúdo, incluindo tamanho geral do arquivo, tempo de armazenagem, opção de cache para SSL, dentre outros.
Este recurso foi muito bem desenvolvido em relação as versões anteriores do ISA, proporcionando um nível ainda mais elevado de gerenciamento e eficácia nas mãos do administrador.
4.4.3 Add-ins
Recurso que permite visualizar e customizar os filtros específicos de aplicação contidos no ISA Server. Embora se assemelhe às regras de acesso localizadas em “Firewall Policy”, empregam conceitos distintos, onde os filtros tratam separadamente tudo que é feito sobre a camada de aplicação.
Este é, com certeza, um dos principais atrativos do ISA Server pois, se bem controlado eleva a capacidade de defesa da ferramenta ao ponto de atingir consideráveis níveis de segurança. Como exemplo, é possível configurar um filtro add-in SMTP onde seja impossível o envio/recebimento de e-mails com conteúdo .exe (executável). (IMPLEMENTING, 2004) Note ainda que, o ISA representa uma solução firewall para controle de entrada e saída de dados com recursos que trabalham além dos tradicionais modelos de mercado, empregando serviços adicionais que facilitam o trabalho do administrador.
Figura 8. Add-ins, filtros de aplicação do ISA Server. 4.4.4 General
Define a área das configurações gerais de administração da ferramenta. Ao solicitar a exibição do nó são apresentados os seguintes grupos de tarefas:
- ISA Server Adminstration
Consiste no tratamento da administração do ISA. Delega permissão de controle da ferramenta aos usuários, emprega configurações de conexão a clientes e links externos e especifica detalhes do servidor.
- Global HTTP Policy Settings
Retoma informações sobre políticas http adicionais como preferências de compressão, revogação de certificados e “tradução de links”.
- Additional Security Policy
Implementa configurações de segurança adicionais como a utilização de um servidor RADIUS, controle de QOS, limitações de banda, modo de operação IP e controle de ataques e invasões. Estes recursos, porém, exigem elevado grau de conhecimento do administrador.
Nesta seção é possível visualizar no painel direito um grande nível de informações sobre cada aspecto abordado acima, com considerações de recomendações e práticas adequadas.
4.5 Informações Adicionais (Disponibilidade e Capacidade de trabalho)
Muitos negócios nos dias de hoje dependem do acesso online constante à Internet, motivo pelo qual exige-se uma confiabilidade e integridade da ferramenta responsável. Para tanto, o ISA Server 2004 ajuda a aumentar a disponibilidade de tempo para conexões de entrada e saída por meio de matrizes de firewall, movendo automática e transparentemente conexões de firewalls indisponíveis. Além de fornecer o failover (descrito no quadro 2) em tempo real para membros indisponíveis, ele permite o balanceamento de carga automático das conexões feitas por meio dos membros da matriz. O balanceamento de carga aperfeiçoa o desempenho, evitando que um único membro torne-se sobrecarregado pelo tráfego de rede.
Descrição
Vantagens
Desvantagens
Firewall único
(componentes redundantes)
Apenas um dispositivo firewall contendo componentes internos redundantes.
Exemplo: RAID, HotSwap, Fontes redundantes...
· Centralização na gerência do tráfego
· Configuração simples
· Baixo custo (sem licenciamento adicional)
· Único ponto de falha
· Dependendo da quantidade de transações pode gerar gargalo na rede, reduzindo a disponibilidade das informações.
Load Balance
(entre dois ou mais firewalls)
Utilização de dois ou mais dispositivos atuando na mesma rede, ao mesmo tempo.
Toda a carga de serviço é dividida para os firewalls online.
[ demonstrado em Fig.7 pág. 22 ]
· Maior eficiência na tolerância à falhas
· Aumento de velocidade no tráfego que passa pelo firewall
· Compartilhamento de sessões
· Custo mais alto
· Maior complexidade na configuração e análise de logs
· Em caso de falha de um nó, a quantidade de tarefas é transmitida de um firewall a outro, o que pode gerar sobrecarga.
Failover
(entre dois ou mais firewalls)
Utilização de dois ou mais dispositivos atuando na mesma rede.
O dispositivo que permanece offline recebe a atualização das regras frequentemente, mas somente passa a atuar se o firewall em atividade apresenta falha.
· Centralização na gerência do tráfego
· Configuração simples
· Carga de failover previsível
· Custo mais alto
· Ociosidade do(s) dispositivo(s) offline. Não gera uma função útil em atividade normal
Quadro 2. Comparativo de mecanismos. Disponibilidade do Firewall ISA Server
4.6 Monitorando os acessos
Tão importante quanto incluir as diretrizes de permissão/bloqueio é monitorar os procedimentos de filtragem do seu firewall. Faz-se saber que esta analise é um processo contínuo, essencial à criação de novas regras e a manutenção da ferramenta como um todo. Para tanto, o ISA Server 2004 possui um arsenal de mecanismos que facilitam a execução desta tarefa. Portanto, cabe ao administrador a função de interpretá-los, de modo com que as atenções tenham o foco no objetivo a qual foi aplicado. Dentro do leque de possibilidades criadas pelo ISA podemos destacar algumas destas ferramentas, já citadas anteriormente. (MANZANO, 2005)
A primeira delas é o Dashboard que traz um resumo geral no acompanhamento dos serviços de firewall. Sua interface apresenta diversos pontos que torna a visualização mais rápida, específica e prática. Ao administrador é comum a utilização para certificar se os procedimentos globais estão sendo executados, além de promover uma rápida visualização do trafego. A segunda ferramenta em destaque é o Reports. Responsável por gerar os relatórios de análise, esta seção permite que o produto final seja concluído conforme as necessidades do solicitante. O modelo padrão traz uma infinidade de informações de onde é citado todo tipo de trafego já interpretado. É possível também manter jobs (trabalhos) para que a geração de relatórios seja feita com determinada periodicidade e em seguida enviada diretamente no e-mail do administrador.
Por fim, a sessão Logging se apresenta exatamente como um “visualizador” de processos em tempo real. Desta forma, é possível verificar todo o tráfego que esta passando no ISA Server, bem como todos os seus dados (ip de origem, ip de destino, protocolo utilizado, regra de permissão/bloqueio, usuário, dentre outros). (IMPLEMENTING, 2004) Mais do que isso, uma análise neste sentido seria complicada em uma empresa de grande porte. Milhares de requisições ao mesmo tempo poderiam se juntar num embaralhado de informações sem especificação definida. Assim, o sistema de log acima mencionado trata ainda na possibilidade de criar pequenos filtros, onde só estarão visíveis os parâmetros desejados.
5 Implementação e configuração da ferramenta
Neste tópico será realizada uma abordagem prática referente à implantação do ISA Server 2004, com todos os procedimentos para uma configuração básica do dispositivo. As informações a seguir estão estruturadas através de um tutorial que determina os principais passos desde sua instalação e definição de parâmetros chegando à adequação final da ferramenta para aplicação em um ambiente corporativo.
Nota:Embora o Microsoft ISA Server 2004 seja um produto que exija licenciamento próprio tanto do servidor quanto de seus usuários, pode-se obter uma cópia de avaliação (120 dias) no site do fabricante.
5.1 Requisitos mínimos
Recomenda-se: Pentium III 550Mhz com 512 de memória RAM (principalmente se utilizado como cache web). Caso seja necessário implementar diretrizes de grupo a nível de Active Directory, deve-se possuir um controlador de domínio disponível na rede.
O servidor também deve possuir um mínimo de duas interfaces de rede. Uma delas ligada à rede interna e outra conectada ao roteador/modem (responsável pela conversão de sinais) para conexão com a rede externa.
5.2 Instalação
O processo de instalação do ISA Server é realizado através de um assistente que solicitará as informações necessárias para as quais foi submetido. É por meio desta que serão definidos os componentes que farão parte do sistema. Também será necessário especificar a configuração da LAT (Local Adress Table), que define os endereços IP internos da rede.
5.3 Preparação do servidor
Em primeiro lugar, é necessário que as interfaces de rede estejam configuradas com os ip’s relacionados com suas redes. Certifique-se de que essa configuração está realizada de forma correta, uma dica para efetuar os testes é realizar testes com o comando “ping”.
Deve-se agora associar o ISA ao “modelo” físico da rede à qual será aplicado. Para definir o template adequado, clique para expandir o link configuration no painel esquerdo da tela inicial do software. Depois, selecione networks.
Figura 9 – Networks, templates de rede.Identifique a opção que melhor se encaixa à sua estrutura. As regras de rede, roteamento e NAT, serão criadas a partir das suas definições. Ao fim deste processo ocorre a escolha da regra default (padrão). É a regra base que seu firewall irá utilizar quando nenhuma das regras anteriores forem aplicadas.
Nota: Por motivos de segurança recomenda-se selecionar a opção Block All (opção que determina o bloqueio através de todo tipo de origem, destino e protocolos envolvidos).
5.4 Diretrizes (regras de acesso)
Uma diretriz pode ser especificada como um conjunto de regras que controlam o acesso dos cientes internos à rede externa e vice-versa. Essas regras podem ser criadas facilmente através da seção Firewall Policy, presente no menu à esquerda da interface do ISA Server. Nesta seção (através do painel de ações à direita, aba Toolbox) também podem ser configurados os elementos que compõe sua regra de acesso, como protocolos, conjuntos de usuários, conteúdo, schedules e objetos de rede.
Antes de ser criada qualquer regra será feita uma breve explicação sobre como customizar os componentes utilizados. A idéia é compreender a estrutura de uma diretriz com base no seu conteúdo.
Protocolos:Possivelmente surgirão ocasiões onde os protocolos pré-definidos pela Microsoft para o ISA 2004 não serão suficientes para garantir ou proibir o tráfego de dados. Neste caso, será necessário criar uma definição de protocolo para atender à essa nova demanda. Clique em Protocols no painel de ações à direita da tela. Para criar um novo protocolo, clique no botão New.
Figura 10 – Customização de ProtocolosVocê verá o primeiro passo do assistente de criação de protocolo. Digite um nome para seu novo protocolo juntamente com a porta, o tipo de transmissão e a direção para a conexão primária. Caso seja necessário, informe também a utilização referente a conexões secundárias.
Usuários: Use-o em suas diretrizes para dar permissões para usuários específicos. Você pode especificar um conjunto de usuários ou grupos pertencentes a um grupo de trabalho, domínio, ou mesmo usuários RADIUS. Veja a lista de usuários pré-configurados clicando em Users no painel de ações:
Figura 11 – Usuários pré-configurados do ISA server.Naturalmente, essas contas não são o bastante para configurar diretrizes de acesso um pouco mais específicas. Para criar um novo conjunto, clique no botão New. Em seguida clique no botão Add para adicionar uma entrada à lista, e selecione o tipo de usuário. Em "Windows users and groups" você pode adicionar usuários ou grupos da máquina local ou de um domínio a qual seu servidor pertença.
Schedules: As schedules (ou agendas) servem para determinar quando as diretrizes serão aplicadas, configurando os dias da semana e o intervalo de tempo. Para criar uma nova schedule, clique em New. A seguir, você vê uma espécie de calendário, com os dias da semana e horários. Selecione um intervalo clicando e arrastando o ponteiro do mouse e clique em Active, se você quiser que a regra associada à schedule se aplique naquele horário ou em Inactive, se a schedule não abrangerá o intervalo selecionado.
Figura 11 – Tela de criação de uma nova scheduleObjetos de Rede:Trataremos através do quadro 3 uma breve descrição dos principais objetos de rede, componentes de uma regra de acesso.
Networks
Representam redes físicas, normalmente contendo um ou mais computadores, intervalos de IP ou domínios.
Network Sets
Como o próprio nome sugere, os conjuntos de redes agrupam várias redes diferentes. Também é possível especificar que um conjunto de rede inclua todas menos uma rede determinada.
Computers
É possível criar uma definição para determinado computador nesta seção. Simplesmente clique em New -> Computer, digite um nome para seu computador e o número IP que o identifica.
Address Range
Define intervalos de endereços IP. Clique em New e aponte para Address Range. Especifique um nome e digite os IPs inicial e final do intervalo.
Subnet
Representa sub-redes, intervalos contíguos de IPs determinados por uma máscara de sub-rede. Para criar clique em New -> Subnet, informe um nome e um intervalo de IP e especifique uma máscara de sub-rede.
Computer Sets:
Agrupam vários computadores, sub-redes ou intervalos de endereços IP. Você pode criar um novo conjunto clicando em New -> Computer Set. Preencha o campo nome, clique em Add e aponte para o tipo de elemento a ser criado (Computer, Address Range ou Subnet).
URL Sets:
Conjuntos de Uniform Resource Locators (URLs) que identificam sites na web. Para criar, clique em New -> URL Set. Preencha o nome do novo item que aparecerá na lista adicionando os endereços desejados.
Quadro 3. Objetos de Rede. Descrição e criação de componentes
Criando as Diretrizes: No ISA Server existem quatro tipos de diretrizes: regras de Acesso (access rules), regras para publicação na Web (Web publishing rules), regras para publicação de servidores (Server publishing rules) e regras para publicação de correio eletrônico (Mail publishing rules). Haja vista existem inúmeras opções de configuração, será descrito aqui apenas um conjunto referente a regra de acesso.
Para que um cliente tenha uma requisição aceita pelo servidor ISA, é necessário que uma regra de acesso especificamente permita o tráfego solicitado. Desta forma, para poder utilizar o serviço de firewall, deve ser criada uma regra que permita o acesso. Isso pode ser feito no painel da direita, aba Tasks, em "Create New Access Rule".
Figura 12 – Criando um nova regra de acessoO próximo passo do assistente lhe permite definir qual ação você quer que a nova regra possua: permitir (Allow) ou negar (Deny). A título de exemplificação escolheremos Allow. Clique em Next para prosseguir. Aparecerá um menu que lhe permite escolher a quais protocolos a regra se aplicará. Selecionando "All outbound protocols" a aplicará a qualquer protocolo. Clique em "Selected protocols", com essa opção a regra se aplicará apenas aos protocolos selecionados (inclusive aqueles que foram customizados) e selecionando "All outbound protocols except selected" fará com que o ISA aplique a regra a todos os protocolos menos os escolhidos. Adicione os protocolos à lista selecionando-os conforme desejado. Clicando no botão Ports você ainda tem a opção de limitar o intervalo de portas que os clientes poderão acessar através desses protocolos.
Esta na hora de especificar de onde irá se originar o tráfego. Selecione o objeto de rede que deseja adicionar à regra de acesso e clique em Add. É permitido adicionar mais itens repetindo o processo. Clique em Close ao terminar.
Figura 12 – Nova regra de acesso. Selecionando o local de origem do trafego.Determine agora para que destinos a regra se aplicará. Clique no botão Add e repita o processo de adicionar um objeto de rede descrito acima. Clique em Next para prosseguir. Chegou à oportunidade de definir quais usuários da rede terão a requisição de tráfego aceita pelo servidor ISA. Adicione um novo grupo ou usuário clicando no botão Add. Aparecerá uma janela com a lista de conjuntos de usuários. Selecione o conjunto desejado e clique no botão Add, repetindo o processo para cada item. Revise suas seleções e clique em Finish para concluir.
5.5 Configurando o cache
O servidor ISA implementa regras de cache para configurar suas funções. Ele vêm com uma regra pré-configurada, que habilita cache FTP e HTTP para todas as redes. Você pode editar estas configurações clicando no botão Edit Selected Rule, no painel de ações da seção Configuration > Cache.
Para criar uma nova regra, clique em Create a Cache Rule. Você receberá um instrução pedindo um nome para a nova regra. O próximo passo lhe pedirá que especifique de quais destinos o conteúdo será colocado no cache. Especifique qualquer objeto de rede. Após clicar em Next, seguem opções para configurar como os objetos no cache serão devolvidos aos clientes. Escolha o modo de cache desejado e clique para prosseguir. Determine agora quando o conteúdo será colocado no cache. Selecione as opções desejadas, prossiga clicando em Next até aparecer a janela de configurações avançadas.
Figura 13 – Especificação para armazenamento em cache
Caso queira limitar o tamanho dos objetos a serem postos em cache, basta selecionar a caixa e impor um limite. A segunda marque caso queira que conteúdo SSL seja colocado no cache. Por motivos de segurança é melhor deixá-la desmarcada. Continue com o processo. Chega à hora de especificar o tempo de vida do conteúdo colocado no cache. Aqui se encontram ainda diversas configurações sobre o conteúdo (http\ftp), o qual deseja efetuar o cache. Clique para prosseguir e depois para finalizar.
5.6 Backup/Restore
O Microsoft ISA Server 2004 possui um mecanismo interno bastante simples para efetuação de backup e restore de configuração. (IMPLEMENTING, 2004) Para utilizá-lo selecione o seu servidor ISA no painel esquerdo da interface e depois clique no menu Action. Clique em backup. Uma janela será exibida para que o destino do arquivo seja armazenado. Escolha um local e clique em OK. Você deverá informar uma senha para posterior recuperação dos dados. Clique novamente em OK. Seu backup foi realizado com sucesso.
Para a recuperação da configuração prossiga com os mesmos passos até o menu Action. Clique em Restore e forneça a senha informado durante o processo citado anteriormente. Seu restore será executado sobrepondo os dados atuais.
6 Conclusão
Neste trabalho, foi demonstrado a ferramenta ISA Server 2004 através de uma visão objetiva, apresentando suas principais características e métodos de implantação.
Dentro do contexto técnico foram destacados conceitos relacionados à interface de administração e às diretrizes de configuração do servidor. Além das notáveis tarefas de monitoração e recursos de administração da ferramenta.As regras de cache web ajudam-no a melhorar a performance das requisições para internet, além de poupar largura de banda de sua conexão. Os modelos de rede ajudam a configurar o servidor o mais rapidamente possível, tornando menor a necessidade de demoradas configurações manuais. Os métodos de autenticação aumentam a segurança das requisições e evitam que usuários não autorizados ocupem sua conexão.
Procurou-se estabelecer ainda, paradigmas que fossem determinantes para o leitor absorver o conteúdo com maior facilidade. Portanto, o ideal é considerar que este trabalho proporciona um leque de variedades em suas aplicações, sendo possível à implementação em qualquer ambiente.
Para um melhor aproveitamento do conteúdo, sugere-se uma atenção aos objetivos que serão aplicados, além dos “caminhos” a serem seguidos.
7 REFERÊNCIAS BIBLIOGRÁFICAS
ALERTAS de Varredura de Portas do ISA Server. Microsoft - Orientações de Segurança. 13 Dez.. 2005. Disponível em:
BATTISTI, Júlio César Fabris. Tutorial de TCP/IP – Parte 20 – NAT – Network Address Translation. 31 Ago. 2005. Disponível em: ,<
CARUSO, Carlos A.A.; STEFFEN, Flávio Deny. Segurança em Informática e de Informações. São Paulo, Editora Senac-SP, 1999.
DESIGN de Firewall de Perímetro. Microsoft - Orientações de Segurança. 12 Abr. 2004. Disponível em:
FREIRE, Alexandre. Sistemas de Firewall e Defesa de Perímetro. 10 Set. 2004. Disponível em:
GONÇALVES, Marcus. Firewalls – Guia Completo. Rio de Janeiro, Editora Ciência Moderna, 2000.
IMPLEMENTING Microsoft Internet Security and Acceleration Server 2004. Microsoft Official Curriculum 2824A. Microsoft, 2004.
MANZANO, João Carlos. Internet Security & Acceleration Server 2004. Palestra direcionada. 2º Simpósio Latino Americano de Segurança da Informação. São Paulo, 2005.
PINHEIRO, José Maurício Santos. Redes de Perímetro. 14 dez. 2004. Disponível em: <
PROTEGENDO sua Rede. Microsoft - Orientações de Segurança. 21 Mai. 2004. Disponível em:
Nenhum comentário:
Postar um comentário