Documente Academic
Documente Profesional
Documente Cultură
Depois de muito tempo sem postar artigos como fazer vou retomar com o produto Microsoft que sou especialista o ForeFront TMG 2010, sucessor do nosso querido ISA Server que por muito tempo atendeu nossas necessidades no que diz respeito a Firewall de Borda e Web Proxy, o avano se faz necessrio e sem mudana no h avano ento vamos mudar e comear a trabalhar com o ForeFront TMG 2010. Vou fazer uma serie de artigos e irei demonstrar como instalar e configurar o ForeFront TMG 2010 Standard Edition, alm claro de mostrar as novas funcionalidades do produto. Nesse primeiro vou abordar instalao e configurao do TMG como Firewall de Borda (Edge Firewall) abaixo segue um diagrama da nossa rede que composta por um controlador de domnio que tambm servidor DNS e DHCP. O ForeFront TMG est com duas placas de redes, uma dedicada para a rede interna e outra para a rede externa (Internet) esta por sua vez ligada em um roteador fornecido pelo ISP (Internet Service Provider) nosso provedor de acesso a internet. Temos tambm outros servidores e dispositivos, como em qualquer rede de uma empresa. Requisitos de Hardware para a instalao do ForeFront TMG 2010 O diagrama abaixo representa a infraestrutura de rede comum na maioria das empresas. Um servidor controlador de domnio, DNS e DHCP. O TMG ir trabalhar como default gateway e proxy dessa rede, ele est conectado a um modem ADSL que faz a conexo com a internet. Temos tambm clientes de rede e demais servidores.
Primeiro passo identificar as nossas placas de rede, renomeando corretamente, qual placa ser dedicada para rede interna e para a rede externa.
Agora configure a ordem que as placas sero acessadas pelos servios de rede, clique em avanado e depois em configuraes avanadas.
Aps configurar corretamente as placas de rede voc j esta pronto para instalar o ForeFront TMG 2010, porem recomendvel que voc efetue testes de conectividade de rede, verifique por exemplo se voc consegue pingar endereos IP da rede interna e da rede externa a internet. Bom agora voc j pode colocar o CD do ForeFront TMG 2010 e efetuar a instalao. Na tela de boas vidas clique em Executar o Windows Update e instale as atualizaes necessrias.
S avance para a etapa seguinte quando todas as atualizaes estiverem instaladas Agora clique em Executar a Ferramenta de Preparao ela instalar os requisitos de software necessrios para o ForeFront TMG 2010. Na tela de Bem-vindo Clique em Avanar. Aceite o Contrato de Licena e clique em Avanar. Na tela Tipo de Instalao selecione Servios e Gerenciamento do ForeFront TM e clique em Avanar.
Aps algum tempo a tarefa finalizada cerifique-se que a opo Iniciar o Assistente de Instalao do Forefront TMG e clique em Concluir.
O Assistente de Instalao do ForeFront TMG 2010 ser iniciado. Na tela de Bem-vindo Clique em Avanar. Aceite o Contrato de Licena e clique em Avanar. Informe os dados necessrios como Nome de Usurio, Organizao e Nmero de Srie do Produto, aps clique em Avanar.
Na tela Cenrios de Instalao selecione Servios e Gerenciamento do ForeFront TMG e clique em Avanar.
Na tela Caminho de Instalao informe o local da instalao do ForeFront TMG 2010 e clique em Avanar.
Na tela Selecionar Adaptadores de Rede selecione a placa de rede da REDE INTERNA e clique em OK.
Decorridos alguns minutos a instalao finalizada com xito. Na tela Assistente para instalao Concludo, marque a opo Iniciar o Gerenciamento do ForeFront TMG quando o assistente fechar e clique em Concluir.
Na tela Bem-vindo Clique em Avanar. Na tela Seleo do Modelo de Rede selecione Firewall de borda e clique em Avanar.
Na tela Configuraes de LAN (Rede Local) selecione sua placa de REDE INTERNA e clique em Avanar.
Na tela Configuraes de Internet confirme as configuraes da sua placa de REDE EXTERNA e clique em Avanar.
Revise todas as configuraes e certifique-se que esto corretas, depois clique em Concluir.
Na tela de Bem-Vindo Clique em Avanar. Cerifique-se de que todas as configuraes referentes ao seu domnio esto corretas e clique em Avanar.
Na tela Concluindo Clique em Concluir. De volta tela Assistente para Introduo clique em Definir opes de implantao.
Na tela Bem-vindo Clique em Avanar. Na tela Instalao de Atualizaes da Microsoft selecione Use o servio de Atualizaes da Microsoft para verificar atualizaes (recomendado) e clique em Avanar.
Na tela Configuraes de Recurso de Proteo do ForeFront TMG, selecione todas as opes recomendadas para usufruir (mesmo que temporariamente) de todos os novos recursos de proteo do TMG 2010 e clique em Avanar.
Na tela Configuraes de Atualizaes de Assinaturas NIS selecione todas as opes recomendadas para usufruir do novo recurso de proteo conta Malware e clique em Avanar.
Na tela Servio de Relatrio de Telemetria da Microsoft selecione Avanado. Fique tranquilo seus dados particulares no so enviados. Clique em Avanar.
Na tela Concluindo o Assistente Certifique-se de que todas as opes esto corretas e clique em Concluir. De volta a tela Assistente para Introduo cerifique-se que a opo Executar o Assistente para Acesso Web, est desmarcada e clique em Fechar. Iremos configura-la mais adiante.
Expanda o N do seu servidor TMG, clique em Monitorando e depois em Servios, verifique se todos os servios esto em execuo.
Pronto a instalao e configurao inicial do ForeFront TMG est completa, no prximo post vamos configurar o cache do Forefront TMG 2010
2.
3. 4.
Configurando o cache. Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Web, e em Tarefas Relacionadas, clique em Configurar Cache da Web.
Selecione a unidade necessria, no nosso caso a unidade D:\ e, em Tamanho mximo do cache, especifique o tamanho mximo em megabytes que vamos configurar com 1024 MB = 1GB. Clique em Definir para salvar a configurao.
O cache configurado com sucesso, clique em OK para finalizar a configurao e em Fechar para encerrar o assistente.
Clique em Aplicar.
Na tela de Aviso do Forefront TMG selecione Salvar as alteraes e reiniciar os servios e clique em OK.
Finalizamos a configurao do cache do Forefront TMG 2010, no prximo post vamos criar nossa primeira Regra de Firewall.
Vamos solucionar esta questo criando uma Diretiva de Firewall que libera trafego DNS. Primeiro passo criar um objeto computador que representa os nossos servidores DNS interno e externo. Na rvore do console de Gerenciamento do Forefront TMG, clique no n Diretiva de Firewall.
Clique em Procurar
Clique em OK e em OK novamente para confirmar a criao do objeto computador. Clique novamente em Novo e selecione Computador.
Informe o nome e o endereo IP do seu servidor DNS Externo (Encaminhador) e clique em OK.
Clique em Aplicar.
Expanda Computadores e selecione o objeto Computador BABOODC criado anteriormente, clique em Adicionar e depois em Fechar.
Expanda Computadores e selecione o objeto Computador DNS Externo criado anteriormente, clique em Adicionar e depois em Fechar.
Clique em Aplicar.
Para confirmar as alteraes clique em OK. Vejam como fica a Regra de Acesso.
Agora v at as propriedades do seu servidor DNS na aba Monitoramento verifique novamente o status de uma consulta recursiva Aprovado.
isso pessoal nossa prxima regra ser uma regra de acesso web utilizando a categorizao de url.
O Forefront TMG tem mais de 70 categorias de URL. Uma categoria de URL uma coleo de URLs que correspondem a um critrio predefinido, por exemplo, mal-intencionado, anonimato ou drogas ilegais. As categorias so agrupadas por conjuntos de categorias, que podem ser usados para simplificar a configurao de diretivas do Forefront TMG. Vamos a nossa regra: Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Web, e em Tarefas, clique em Criar Regra de Acesso.
Em Inspeo de Malware vamos deixar desabilitado para o momento, pois iremos explorar este novo do FroFront TMG 2010 mais adiante, selecione No Habilitar a inspeo de malware para esta regra e clique em Avanar.
Antes de aplicar as alteraes clique com o boto direito na Diretiva de Acesso recm-criada e selecione Propriedades.
Nas Propriedades de Acesso Web (Nome da Regra) selecione a tab Para e clique em Adicionar
Expanda Categorias de URL, e adicione as categorias que devero ser bloqueadas de acordo com a sua necessidade, no nosso caso vamos bloquear as categorias Chat, Nudez e Pornografia. Clique em Adicionar e ao termino em Fechar.
Clique em Aplicar.
Ela est permitindo os protocolos HTTP e HTTPS da rede Interna para a rede Externa (Internet) para todos os usurios que so autenticados, porm est bloqueando sites de Chat, Nudez e Pornografia baseado na categorizao de URL feita pelo MRS (Servio de Reputao da Microsoft).
Voc pode consultar uma URL para saber em qual categoria ela se encaixa. Clique em Consultar Categoria de URL.
Porem pode haver rarssimos casos em que a categoria no corresponde ao critrio desejado, como o caso da URL batepapo.uol.com.br que categorizada como Blogs/Wiki.
Para estes casos especficos voc pode substituir a categoria de URL. Clique em Configurar Substituies de Categoria de URL.
Digite a URL a ser substituda seguida de * selecione a Categoria de URL, nesse caso Chat e clique em OK.
Clique em Aplicar.
Aps alguns minutos se fizermos a Consulta de Categoria novamente da URL batepapo.uol.com.br, verificamos que ela se encontra na categoria Chat que foi substituda pelo Administrador do ForeFront TMG 2010.
Ao tentar acessar qualquer URL categorizada como Chat, Nudez ou Pornografia o usurio receber a pagina de bloqueio erro 502.
Vejam como ficou a Diretiva de Acesso, reparem que as categorias ficaram cortadas isso significa que elas estao nas excesses de acessso, ou seja, esto sendo usada para bloqueio.
Voc pode usar as categorias para liberar acesso somente a determinados contedos, como por exemplo, sites de noticias, veja como ficaria a Diretiva.
Ento isso pessoal, vimos como controlar o acesso Web usando o novo recurso de Filtragem de URL do ForeFront TMG 2010 e tambm vimos como consultar e substituir uma categoria de URL, fico devendo a Inspeo de Malware que ser abordada no prximo post.
Todo administrador de sistemas sabe que o trafego Web pode trazer alguns malefcios como spywares, vrus e malwares. O Forefront TMG usa definies de vrus conhecidos, worms e outros malwares que baixa do Microsoft Update ou WSUS (Windows Server Update Services), para inspeo de malware. O Filtro de Inspeo de Malware do Forefront TMG verifica pginas da Web e arquivos solicitados por computadores cliente, e limpa o contedo HTTP prejudicial ou bloqueia sua entrada na rede interna. Ao habilitar a inspeo de malware em regras de acesso Web, o Filtro de Inspeo de Malware examina pginas da Web e arquivos solicitados por computadores cliente, e limpa o contedo HTTP prejudicial ou bloqueia sua entrada. Embora seja recomendvel que voc mantenha as configuraes padro, voc poder definir opes de inspeo de malware para uma regra que sejam diferentes daquelas definidas globalmente.
Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Web a qual deseja habilitar a inspeo de malware clique com o boto direito e selecione Propriedades.
Selecione a tab Inspeo de Malware e marque a box Inspecionar contedo baixado de servidores Web para clientes, e clique em OK.
Clique em Aplicar.
Pronto a inspeo de Malware j est habilitada, quando um cliente fizer download de arquivo da internet, o arquivo ser recuperado como na imagem abaixo.
Inspecionado, baseado nas definies baixadas do Microsoft Update ou WSUS (Windows Server Update Services).
possvel habilitar a inspeo de Malware no momento de criao de uma Diretiva de Acesso Web, basta selecionar Habilitar inspeo de malware para esta regra no Assistente de criao.
Tambm possvel configurar excees tanto de Destino como de Origem que no iro passar pela inspeo de Malware.
Na Central de Atualizaes possvel verificar o status de atualizao das definies de inspeo de Malware.
Bom nesse post vimos como funciona o novo recurso de inspeo de Malware do ForeFront TMG 2010 que traz maior segurana ao ambiente corporativo , combatendo pragas e ameaas online de forma eficaz.
Um dos grandes benefcios do ISA Server e agora do ForeFront TMG 2010 a capacidade de integrao com o Active Directory, esse recurso permite que voc gerencie melhor o acesso web baseado nos grupos de segurana ou contas de usurios do AD por exemplo.
Na imagem abaixo temos dois grupos de segurana do AD, vamos importar o grupo ACESSO LIBERADO para o Conjunto de Usurios do ForeFront TMG 2010.
Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Firewall, selecione Ferramentas, expanda Usurios e clique em Novo.
Informe o nome que deseja dar ao objeto, recomendo que seja o mesmo usado no Active Directory.
Informe o nome do seu grupo de segurana e clique me verificar nomes, aps o nome ser retornado corretamente clique em OK.
Clique em Aplicar.
E voc poder usa-lo nas suas Diretivas de Acesso Web para gerenciar de maneira simplificada os acessos internet da sua rede corporativa.
Nesse post vimos como importar grupos de segurana do Active Directory para o ForeFront TMG 2010, voc pode importar tambm contas de usurios diretamente no lugar de grupos de segurana
Nesse post vamos ver como configurar o acesso VPN no ForeFront TMG 2010. No nosso cenrio um cliente externo ir se conectar a rede corporativa de forma segura atravs do ForeFront TMG 2010, veja o exemplo no diagrama abaixo:
Primeiro passo criar a conta de usurio e o grupo de segurana que sero usados para acesso VPN, como na imagem abaixo:
E ser membro do Grupo de segurana que ter direito de acesso no ForeFront TMG.
Na rvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso Remoto (VPN) clique em Configurar o Mtodo de Atribuio de Endereo.
Na tab Geral voc pode definir o numero mximo de conexes VPN simultneas que o ForeFront TMG 2010 ir aceitar, clique em OK.
Clique em Aplicar.
Na rvore do console de Gerenciamento do Forefront TMG, selecione Monitorando e clique em Servios, aguarde o Servio de Acesso Remoto iniciar.
Para que os clientes VPN tenham acesso a recursos da sua rede interna como compartilhamentos de rede, voc deve criar uma Diretiva de Firewall que permita esse tipo de acesso tome como exemplo a regra criada no post anterior alterando as opes para que fique igual imagem abaixo:
Em Escolher uma opo de conexo clique em Conectar a um local de trabalho e clique em Avanar..
Em Como deseja se conectar? Clique em Usar minha conexo com Internet (VPN).
Em Digite o endereo da Internet com o qual se conectar informe os dados pblicos da sua infraestrutura de rede e clique em Avanar.
Em Digite o seu nome de usurio e a senha fornea os dados necessrios e clique em conectar.
Para verificar as conexes VPN no ForeFront TMG clique em Monitorando, selecione Sesses e clique em Editar Filtro.
Edite o filtro com o Tipo de Sesso igual a Cliente VPN e clique em Adicionar Lista.
Nesse post vimos como liberar o acesso VPN de clientes externos para a rede interna de forma segura com o ForeFront TMG 2010
Para quem administra um servidor ISA ou TMG e os clientes esto recebendo a seguinte mensagem: Error
Code: 502 Proxy Error. The HTTP message includes an unsupported header or an unsupported combination of headers. (12156) Cdigo de erro: erro 502 de proxy: A mensagem HTTP inclui um cabealho sem suporte ou uma combinao sem suporte de cabealhos. (12156)
Esse problema ocorre se uma resposta do servidor da Web contm um cabealho HTTP que comea com um espao ou com um caractere TAB.
Para resolver esse problema salve o cdigo abaixo como um arquivo .reg, execute no servidor ISA/TMG e reinicie a maquina:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\Web Filters]
DROP_CONTINUATION_LINES=dword:00000001
O Forefront TMG fornece cache de objetos solicitados frequentemente para aprimorar a velocidade do acesso Web e o desempenho da rede, mas em alguns casos pode ser necessrio limpar ou excluir o cache para atualizar o contedo. Vamos ver duas maneiras de executar esse procedimento.
Na rvore do console de Gerenciamento do Forefront TMG, selecione Monitorando, no painel central selecione Servios, selecione o servio Firewall do Microsoft Forefront TMG e no painel direito clique em Parar o Servio Selecionado.
Na pasta Urlcache, localize o arquivo que possui a extenso de nome de arquivo .cdat.
Quando voc for solicitado para confirmar a remoo do arquivo .cdat, clique em Sim .
Se voc for solicitado para excluir o arquivo .cdat porque ele muito grande para a Lixeira, clique em Sim.
Retorne a Console do Forefront TMG e selecione o servio Firewall do Microsoft Forefront TMG e clique em Iniciar Servio Selecionado.
Nesse post vimos duas maneiras para excluir contedos do cache do Forefront TMG 2010
Na rvore do console de Gerenciamento do Forefront TMG, clique em Sistema de Rede. No painel de detalhes, clique na guia Redes e selecione a rede na qual voc deseja escutar as solicitaes WPAD dos clientes (geralmente a rede interna padro).
Na guia Descoberta Automtica, selecione Publicar informaes de descoberta automtica desta rede.
Em Usar esta porta para solicitaes de descoberta automtica, especifique a porta na qual o servidor de WPAD do Forefront TMG dever escutar as solicitaes WPAD dos clientes.
Clique em Aplicar.
Bom, agora o Forefront TMG j est com o WPAD habilitado, no prximo post vamos ver como configurar a entrada WPAD no servidor DNS.
Na rvore de console, clique com o boto direito do mouse na zona de pesquisa direta do domnio e clique em Novo Alias (CNAME).
Em Nome totalmente qualificado para host de destino, clique em Procurar para pesquisar o namespace DNS do nome do servidor do Forefront TMG.
Verifique se o servidor est respondendo as consultas corretamente, executando o comando nslookup wpad a resposta deve ser a seguinte:
Navegue at HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters
Abra o valor GlobalQueryBlockList e remova a entrada wpad. Repare que h um caractere aps a entrada isatap, recomendo no remove-lo. Clique em OK.
Pode ser necessrio reiniciar o servidor aps esse procedimento. A boa noticia que se voc j possua a entrada WPAD no DNS antes de instalar o 2008 server esse problema no ocorre.
Ento isso pessoal, nesse post vimos configurar corretamente a entrada WPAD no servidor DNS
Nos dois ltimos post vimos como configurar a descoberta automtica do Forefront TMG na nossa infraestrutura de rede, neste post veremos como distribuir e instalar o software Cliente do Forefront TMG nos computadores clientes do Forefront TMG. O software Cliente do Forefront TMG inclui o arquivo ms_fwc.msi do Windows Installer e est disponvel no DVD do Forefront TMG, nas edies Standard e Enterprise. A instalao do Cliente do Forefront TMG permitida em sistemas operacionais de 32 e 64 bits.
Existem apenas algumas configuraes no servidor Forefront TMG, que so responsveis por configurar o comportamento do cliente Forefront TMG. Primeiro de tudo, possvel habilitar o suporte ao cliente TMG para a definio da rede interna no servidor TMG como voc pode ver na imagem seguinte.
Abra o DVD de instalao do Forefront TMG 2010 navegue at a pasta \client e copie o arquivo MS_FWC.msi.
Crie ou edite uma GPO que afete as contas de computadores que devero ter o TMG Client instalado.
Expanda Configuraes do Computador / Diretivas / Configuraes de Software / Instalao de Software clique com o boto direito, Novo e selecione Pacote
Localize o compartilhamento de rede em que o pacote MS_FWC.msi foi copiado, selecione o pacote e clique em Abrir.
Na mesma GPO configure o Windows Installer para Sempre instalar com alto privilegio.
Feche o Editor de diretiva de grupo. Aps a aplicao da GPO nos estaes o TMG Client ser instalado na prxima inicializao.
Verificando o Visualizador de eventos da estao possvel encontrar o log de instalao do TMG Cliente.
Para verificar as configuraes do Client TMG, clique com o boto direito no cone, selecione propriedades e clique em Configuraes.
Clicando em Avanado voc pode observar que o Client TMG primeiro consulta o registro do AD Marker para depois consultar o DNS e DHCP no processo de descoberta automtica.
Nesse post vimos como distribuir o Client TMG via Group Policy, esta uma excelente pratica, pois voc pode remover o Client TMG usando essa GPO. No prximo post vamos explorar os benefcios do Client TMG e desmistifica-lo.
Neste post eu vou tentar esclarecer para vocs o que realmente o Cliente TMG ou nas verses do ISA Server o Cliente de Firewall. Tenho visto em muitos cenrios que os administradores de sistemas no implantam o Cliente TMG por temerem que ele funcione como o Firewall do Windows ou que ele possa fechar/bloquear portas na maquina cliente, essa no a funo do Cliente TMG. O cliente do Forefront TMG fornece notificaes da inspeo HTTPS, a descoberta automtica, segurana avanada, suporte a aplicativos e controle de acesso para computadores cliente. Quando um computador cliente executando o Cliente TMG faz uma requisio de Firewall, o pedido direcionado para o servidor Forefront TMG 2010 para processamento. Nenhum encaminhamento infraestrutura especfica necessria devido ao processo de Winsock. O Cliente TMG envia as credenciais do usurio de forma transparente com cada solicitao, permitindo que voc crie uma poltica de firewall no TMG Forefront 2010 computador com as regras que usam as credenciais de autenticao fornecidas pelo cliente, mas apenas com base no trfego TCP e UDP.
Na imagem abaixo temos o log de uma maquina que executa o Cliente TMG e est fazendo uma conexo com cliente RDP (mstsc) em um servidor da internet (201.XXX.XXX.XXX). Perceba que em todo momento o trafego autenticado.
Dessa forma eu posso definir uma regra de acesso RDP somente para usurios autenticados. Sem o Cliente TMG instalado isso no seria possvel.
Caso o Cliente TMG seja removido ou no esteja em execuo na maquina, o acesso ser negado, pois no autenticado.
Acho que agora no existem mais motivos para continuar com maquinas sem o Client TMG/Firewall instalado, certo?