ISA Server 2004O ISA Server 2004 a nova verso de um produto que, alm de prover servios de firewall e cache web para redes corporativas, inclui vrios outros itens com o intuito de proteger sua rede interna dos perigos das redes pblicas. Implementando tecnologias para deteco de intrusos, filtros de contedo e redes privadas virtuais (tanto para interligar duas redes locais quanto para conect-lo sua rede de onde quer que esteja), a verso 2004 do ISA oferece novos nveis de segurana, facilita a administrao atravs da nova interface de configurao e comunicao com o administrador/usurio e implementa melhorias na performance. Este tutorial ter como foco a instalao e configurao do novo ISA para o sistema operacional Windows Server 2003, mostrando as novidades implementadas pela Microsoft na verso beta disponvel ao pblico, tendo pouqussimas diferenas em relao verso final.Verso Testada Testamos a edio Standard do ISA 2004, que tem como limitaes as diretrizes de grupo somente a nvel local, a incapacidade de formar matrizes de servidores e limite quanto ao nmero de processadores suportados: quatro. A edio Enterprise no foi publicada at o presente momento.Requisitos mnimos Os requisitos mnimos da verso 2004 so parecidssimos com os do ISA Server 2000: voc precisar de um computador com processador Pentium II 300Mhz ou com desempenho semelhante, 256 Megabytes de memria RAM, 150 MB de espao em disco livre, excluindo-se nessa conta o espao para cach web, um adaptador de rede para a rede interna e um para cada rede externa qual deseja conectar o servidor ISA. Alm disso, uma de suas parties no disco deve estar formatada com o sistema de arquivos NTFS. Com relao ao sistema operacional, apesar da verso beta suportar apenas o Windows Server 2003, a verso final do produto deve rodar tambm no Windows 2000, se neste estiverem instalados o Service Pack 4 (ou mais atual) e Internet Explorer 6. Para melhor performance, podemos recomendar um Pentium III 550Mhz com 512Mb de memria, principalmente se utilizado como cache Web. Caso queira implementar diretrizes de grupo a nvel de matriz de servidores ISA ou a nvel de Active Directory, voc tambm precisar de um controlador de domnio acessvel.A verso beta 2 Standard Edition do ISA 2004 est disponvel para download diretamente do site da Microsoft . Recomenda-se no instalar verses em testes em ambiente de produo.Upgrade partindo do ISA 2000 Existem duas formas de fazer um upgrade para o novo ISA 2004: voc pode instalar a nova verso sobre a instalao anterior ou fazer uma instalao completamente nova (removendo previamente o ISA 2000) e utilizar a ferramenta de migrao. Em qualquer uma das opes, a maioria das configuraes mantida. Entretanto, existem configuraes que no podem ser migradas, listadas a seguir: Regras de Largura de banda (Bandwidth rules): estas e seus elementos agregados no so mais suportadas na verso 2004 e portanto no podem ser migradas. Permisses: as ACLs (Access Control Lists ou Listas para Controle de Acesso) dos objetos no so migradas. Voc deve reconfigur-las pois, quando da instalao do ISA, as ACLs padro so aplicadas. Logs e Reports: as informaes de log e os relatrios (reports) no so migrados, sendo recomeadas a partir da nova instalao. As configuraes de alerta do ISA 2000 so migradas, mas definies de alerta que fazem referncia ao servio Web Proxy so modificadas para referenciar o servio Microsoft Firewall, pois no novo ISA Server 2004 o servio Web Proxy no existe. Definies de alerta sobre intruso DNS e POP, sobre modificao no filtro de conectividade RPC e sobre falha na configurao SOCKS no so modificadas. Este tutorial est dividido nas seguintes sees: Instalao Configurando o ISA ConclusoISA Server 2004Instalando o ISA Server 2004 A instalao do ISA Server 2004 no difere muito da verso anterior do produto. Apesar de estarmos testando a verso beta 2, dificilmente a Microsoft mexer nesta parte. O primeiro passo inserir o CD do produto, o que faz a janela de autorun aparecer na tela:Caso voc esteja instalando o ISA 2004 em um computador Windows 2000 cuja mdia de instalao possua o Service Pack 4 integrado, voc dever instalar o hotfix KB821887, disponvel aqui . Para realizar esta tarefa, voc precisa ser membro do grupo Administrators ou ter privilgios equivalentes. Clicando em Install ISA Server 2004, aps algumas checagens do sistema, vemos o Assistente de instalao do ISA.Clique em Next para continuar. Note que atrs desta janela temos outra dando mais informaes sobre o andamento da instalao.A janela que se segue mostra a Licena de uso do software. Aps l-la, clique em I Agree e no boto Next. Aparece o prximo passo do assistente onde devemos digitar os dados pessoais (nome e empresa) e o nmero de serial, que para propsito de testes com o beta 2 j veio preenchido. Prossiga clicando em Next.O que voc v acima a tela para escolher o tipo de instalao desejada. Escolheremos custom para mostrar os componentes que compem o ISA:Firewall Services: instala os servios bsicos do ISA Server ISA Server Management: instala as ferramentas grficas de administrao Firewall Client Installation Share: configura um compartilhamento de rede para a instalao do cliente de firewall ISA nas estaes de trabalho em \\Servidor\mspclnt Message Screener: filtra mensagens SMTP que chegam ao servidor ISA. Este componente deve ser instalado em seu servidor SMTP (que normalmente no o servidor do ISA) e por isso excludo da instalao padro Os dois primeiros componentes acima fazem parte da instalao tpica. Escolher "Full Installation" na janela anterior instala os quatro componentes. Quando escolhidas as opes desejadas, clique em Next para prosseguir. Voc dever agora configurar quais intervalos de IP voc quer que sejam considerados como rede interna.Clique no boto "Add...". A janela de configurao da LAT (Local Address Table, ou Tabela de Endereos Locais) aparecer. Voc deve entrar com os intervalos de endereo utilizados por sua rede local. Computadores com o software de cliente Firewall do ISA Server instalado checam a LAT para determinar se o IP requisitado est ou no na rede local. Se sim, o recurso acessado diretamente. Caso contrrio, o cliente manda a requisio para o servidor ISA, que acessar o recurso em nome do cliente.Em nosso exemplo, a rede local utiliza o intervalo de IPs 172.16.0.0 - 172.16.0.255. Entretanto, mais de um intervalo pode ser confi gurado.Voc pode ainda fazer o programa de instalao gerar uma LAT automaticamente. Para isso, clique no boto "Configure Internal Network", mostrado na figura acima. As seguintes opes lhe aparecero:A primeira caixa de seleo pode adicionar automaticamente sua Local Address Table os intervalos de IPs para redes locais definidos pela RFC 1918 mais o intervalo reservado pelaMicrosoft para endereamento dinmico quando da ausncia de servidor DHCP (Automatic Private IP Adressing - 169.254.x.x). Esses intervalos de IP foram reservados para uso em redes locais, e no so vlidos na Internet. A segunda caixa, quando selecionada, gera sua LAT a partir da tabela de roteamento do Windows (voc pode configur-la atravs do utilitrio de linha de comando route, digite route print no prompt para visualiz-la). Voc deve selecionar tambm as placas de rede de seu servidor ISA que conectam rede local, na lista que voc pode ver na figura acima. Confirme suas selees clicando em OK. Note um aviso de que caso sua tabela de roteamento do Windows no esteja devidamente configurada, a gerao automtica de LAT pode incluir em sua rede local endereos externos e vice-versa. Por esse motivo, revise os intervalos que devero ser considerados locais e exclua/modifique aqueles erroneamente selecionados. Clique em OK quando pronto e prossiga com a instalao atravs do boto Next. Clique em Install. O programa de instalao configurar os componentes do ISA, o que pode levar alguns minutos.No final da instalao a janela do andamento desaparece por um minuto, mas logo nos deparamos com a confirmao do trmino da instalao.ISA Server 2004Configurando o ISA 2004 Quando voc entra na ferramenta administrativa do ISA atravs do menu Start -> All Programs -> Microsoft ISA Server -> ISA Server Management, logo nota-se que esta foi reformulada quase que totalmente. Baseada em web, a interface intuitiva e agradvel, alm de prover vrios assistentes para ajudar na configurao do servidor. Como pode-se ver na figura abaixo, o painel mais direita contm uma lista de aes disponveis (aba Tasks) e uma ajuda de contexto (aba Help).Monitoramento do Servidor Comeamos com a nova seo "Monitoring", que contm vrias abas para monitorar os diversos componentes do ISA: Dashboard: A aba Dashboard concentra dados sobre conectividade, servios do ISA, Alertas, Relatrios e Sesses, alm de um contador de performance. o um "resumo" das atividades de seu servidor.Alerts:A aba Alerts exibe informaes sobre eventos ocorridos em seu servidor ISA. Voc pode configurar aes para serem executadas quando determinados eventos ocorrerem, configurar novos eventos ou ainda editar os eventos existentes, utilizando-se para isso do link "Configure Alert Definitions" no painel de aes.Sessions: A aba Sessions lista as sesses abertas no momento atravs do seu servidor ISA, permitindo fech-las e indicando se o cliente Secure NAT, Firewall Client ou se uma Sesso Web. Filtros de exibio podem ser aplicados atravs do painel de aes.Clientes Secure NAT so aqueles que tm o gateway padro apontado para o servidor ISA e tm permisso para acessar a rede externa atravs deste servidor, mas no possuem o software cliente do ISA, caso dos Firewall Clients. Web Session so os clientes cujo navegador est configurado para utilizar o servidor ISA como Proxy, e representam portanto conexes HTTP. Services: Exibe o status dos servios componentes do ISA, permitindo par-los e inici-los atravs do painel de opes.Reports: Nesta aba voc pode configurar o ISA para gerar relatrios que sumarizam as atividades do servidor e ajudam a analisar futuras necessidades de segurana e de performance, alm de traar um perfil dos recursos utilizados da rede externa. Estes dados so coletados dos arquivos de log do servidor, sendo possvel agendar relatrios para serem emitidos periodicamente e public-los em um diretrio (como o Active Directory). Tambm so configurveis o perodo no qual o relatrio ir se basear e a conta de usurio que ser utilizada para cri-lo.Os relatrios so gerados em HTML, podendo ser exportados e vistos em qualquer browser. A formatao dos dados pode ser configurada facilmente atravs do painel de aes.Connectivity: A aba Connectivity fornece ferramentas para monitorar a conectividade entre seu servidor (e portanto, sua rede) e uma localizao na rede externa (Internet, por exemplo), com a possibilidade de especificar o mtodo utilizado para esse teste (mensagem GET HTTP, Ping ou ainda uma conexo TCP) e de emitir um alerta. A partir deste alerta, possvel configurar uma ao a ser tomada. Alm de endereos HTTP, possvel monitorar domnios Active Directory, servidores DNS, DHCP, servidores publicados atravs de regras de Publicao pelo prprio ISA ou qualquer outro computador.Logging: Como o prprio nome sugere, esta aba serve para visualizar os logs e configurar as opes de gerao de arquivos log em seu servidor ISA.Atravs do painel de aes pode-se aplicar filtros de exibio e gerenciar a gerao de logs para cada um dos componentes do ISA (servio Firewall, Web Proxy e SMTP Screener) separadamente. Os logs podem ser armazenados em arquivos texto, em bases de dados SQL ou ainda em bases MSDE. Tambm podem ser desabilitados para cada um dos servios e pode-se especificar quais campos deve constar nestes arquivos.ISA Server 2004Usando Templates de Configurao Ao ISA Server 2004 foi incorporado o recurso de configurao por templates (modelos). Ele possui cinco modelos genricos de configurao do firewall, servindo para configurao inicial de seu servidor. Aps incorporar um deles, possvel fazer as mudanas necessrias para que ele atenda suas necessidades atravs da seo Firewall Policy (como explicaremos mais adiante). Para aplicar um template seu recm-instalado servidor ISA, v seo Configuration -> Networks.Note que o painel de aes j se abre na aba Templates, e possvel visualizar os modelos disponveis:Edge Firewall: Use este modelo quando seu servidor ISA o firewall que divide a rede interna da externa3-Leg Perimeter: Aplique este modelo quando seu servidor o firewall que divide as redes interna e externa e existe uma rede perimetral onde ficam seus servidores pblicos. Front Firewall: Voc utiliza de uma configurao dupla de firewalls, onde o servidor que voc est configurando o que divide a rede externa da zona desmilitarizada, onde ficam seus servidores pblicos. Back Firewall: Voc utiliza uma configurao dupla de firwalls, e o servidor que voc est configurando o que divide a rede interna da zona desmilitarizada. Single Network Adapter: Utilize esta configurao quando seu servidor ISA possuir somente um adaptador de rede, caso no qual poder funcionar somente como cache e proxy.Depois de escolhido o template, clique no cone correspondente e um assistente se abrir. Utilizaremos para fins de exemplo a configurao Edge Firewall.Clique em Next para prosseguir. O ISA lhe avisa que aplicando este modelo (template) causar a perda das configuraes de rede anteriores e diretrizes. Clique em Export para exportar a configurao atual para um arquivo XML, caso precise voltar ela no futuro.Aparecer a janela padro de salvar arquivos no Windows, exceto por duas caixas de seleo na parte de baixo da janela: "Export user permissions settings" (salvar as ACLs configuradas, leia mais no tutorial sobre NTFS) e "Export confidential information" (exportar conjuntamente as senhas de usurios e certificados, usando criptografia).Digite um nome para o novo arquivo com extenso XML e clique em Export. Brevemente voc ver uma barra de progresso. Quando terminar o processo, clique em OK e prossiga com o assistente. A janela a seguir pede para configurar os endereos de IP da rede interna. Note que os j configurados na instalao aparecem automaticamente na lista. Para adicionar um novo, clique em Add e digite os endereos inicial e final do intervalo. Confirme clicando em OK.Para que o Windows configure os intervalos a partir da tabela de roteamento local para determinado adaptador de rede, clique em Add Adapter.Ao selecionar um adaptador de rede, voc poder ver a partir de que informaes o Windows ir gerar sua tabela de endereos internos. Selecione a interface de rede que est conectada rede interna e clique em OK. Para adicionar endereos reservados para uso privado (determinados pela RFC 1918), clique no boto Add Private e selecione o intervalo desejado. Ao terminar as configuraes, clique em Next para prosseguir. Voc dever agora escolher uma entre as seis opes de diretrizes de acesso padro do ISA 2004, que poder ser customizada mais tarde. No Access: Impede qualquer acesso por padro, permitindo que voc configure o servidor manualmente. Este o padro quando o ISA instalado, e o que usaremos neste exemplo. No Access - ISP network services: Impede o acesso rede externa, exceto os servios deinfra-estrutura de rede, no caso destes serem providos por seu provedor de internet. Permite acesso de clientes VPN da rede interna para a externa. Restricted Web Access: Permite que os usurios da rede interna acessem a internet para servios web somente (HTTP, HTTPS e FTP). Permite tambm acesso de clientes VPN da rede interna para a externa e clientes VPN da rede externa para a interna. Restricted Web Access - ISP network services: Mesmas caractersticas citadas acima mas permite acesso a servios de infra-estrutura de rede vindos da rede externa. Unrestricted Internet Access: Permite acesso irrestrito internet todos os clientes, mas protegendo a rede interna de acessos externos. Habilita conexes entrantes VPN para a rede interna.Selecione a diretriz padro desejada e clique em Next. Revise as selees na prxima tela e clique em Finish. Lembre-se de aplicar as configuraes clicando em Apply.ISA Server 2004Diretrizes do Firewall O servidor ISA configurado a partir de diretrizes (ou policies), assim como as diretrizes de grupo configuradas em um domnio Active Directory, ou na sua mquina local, atravs do console gpedit.msc. Entenda uma diretriz como um conjunto de regras que controlam o acesso dos clientes internos rede externa e vice-versa. Essas regras podem ser criadas facilmente atravs da seo "Firewall Policy", presente no menu esquerda da interface de configurao do ISA 2004. Nesta seo (atravs do painel de aes direita, aba Toolbox) tambm podem ser configurados os elementos que compe sua regra de acesso, como Protocolos (definies de protocolo na verso anterior), Conjunto de Usurios (novidade nesta verso), Tipos de Contedo, Schedules e Objetos de Rede (substituindo os antigos Client Address Sets e Destination Sets).Antes de configurar as diretrizes, mostraremos como customizar os componentes nelas utilizados, de modo a melhor se encaixarem em seus objetivos. Customizando os Elementos de Diretrizes Customizando Protocolos: Voc provavelmente se deparar com situaes onde os protocolos pr-definidos pela Microsoft para o ISA 2004 no sero suficientes para garantir ou proibir o trfego de dados da rede interna para a externa e vice-versa. Principalmente se a aplicao foi desenvolvida pela prpria equipe de TI de sua empresa. Neste caso, ser necessrio criar uma definio de protocolo para atender essa nova demanda. Na seo "Firewall Policy", clique em "Protocols" no painel de aes direita da tela. Para criar um novo protocolo, clique no boto New e depois clique em "Protocol".Note que os protocolos nesta verso encontram- se categori zados.Voc ver o primeiro passo do assistente de criao de protocolo. Digite um nome para seu novo protocolo e clique em Next.A prximo passo especificar qual a porta, protocolo de transmisso e direo para a conexo primria da nova definio de protocolo. Clique em New para adicionar um novo conjunto com essas informaes. Aparecer a janela "New/Edit Protocol Connection".Especifique o protocolo de transmisso utilizado no campo Protocol Type (TCP, UDP, ICMP ou a nvel de IP; leia mais sobre esses protocolos aqui). necessrio especificar tambm a direo de transmisso dos dados. No caso do UDP, ICMP e IP, se somente Recebe dados (Receive), somente Transmite dados (Send), Recebe e depois transmite ou Transmite para depois receber dados. Caso escolha TCP, Inbound (recebe dados) ou Outbound (transmite dados) especifica a direo da comunicao inicial. Especifique tambm a porta ou intervalo de portas que o novo protocolo utilizar, em nosso caso, a porta 213 UDP. Clique em OK aps preencher os dados necessrios e clique em Next.Voc pode encontrar informaes sobre os protocolos mais utilizados no arquivo services dentro da pasta %SystemRoot%\System32\drivers\etc de qualquer sistema Windows a partir da verso 2000. Abra o pelo comando Executar (Run) digitando "notepad %SystemRoot %\System32\drivers\etc\services". Alguns protocolos utilizam conexes secundrias para trafegar dados, caso do FTP que usa a porta 21 para as conexes primrias e 20 para trfego de dados. justamente o que o assistente lhe pergunta agora, se seu protocolo utiliza conexes secundrias. Como esse no o caso do IPX sobre IP, respondemos no e prosseguimos. Ento aparece a janela onde se deve confirmar os dados entrados. Leia-os e clique em Finish.Note que seu novo protocolo aparece na categoria "User-Defined".Lembre-se de atualizar a suas configuraes do ISA clicando em Apply no aviso que aparece na parte de cima do painel de visualizao, caso contrrio seu novo protocolo ser perdido!Customizando Usurios: Este elemento uma novidade do ISA 2004. Use-o em suas diretrizes para dar permisses para usurios especficos, substituindo a opo "Specific Users and Groups" dos assistentes da verso 2000 do ISA. Voc pode especificar um conjunto de usurios ou grupos pertencentes a um grupo de trabalho, domnio, usurios autenticados via RSA SecurID, ou mesmo usurios RADIUS.Um servidor RADIUS (como o Microsoft IAS Server) serve para concentrar a autenticao de vrios servidores de acesso remoto. Veja a lista de usurios pr-configurados clicando em Users no painel de aes:All Authenticated Users: Todos os usurios autenticados pelo Windows, excluindo portanto os convidados (guests). All Users: qualquer usurio. System and Network Service: contas de usurio utilizadas para rodar os servios de sistema do Windows. Naturalmente, essas contas no so o bastante para configurar diretrizes de acesso um pouco mais especficas. Para criar um novo conjunto, clique no boto New. A janela inicial do assistente aparecer, pedindo-lhe que d um nome para o novo conjunto de usurios.Prossiga clicando em Next. Chegou a hora de configurar os usurios que voc quer includos no conjunto. Clique no boto Add para adicionar uma entrada lista, e selecione o tipo de usurio: usurios ou grupos Windows, usurios RADIUS ou SecurID.Selecionando "Windows users and groups" abre a janela "Select Users or Groups". Voc pode adicionar usurios ou grupos da mquina local ou de um domnio a qual seu servidor pertena ou confie (atravs de trust relationships). Mude a localizao dos objetos clicando em Locations. Digite o nome dos usurios no campo para este fim (separados por ponto-evrgulas) e clique em Check Names, para certificar-se de que tais nomes existem. Caso deseje selecionar grupos, voc deve clicar no boto "Object Types" e marcar a caixa ao lado de Groups, pois o Windows Server 2003 no procura grupos por padro.Clique em OK e digite os nome dos grupos que deseja adicionar, lembrando-se de clicar em Check Names em seguida.Clique em OK para adicionar os usurios ou grupos lista. Caso voc tenha selecionado RADIUS ou SecurID para o tipo de usurio, a seguinte janela aparecer.A primeira caixa de opo adiciona todos os usurios RADIUS ou SecurID ao conjunto de usurios. Normalmente preferiremos uma configurao mais especfica, selecionando a segunda caixa de opo e digitando o nome de usurio a ser adicionado. Clique em OK quando pronto.Repita o procedimento acima para cada entrada de sua lista. Ela dever parecer-se com a mostrada abaixo. Revise suas selees e clique em Next para prosseguir.Se estiver tudo de acordo com o planejado, clique em Finish para fechar o assistente. Lembre-se de aplicar as mudanas como mencionado anteriormente. ISA Server 2004Customizando Tipos de Contedo: O ISA Server lhe permite aplicar as diretrizes de acesso apenas para determinados tipos de contedo. Exemplificando, voc pode querer permitir o acesso de usurios de computadores pblicos apenas a documentos HTML e Imagens, evitando que eles baixem aplicaes que podem desconfigurar o sistema ou danific-lo, caso dos vrus e cavalos de tria. Eventualmente, pode surgir a necessidade de criar um novo tipo de contedo para filtragem, apesar de existirem 11 tipos genricos pr-configurados. Clique em Content Types para visualizar os tipos j existentes e clique em New para criar um novo.Digite um nome para o novo Grupo de Contedo e uma descrio. Selecione um dos inmeros tipos e extenses de arquivo disponveis atravs do menu em cascata abaixo de "Available Types". Para cada um dos tipos desejados, clique em Add, o que o adicionar lista "Selected Types". Quando pronto, clique em OK. Note que seu grupo de contedo aparece automaticamente na lista. Lembre-se sempre de aplicar as mudanas realizadas.Customizando Schedules: As schedules (ou agendas), velhas conhecidas dos usurios da verso 2000 do ISA, servem para determinar quando as diretrizes sero aplicadas, configurando os dias da semana e o intervalo de tempo. Descontando a mudana da interface principal, a janela para adicionar uma nova Schedule igual da verso anterior. Como voc pode ver clicando em Schedules no painel de aes, duas agendas j vem pr-configuradas: Work Hours (Horas de Trabalho, que compreende Segunda a Sexta, das 9h s 17h) e Weekends (fins de semana, englobando Sbado e Domingo o dia inteiro). bastante comum termos polticas de acesso diferentes durante o horrio de almoo, portanto nosso exemplo ser exatamente esse. Para criar uma nova schedule, clique em New.Aparecer a janela New Schedule (mostrada acima), contendo vrios campos. O primeiro se refere ao nome de sua nova agenda, vamos supor, Horrio de Almoo. A descrio vem logo aps, digite algo que descreva sucintamente para que serve essa schedule. A seguir, voc v uma espcie de calendrio, com os dias da semana e horrios. Selecione um intervalo clicando e arrastando o ponteiro do mouse e clique em Active, se voc quiser que a regra associada schedule se aplique naquele horrio ou em Inactive, se a schedule no abranger o intervalo selecionado. Caso deseje selecionar colunas ou linhas inteiras, clique no boto ao lado da linha ou coluna. Quando estiver pronto clique em OK. Note que sua nova schedule aparecer na lista, e lembre-se de aplicar novamente as alteraes.Customizando Objetos de Rede:Os objetos de rede consolidam os antigos Destination Sets em uma interface mais organizada e intuitiva, categorizando os diferentes tipos de objetos. Abaixo esto listadas as categorias com alguns dos objetos disponveis: Networks: Representam redes fsicas, normalmente contendo um ou mais computadores, intervalos de IP ou domnios. Determinam tambm que tipos de clientes so suportados na rede (SecureNAT, Firewall Clients ou ambos) e fornecem uma interface de configurao dos clientes. Cinco "networks" esto pr-definidas: External (representando todas as redes que no foram determinadas como internas, no pode ser modificada), Internal (representa os computadores de sua rede corporativa interna), Local Host (computadores rodando o ISA Server), VPN Clients (clientes que se conectam ao servidor ISA atravs de redes privadas virtuais) e Quarantined VPN Clients (clientes VPN que no atingiram os requisitos de segurana ou que ainda no foram verificados).Atravs das propriedades de uma rede, possvel configurar opes como rotas alternativas para clientes Web em caso de falha no Servidor ISA.Network Sets: Como o prprio nome sugere, os conjuntos de redes agrupam vrias redes diferentes. Tambm possvel especificar que um conjunto de rede inclua todas menos uma rede determinada. Por padro, esto configuradas "All Networks" (especificando todas as redes) e "All Protected Networks" (representando todas as redes menos a externa).Computers: possvel criar uma definio para determinado computador nesta seo. Simplesmente clique em New -> Computer, digite um nome para seu computador e o nmero IP que o identifica.Address Range: Crie nesta seo intervalos de endereos IP. Clique em New e aponte para Address Range. Especifique um nome e digite os IPs inicial e final do intervalo.Subnet: Representa sub-redes, intervalos contguos de IPs determinados por uma mscara de sub-rede (leia mais sobre isso no tutorial sobre TCP/IP). Para criar uma, basta clicar em New -> Subnet, digitar um nome e um intervalo de IPs em notao CIDR ou especificando uma mscara de sub-rede (no primeiro caso o programa preenche o campo da mscara automaticamente).Computer Sets: Agrupam vrios computadores, sub-redes ou intervalos de endereos IP. Existem dois pr-configurados: Anywhere (inclui todos os intervalos de IP) e IPSec Remote Gateways (endereos IP de conexes VPN utilizando IPSec). Voc pode criar um novo conjunto clicando em New -> Computer Set. Preencha o campo nome, clique em Add e aponte para o tipo de elemento a ser criado (Computer, Address Range ou Subnet). Aparecer uma janela igual s mostradas acima para os respectivos elementos.URL Sets: Conjuntos de Uniform Resource Locators (URLs) que identificam sites na web. Para criar um, simplesmente clique em New -> URL Set. Preencha o nome e clique no boto New. Preencha o nome do novo item que aparecer na lista (como mostrado na figura abaixo) e tecle .Dois conjuntos de URL existem por padro: "Microsoft Error Reporting Sites", representando os sites para envio de relatrios de erro (Dr. Watson) das verses mais novas do Windows e "System Policy Allowed Sites", contendo sites da Microsoft (Betaplace.com, Microsoft.com e Passport.net). possvel deletar e modificar estes itens, caso queira impedir o acesso a alguns desses sites ou todos.Domain Name Sets: Semelhante aos conjuntos de URL, mas para domnios fora da Internet (como domnios Active Directory). Siga os mesmos passos dos URL Sets para configurar conjuntos de domnio. Web Listeners: Finalmente, temos os "auscultadores web", que serviro para criar regras de publicao de servidores para a web. Um Web Listener determina uma porta e endereo IP cujo trfego deve ser monitorado pelo servidor ISA para posterior redirecionamento ao servidor correspondente, especificado em uma regra de publicao. Para criar um novo item deste tipo, clique em New -> Web Listener. Aparecer o assistente de criao. Digite um nome e clique em Next.Aparecer a janela onde voc dever especificar em qual rede o servidor ISA dever auscultar por trfego. Marque a caixa de seleo ao lado das redes desejadas. Clique no boto Address caso queira que o ISA monitore um endereo IP em especfico na rede selecionada.Clique em Next para prosseguir. Chegou a hora de especificar a porta a ser monitorada pelo ISA, podendo ela ser comum (HTTP) ou segura (HTTPS/SSL). possvel habilitar ambos e mudar o nmero da porta. Caso habilite SSL, lembre-se de especificar um certificado digital a ser utilizado clicando no boto Select. Neste ponto voc dever ter um certificado j instalado na mquina, emitido por uma autoridade certificadora (CA).Prossiga clicando em Next. Revise as informaes dadas e clique em Finish. ISA Server 2004Criando as Diretrizes As diretrizes ditam o comportamento de seu servidor ISA, permitindo ou negando acesso dos clientes rede externa e de usurios da Internet para sua rede interna. Existem quatro tipos de diretrizes: Regras de Acesso (access rules), Regras para publicao na Web (Webpublishing rules), Regras para publicao de servidores (Server publishing rules) e Regras para publicao de Correio Eletrnico (Mail publishing rules). Como existem inmeras opes de configurao, explicaremos as mais utilizadas: Regras de Acesso e Regras de publicao de servidores web (seguras ou no). Regras de Acesso: Uma regra de acesso aquela que determina se um cliente pode ou no acessar a rede externa. Para que um cliente tenha uma requisio aceita pelo servidor ISA, necessrio que uma regra de acesso especificamente permita o trfego requisitado. Ao instalar o servidor, uma nica diretriz vem pr-configurada: Negar todo o trfego, para todos os clientes e protocolos, em todas as redes. Desta forma, para poder utilizar o servio de firewall, deveremos criar uma regra de acesso. Voc pode criar uma facilmente atravs do painel de aes, na aba Tasks e clicando em "Create New Access Rule".Voc ver um assistente de criao, para ajud-lo no processo de criao de sua regra de acesso. D para ela um nome, e clique em Next para prosseguir.A prximo passo do assistente lhe pede que ao voc quer que a nova regra possua: permitir trfego (Allow) ou negar trfego (Deny). Precisamos de uma regra que permita otrfego para clientes da rede interna, portanto escolheremos Allow.Clique em Next para prosseguir. Voc ver um menu em cascata que lhe permite definir para quais protocolos a regra se aplicar. Selecionando "All outbound protocols" a aplicar a qualquer protocolo, caso selecione "Selected protocols" ela se aplicar aos protocolos listados (configuraremos-nos depois) e selecionando "All outbound protocols except selected" far com que o ISA aplique a regra a todos os protocolos menos os selecionados.Caso sua seleo tenha sido a segunda ou a terceira opes do menu mostrado acima, clique no boto Add para adicionar um protocolo lista. Voc ver uma janela listando os protocolos da mesma maneira vista antes no painel de aes, sendo possvel inclusive adicionar, editar ou mesmo deletar um protocolo.Adicione protocolos lista selecionando o protocolo desejado e clicando no boto Add. Repita o procedimento para cada um dos itens necessrios. Clique em Close quando pronto. Voc ainda tem a opo de limitar o intervalo de portas que os clientes podero acessar atravs desses protocolos, clicando no boto "Ports" e selecionando a caixa "Limit access to traffic from this range of source ports". Digite os valores inicial e final nos campos apropriados e clique em OK.Revise a lista de protocolos a ser adicionada regra de acesso e clique em Next para prosseguir com o assistente.Exemplo de confi gurao.Esta na hora de especificar de que rede se origina o trfego a ser permitido (ou negado, dependendo de sua configurao). Adicione uma rede regra de acesso clicando no boto Add, o que far surgir a janela "Add Network Entities" (Adicionar Entidades de Rede", que replica a lista de objetos de rede da aba Toolbox do painel de aes. Novamente possvel criar, editar ou apagar objetos de rede diretamente desta janela.Selecione o objeto de rede que deseja adicionar regra de acesso (no exemplo utilizaremos a rede Internal, pois queremos permitir acesso dos clientes internos Internet) e clique em Add. Voc poder adicionar mais itens repetindo o processo. Clique em Close ao terminar. Revise os objetos de rede na lista e clique em Next para prosseguir.Determine agora para que destinos a regra se aplicar, permitindo ou negando o trfego. Clique no boto Add e repita o processo de adicionar um objeto de rede descrito acima. Por exemplo, adicionaremos "Sites do BABOO" e "System Policy Allowed Sites".Clique em Next para prosseguir. Chegou a oportunidade de definir quais usurios da rede tero a requisio de trfego aceita pelo servidor ISA. Esta uma tima ferramenta mas somente clientes que tm o software cliente Firewall instalado se beneficiam dela. Caso voc restrinja o acesso a determinados grupos ou usurios, clientes SecureNAT no tero suas requisies aceitas atravs desta regra de acesso. Tendo isso em mente, voc poder remover o item "All Users" selecionando-o e clicando no boto Remove. Adicione um novo grupo ou usurio clicando no boto Add. Aparecer uma janela com a lista de conjuntos de usurios, muito semelhante vista no painel de aes anteriormente neste tutorial. Selecione o conjunto desejado e clique no boto Add, repetindo o processo para cada item. Ao terminar, clique em Close.Novamente, revise os itens adicionados lista e clique em Next para prosseguir.Revise suas selees e clique em Finish para criar sua regra de acesso. Lembre-se de aplicar as mudanas clicando em Apply.ISA Server 2004Regras de Publicao Web: Para publicar um servidor protegido pelo firewall do ISA Server na web, necessrio criar um web listener e uma regra de publicao. Tendo criado o componente Web Listener, Clique em "Publish a Web Server" no painel de aes, aba Tasks. Voc ver um assistente. Na primeira janela, d um nome para a regra de publicao e clique em Next. Especifique agora a ao a ser tomada pela regra, permitir o acesso a determinado servidor ou neg-lo. Permitiremos o acesso no exemplo.Prossiga. Agora necessrio especificar o nome do servidor web que ser publicado (primeiro campo) e qual pasta ser publicada (segundo campo da figura abaixo). Marque a caixa "Send the original host header" caso seu servidor possua mais de um site publicado, ele precisar desta informao (cabealho do pacote) para determinar que site foi requisitado.Prossiga clicando em Next. O prximo passo ser configurar a que domnio pblico esta regra est atrelada, ou seja, por qual domnio pblico o ISA responder em lugar do servidor web. Voc pode especificar tambm uma pasta, fora da qual clientes da internet no tero acesso.A prxima janela ser para especificar um web listener para ser utilizado pela regra de publicao. Voc pode criar um agora mesmo ou utilizar um listener pronto. De qualquer forma, selecione-o. Voc ver o que est configurado para ele na caixa logo abaixo do menu em cascata.Prossiga clicando em Next. Configure agora que usurios podero acessar seu servidor web. Como em nosso exemplo queremos publicar o contedo do servidor, deixaremos a configurao padro, "All Users". Entretanto, voc pode especificar conjuntos de usurios criados anteriormente ou criar novos neste momento.Revise as selees e clique em Finish para criar sua regra de publicao. Nunca demais lembrar, no esquea de aplicar as configuraes. Publicando um servidor web seguro (SSL): Se seu site precisa de mais segurana no trfego de dados com o cliente, provvel que voc j tenha habilitado Secure Sockets Layer no seu servidor web. Neste caso, preciso configurar o ISA Server 2004 para monitorar este tipo de requisio tambm. Depois de configurar o web listener apropriado e habilitar SSL (especificando um certificado digital emitido por sua autoridade certificadora) hora de criar uma regra de publicao web segura. No painel de aes, aba Tasks, clique no link Publish a Secure Web Server.Aparecer um familiar e intuitivo wizard. D um nome para a nova regra de publicao e clique em Next. Voc dever especificar o modo de publicao desejado. SSL Bridging: Neste modo, o servidor ISA intermedia as comunicao com o servidor web interno. Ou seja, recebe as requisies SSL do cliente web, decripta as informaes e analisa se elas se encontram em seu cache web. Se sim, encripta e retorna a informao para o cliente. Caso contrrio, encaminha a requisio (criptografada ou no) para o servidor, recebe os dados, encripta-os e responde para o cliente. possvel tambm configurar para que a comunicao seja encriptada somente no trajeto entre o servidor ISA e o servidor Web, sendo que o cliente requisita as informaes com o protocolo HTTP comum. SSL Tunneling: Neste modo, o servidor ISA simplesmente encaminha os dados sem modificaes para o servidor Web, agindo como se no existisse um firewall entre cliente e servidor.Selecione o modo desejado e clique em Next para continuar. Especifique agora se a regra deve permitir ou negar o acesso a determinado servidor interno por meio de SSL. Para exemplificar, permitiremos o acesso. Voc dever determinar agora que conexes devero ser seguras (utilizar SSL) e quais devero ser normais. Existem trs modos a configurar:Secure connection to clients: Estabelece uma conexo SSL com o cliente, mas encaminha a requisio ao servidor web por meio de requisio comum. Utilize este mtodo caso voc tenha certeza que sua rede interna est bem protegida ou utiliza outro mtodo de criptografia na rede (como IPSec). Secure connection to web server: Neste caso a conexo com o cliente ser comum e a conexo entre o ISA e o servidor web ser encriptada com SSL. Secure connection to clients and web server: Far com que ambas as conexes sejam seguras, tanto com o cliente como com o servidor web. Utilizaremos esta no exemplo. Selecione o modo necessrio e clique em Next para prosseguir com o assistente. Como quando se configura uma regra de publicao web no segura, agora voc deve especificar o nome ou IP do servidor cujo site ser publicado e a pasta que ser publicada atravs desta regra. Selecione a caixa "Send original host header" caso seu servidor web possua mais de um site.Da mesma forma, configure o endereo pblico que o seu servidor ISA responder atravs desta regra e prossiga.Selecione o web listener para esta regra de publicao. Ele deve ter SSL habilitado e ter um certificado digital emitido por sua CA. Clique em Next. Voc dever agora especificar para quais conjuntos de usurios a regra se aplicar. No exemplo, deixaremos "All Users", pois o site publicado aceitar autenticao annima.Prossiga com a instalao. Revise as informaes prestadas e clique em Finish para criar sua regra de publicao segura. Lembre-se de aplicar as configuraes. ISA Server 2004Regras de Rede As regras de rede determinam se duas redes possuem conectividade, e o tipo de conectividade que elas possuem. Voc j aprendeu a configurar o servidor ISA atravs de modelos de rede no incio deste tutorial. Estes modelos de rede criam regras de rede padro, mas que podem ser modificadas posteriormente. Voc aprender agora a criar regras de rede customizadas, de forma a melhor atender suas necessidades. Voc poderia inclusive somente configurar as regras de rede, no necessrio aplicar um modelo de configurao. Para criar uma nova regra, navegue at a seo Configuration -> Networks e selecione a aba Network Rules. Veja as existentes na lista.As regras de rede so aplicadas na ordem em que aparecem na li sta.No painel de aes, clique em "Create a New Network Rule". Voc ver o assistente "New Network Rule Wizard". Em nosso exemplo, configuraremos uma nova regra de rede para permitir que um computador especfico na rede possa se conectar internet utilizando seu endereo pblico para compartilhar arquivos, por exemplo. D um nome para a nova regra e clique em Next.O assistente lhe pedir de onde o trfego aplicado nesta regra se originar. Clicando em Add voc poder escolher qualquer objeto de rede. Escolheremos o computador pr-definido AthlonXP.Clique no boto Add para cada item adicionado e ao terminar clique em Close. Veja se o item desejado se encontra na lista e clique em Next para prosseguir.Selecione agora para que rede o objeto de rede selecionado dever ter conectividade. No caso, utilizaremos a rede External, representando a internet.Prossiga com o assistente e selecione o tipo de conectividade desejada. Selecionando Network Address Translation (NAT), o IP interno ser mascarado e escondido da rede externa quando o cliente acessa a internet. mais seguro,mas tem-se certas limitaes quanto conectividade do cliente. Determinadas aplicaes podem no ser compatveis com NAT (como criptografia IPSec), caso em que ser necessrio selecionar Route, onde o servidor ISA somente rotear os pacotes para a rede externa sem modific-los. Perceba que para selecionar Route o cliente dever ter um IP vlido na rede externa.Prossiga com o assistente. Revise as selees e clique em Finish para criar finalmente sua regra de rede. Note que ela aparece na lista, e mova ela de tal forma que fique antes da regra geral de acesso (as regras so aplicadas em ordem). Lembre-se sempre de aplicar as configuraes!Regras de Cache O servidor ISA tambm um cache web, e implementa regras de cache para configurar suas funes. Ele vm com uma regra pr-configurada, que habilita cache FTP e HTTP para todas as redes. Voc pode editar estas configuraes clicando no boto Edit Selected Rule, no painel de aes da seo Configuration -> Cache. Neste tutorial configuraremos uma nova regra, para que possamos explanar todas as opes disponveis para uma regra de cache. Para criar uma nova regra, clique em "Create a Cache Rule". Voc ver uma janela de boas vindas do assistente de configurao, pedindo-lhe que fornea um nome para a nova regra. Faa-o e clique em Next. O prximo passo lhe pedir que especifique de quais destinos o contedo ser colocado no cache. No exemplo, queremos que o contedo requisitado da internet seja arquivado, selecionamos portanto a rede External. Voc pode especificar qualquer objeto de rede.Aps clicar em Next, veremos opes para configurar como os objetos no cache sero devolvidos aos clientes.A primeira opo entrega um objeto do cache para o cliente somente se ele vlido (se o tempo de vida do contedo no expirou), caso contrrio a requisio roteada para o servidor (opo padro). A segunda entrega o objeto contido no cache para o cliente quando alguma verso existe, se no existir a requisio roteada para o servidor. J a terceira opo entrega o objeto do cache se alguma verso do contedo existir, ignorando a requisio de outra forma. Escolha o modo de cache desejado e clique em Next. Determine agora quando o contedo ser colocado no cache.Never. No content will ever be cached: Como o prprio nome j sugere, esta opo desabilita o cache de objetos. If source and request headers indicate to cache: Coloca objetos em cache cujo cabealho de requisio e o cabealho do contedo indicam que um contedo "cachevel". Como voc pode ver na figura acima, alm dessas opes, existem trs caixas de seleo, a saber: Dynamic Content: Marcando esta caixa far com que o servidor coloque em cache todo objeto, mesmo que ele esteja marcado como no "cachevel". Content for Offline browsing (302, 307 responses): Especifica que o servidor ISA ir servir todas as requisies com o contedo em cache, para navegao offline. Content requiring user authentication for retrieval: Coloca em cache objetos que necessitam de autenticao do usurio para acessar. Depois de selecionadas as opes desejadas, prossiga clicando em Next. Aparecer a janela de configuraes avanadas.Marque a primeira caixa caso queira limitar o tamanho dos objetos a serem postos em cache e especifique um limite. A segunda caixa, marque caso queira que contedo SSL seja colocado no cache. Por motivos de segurana melhor deix-la desmarcada. Prossiga com o assistente. Chega a hora de especificar o tempo de vida do contedo colocado no cache e se voc gostaria de armazenar objetos HTTP nele.Marque a primeira caixa para habilitar o cache HTTP. Veja que abaixo dela se encontram configuraes de tempo de vida do contedo. O primeiro campo especifica o TTL (Time to Live ou Tempo de Vida) em termos da porcentagem da idade do contedo (tempo decorrido desde sua criao ou modificao). Os campos seguintes determinam, respectivamente, o limite mnimo e mximo para o tempo de vida. Marque a segunda caixa de seleo para aplicar esses limites para contedo que j contenha informaes sobre seu tempo de vida. Aps fazer suas selees, clique em Next. Neste passo do assistente voc dever dizer sequer o cache FTP habilitado ou no (marque ou desmarque a caixa de seleo) e o tempo de vida para contedo FTP (campo seguinte).Clique em Next para prosseguir e clique em Finish para criar sua nova regra de Cache. Aplique as configuraes para que elas permaneam ou ignore-as clicando no boto Discard. ISA Server 2004Concluso O ISA Server 2004 ser uma atualizao bastante grande ao servio de firewall e cache da Microsoft, principalmente no que diz respeito interface de administrao e s diretrizes de configurao do servidor, sendo muito mais fcil instal-lo e administr-lo. Funes como a seo Monitoring e as vrias regras de publicao facilitam e organizam a manuteno do firewall. As regras de cache web ajudam-no a melhorar a performance das requisies para internet, alm de poupar largura de banda de sua conexo. Os modelos de rede ajudam a configurar o servidor o mais rapidamente possvel, tornando menor a necessidade de demoradas configuraes manuais. Novos mtodos de autenticao (como o RSA SecurID e usurios RADIUS) aumentam a segurana das requisies ao servidor ISA e evitam que usurios no autorizados ocupem sua conexo. Neste tutorial cobrimos apenas uma parte dos inmeros recursos disponveis no ISA Server 2004. Para maiores informaes sobre ele e para baixar a verso Beta 2 do ISA, visite a pgina da Microsoft no endereo abaixo.http://www.microsoft.com/isaserver/beta/default.asp.