none
Firewall client não obedece a regras do firewall RRS feed

  • Pergunta

  • Boa tarde Pessoal.

    Meu nome é Diego e estou com um problema relacionado ao firewall client do ISA na empresa onde trabalho.
    Comecei a estagiar a pouquíssimo tempo na empresa, portanto meu conhecimento em ISA Server 2006 é bem básico.

    O problema é o seguinte:

    Temos as firewall rules e os usuários acessam a internet normalmente, obedecendo as regras, através do Web Proxy.
    Surgiu então a necessidade de instalar o firewall client em alguns computadores para que os mesmos conseguissem usar o FTP para upload.

    Os firewall clients foram instalados, o servidor ISA é encontrado, as requisições HTTP continuam seguindo as regras da firewall policy, até aqui, tudo ok.

    O problema surgiu quando alguns espertinhos descobriram que ao remover o servidor proxy do Internet Explorer, eles conseguem acessar a internet sem seguir as firewall rules.

    Tentei achar alguma solução no google, especialmente no http://www.isaserver.org mas não consegui achar uma resposta.

    Tentei mexer no Web e Firewall Chaining do ISA Server e não adiantou.

    Agradeço qualquer ajuda/opinião.
    Abraços!




     
    quarta-feira, 5 de novembro de 2008 18:55

Respostas

  • O que vc pode fazer é o seguinte, colocar a regra de saida de internet ao invés de ser para ALL USERS, colocar para apenas usuários autenticados.

     

    Ou seja se o proxy nao estiver configurado no navegador o usuário não navega...

     

    • Marcado como Resposta Enderson Valente sexta-feira, 21 de setembro de 2012 11:29
    quinta-feira, 6 de novembro de 2008 04:20
    Moderador

Todas as Respostas

  • Guachala,

    Cara mto simples, cria uma GPO que bloqueia a edição do proxy no internet explorer.


    Abre a GPO,  vai nas configurações de usuário, depois em windows settings,  internet explorer, connection, dentro de proxy vc ajusta o IP e porta do proxy.

    Depois vc vai em
    vai nas configurações de usuário, administrative template, componentes do windows, internet explorer, dentro dessa pasta tem uma police que bloqueia a edição do proxy, é a 31 primeira de baixo para cima, ative-a..


    Depois va no promtp de comando e digite GPUPDATE /FORCE, tanto na estação quanto no dominio, abra o IE e evja se esta bloqueado.


    Espero ter ajudado

    Se util nao esqueça de classificar.

    Abraços
    quarta-feira, 5 de novembro de 2008 19:28
    Moderador
  • ola amigo,
    veja esse video excelente do nosso amigo bruno.
    quarta-feira, 5 de novembro de 2008 19:31
  • Muito obrigado pelas respostas Luiz e dcorteztec!

    Estou na universidade e este link é bloqueado. Assistirei o vídeo assim que possível.
    É bem interessante a solução de aplicar a GPO nos computadores.

    Infelizmente acho que está solução será no mínimo burocrática, pois as GPOs dos computadores de onde trabalho são gerenciadas por funcionários da matriz (EUA). Só tenho acesso de administrador no servidor ISA.

    Não existe outra solução para resolver este problema?

    Será que não existe algum erro de configuração grotesca no ISA server da minha empresa?
    Pelo que li na internet (perdoem-me se eu falar muita besteira), captei que quando o firewall client é instalado, é instalado um serviço firewall no computador e que este serviço capta as chamadas Winsock, determina se o destino é remoto ou não (tabela LAT). Se o destino for remoto a requisição é passada para o ISA firewall.

    As pessoas que possuem o firewall client instalado e desativam o Web Proxy, acessam a internet passando por todas as regras. Se com o proxy desativado, eles acessam a internet, as requisições HTTP estão indo do firewall client pro ISA firewall, certo?

    Onde no ISA é determinado o comportamento do ISA Server em relação as requisições provenientes do firewall client (mais especificamente as requisições HTTP)?

    Vocês podem me tirar esta dúvida?

    Muito Grato.
    Boa noite!


    quarta-feira, 5 de novembro de 2008 21:41
  • O que vc pode fazer é o seguinte, colocar a regra de saida de internet ao invés de ser para ALL USERS, colocar para apenas usuários autenticados.

     

    Ou seja se o proxy nao estiver configurado no navegador o usuário não navega...

     

    • Marcado como Resposta Enderson Valente sexta-feira, 21 de setembro de 2012 11:29
    quinta-feira, 6 de novembro de 2008 04:20
    Moderador
  • Sou fã do luiz Fernando eu ja tinha aplicado isso na empresa onde trabalho funcionou na boa, essa é a melhor opção se o usuário malandro tirar o isa nega a url pra ele. vlw
    quinta-feira, 6 de novembro de 2008 09:34
  • Opa bom saber q tenho fãs por ai..rsss..brincadeira .

    Essa realmente é a melhor maneira para usuário metido a esperto, funciona perfeitamente, sem choro e nem vela, tudo será auditado.

    Forte abraço
    quinta-feira, 6 de novembro de 2008 11:39
    Moderador
  • Obrigado novamente pelas respostas!

    dcorteztec, muito bom o vídeo do Bruno. Valeu mesmo!

    Luiz, pelo que vejo, as regras de acesso do ISA da empresa parecem não dar acesso para o grupo ALL USERS.  As regras liberam acesso para o grupo ALL AUTHENTICATED USERS e outros grupos criados pelos funcionários do departamento de TI.

    Se você tiver um tempo para olhar, segue o print screen das regras:
    http://img239.imageshack.us/img239/6176/rules2eq3.jpg

    Abusando mais ainda, tenho o log das tentativas de acesso a uma página bloqueada:
    http://rapidshare.com/files/161387187/LOG_ISA.xls.html

    Vocês tem mais alguma dica ou sugestão do que eu posso fazer?

    Muito obrigado.
    sexta-feira, 7 de novembro de 2008 03:38