none
Tipos de Acesso RRS feed

  • Pergunta

  • Olá,

    Vou instalar o ISA 2004, gostaria de saber e como fazer, para colocar o isa com o controle de acesso por usuario....

    Exemplo:

     

    Administradores - acesso liberados a todos site, menos porno.....

    Acesso Comum - acesso restrito a apenas sites cadastrado....

     

    Gostaria de fazer isso.....

     

    Obrigado....

    • Movido Hengzhe Li quinta-feira, 29 de março de 2012 05:31 (De:ISA Server 2004)
    sexta-feira, 18 de agosto de 2006 17:08

Todas as Respostas

  • Boa tarde Hélio,

    Primeiro, você deve entender os 3 tipos de acesso.

    1- Firewall Client: É necessário que o usuário tenha instalado o software Firewall Client que é parte do ISA na sua estação, as aplicações que usarem SOCKS e estiverem configuradas no Firewall Client usuarão ele para sair para a Internet e o usuário que será usado nas regras do ISA será o que está logado na máquina.

    2- SecureNAT: Basta que a estação esteja com o Default Gateway configurado para o ISA, as regras terão que ser liberadas por IP/Estação, pois não há autenticação.

    3- Proxy Client: É suportada em todas as aplicações que tenham configuração de Proxy (como é o caso do IE), os usuários sairão autenticados para a internet e as regras no ISA podem ser criadas para usuários do domínio.

    No seu caso, como é acesso a websites (supondo que o seu programa de Browsing padrão seja o Internet Explorer) você fica com o Proxy Client (as configurações de proxy podem ser feitas via GPO, registro, scripting e manualmente).

    No ISA server você deve requerer que todos os usuários saiam autenticados. Siga o tutorial: http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=061

    Para criar uma regra de acesso, como você quer siga o tutorial: http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=062

    E no lugar de external, crie os URL Sets ou Domain Name sets que se apliquem aos sites/domínios que você quer negar ou permitir para os seus usuários.

    Abraços!

     

    sexta-feira, 18 de agosto de 2006 17:27
  • Hélio,

    Não esqueça que a ordem das regras é importante. Ou seja a regra que bloqueia porno deve estar antes da regra que libera acesso a todos destinos para os administradores.

    Se quiser uma lista de sites porno internacionais veja o link http://www.itcentral.com.br/default.asp?id=17&ACT=5&content=94&mnu=17 com meu artigo 'Bloqueando Sites e Domínios Pornô com ISA Server 2004'.

    Na sequencia faça uma regra liberando HTTP/HTTPS para todos os destinos somente para os usuarios Administradores (grupo é melhor);

    Crie um 'Domain Name Set' ou  um 'URL Set' com os sites cadastrados, então crie outra regra liberando acesso HTTP/HTTPS para somente esse 'Domain Name Set ou URL Set'.

    Sucesso,

    Abraços,

    Obs.: Não esqueça de classificar o post.

    quarta-feira, 30 de agosto de 2006 20:03
  • Eduardo estou começando no ISA e gostaria de tirar algumas dúvidas.

    1) Eu não poderia criar na mesma regra o acesso ao HTTP/HTTPS, mas fazer "exceções" que seriam os sites pornôs? Vc fala acima que teria que criar 2 regras, não poderia, para evitar erro na ordem das rules, fazer apenas uma regra? É possível?

    2)Gostaria de entender melhor 2 tipos de acesso: Firewall client e o proxy client. Pelo que eu entendi apenas com o proxy client que poderei utilizar regras para usuários do domínio??? E o que você quis dizer na explicação do Firewall client, quendo se refere que "sairá com o usuário que estiver logado na máquina"???

    3)Qual o padrão na ordem de organização das rules que devo utilizar? Primeiro as mais restritivas: etc etc etc....teria como me dar um help sobre isso, pois já vi que se não fizer isso direito muita coisa não funcionará corretamente.

    Desde já agradeço

    Abraços

    quinta-feira, 31 de agosto de 2006 14:00
  • Tony,

    Respondendo as suas perguntas:

    1- É possível sim, porém acho mais difícil de administrar e além disso criando uma regra de negação você ganha a possibilidade de redirecionar seus usuários para outro site (um adminsitrativo por exemplo).

    2- Não, só não terá autenticação integrada usuários que usarem internet por SecureNAT, que é apenas a configuração do Default Gatway na estação. Quanto a frase quer dizer que se DOMINIO\joazinho estiver logado na estação e esta tiver o Firewall Client instalado usando uma aplicação que use o Firewall Client para acessar o ISA (e internet/DMZs) será mostrado no log o usuário e senha do joazinho, e a regra que permite ele acessar internet também poderá ser feita por usuário, como já respondi na primeira questão.

    3- Eu recomendo que basicamente você use a seguinte ordem das regras para não ter nenhum problema:

    1- Regras de DENY que não autenticadas (que não sejam por usuários)

    2- Regras de ALLOW não autenticadas

    3- Regras de DENY que usem autenticação (usuários do domínio/RADIUS/SecurID)

    4- Regras de ALLOW que usem autenticação

    5- Publicações.

    No geral se você respeitar essa ordem de regras não terá problemas de sobreposição de regras, pode eventualmente acontecer de você ter que alterar a ordem das regras.

    Abraços!

    quinta-feira, 31 de agosto de 2006 14:31
  • Aloísio, muitíssimo obrigado pelas respostas.

    Mas se não for chato demais, gostaria de tirar as últimas dúvidas sobre esses assuntos:

    1) Caso eu optasse por apenas uma regra, as restrições para os sites pornôs seria como filtros HTTP correto? Teria como me mandar um Link sobre esta operação se possível

    2)Poderia me enviar uns links ou fazer uma breve descrição como na prática eu utilizaria cada caso? Qual a diferenças entre os dois (Proxy e Firewall)?

    3)Quando vc diz em "Regras de DENY que não autenticadas (que não sejam por usuários)"? Seria o caso de regras por computers por exemplo? Me de um help sobre "Regras que não autenticadas".

    Obrigado

    Abraço

     

    quinta-feira, 31 de agosto de 2006 17:47
  • Olá,

    1- Pode ser e pode não ser por filtros HTTP, pode ser por excessão, daí tu tem que deixar explícito quais são os hosts qu você quer negar na excessão.

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=076

    Esse link explica como criar um filtro HTTP, para bloquear o MSN pela assinatura da aplicação, mas também tem como você bloquear por conteúdo dentro do site, dê uma olhada no seu ISA no filtro HTTP e procure saber para quê servem todas as opções disponíveis.

    2- Proxy é para você usar em todos os aplicativos que têm opção de proxy server para se autenticarem. Firewall Client é para os demais, ou seja, algum aplicativo que você não tenha opção de configurar proxy e queira que o usuário seja autenticado pelo ISA antes de sair para a Internet. Outra importante diferença é que o Firewall Client é um software que você tem que instalar na estação.

    http://www.microsoft.com/technet/prodtechnol/isa/2004/help/CMT_AboutArch.mspx?mfr=true

    Explore o assunto a partir desse link.

    3- Sim, quando você define por computador, não vai ter autenticação do usuário. Pelo log você vai ver que quando você tem somente SecureNAT ou alguma regra que permite usuário não autenticado ir para a internet, aparecerá como Annonymous, ou seja, você só sabe que a requisição partiu de um determinado IP/Máquina, mas não sabe qual o usuário que estava fazendo a requisição.

    Autenticação é uma forma de controle, que dentre outras vantagens permite que um determinado usuário tenha os mesmos acessos em qualquer lugar que esteja, sejam esses acessos permitidos ou negados. Também é útil para auditoria e também para administração do servidor, imagine uma rede com 2000+ usuários que tenham permissões feitas por IP, e que por melhor que seja o seu controle sobre a estação deles o número de vezes que você terá que alterar as regras para que ele tenha sempre o mesmo acesso.

    Qualquer dúvida pergunte!

    quinta-feira, 31 de agosto de 2006 17:59
  • Obrigado Aloísio, então sobre a questão 2:

    Caso eu tenha uma aplicação WEB, eu poderei utilizar o proxy client, e os usuários sairão autenticados pelo ISA, basta para isso eu colocar os dados servidor ISA nas configurações de proxy no IE?

    Abraços

    sexta-feira, 1 de setembro de 2006 14:05
  • Se você tem uma aplicação WEB, ela provavelmente estará na rede interna e não rpecisará de autenticação, precisará caso esteja em uma DMZ.

    E sim, basta colocar as configurações do ISA no IE.

    sexta-feira, 1 de setembro de 2006 14:34