none
Bloquear Internet para Usuários sem usar Proxy RRS feed

  • Pergunta

  • Ola Pessoal.

    Trabalho com Isa Server 2006 e aqui todos os bloqueios de usuários são realizados em conjunto com o AD, algum tempo atras, alguns usuários tiravam o proxy das configurações de rede do IE e conseguiam acessar a internet. Este problema eu resolvi usando GPO que bloqueia o botão de alterar as configurações de rede.

    Agora meu problema é o seguinte:
    Existem alguns consultores que sempre vem aqui na empresa prestar serviços. Estes consultores vem com os notes deles, e precisam acessar a nossa rede para resolver problemas e etc. Por ordem da diretoria, os consultores não podem mais ter acesso a internet. Somente aos sites que são de uso restrito ao serviço.

    porém, para que os consultores não consigam acessar a internet, preciso bloquear o acesso a internet para computadores que não tenham configurações de proxy, e assim colocarei as configurações de proxy no notebook deles para que consigam acessar algum site.

    Minha rede é DHCP, portando não adianta tentar fazer os bloqueios por IP, pq o consultor poderia mudar o IP do note dele e acessar.

    Se alguem puder ajudar, agradeço.
    quarta-feira, 24 de junho de 2009 17:48

Respostas

  • Daniel,

    Isso é simples.
    Na sua regra de liberação de internet provavelmente na guia de usuários vc tem ALL USERS inserido, remova esse cara e coloque USUARIOS AUTENTICADOS.

    De ok e aplique...Essa config faz com que somente navegadores com proxy e autenticação saiam para a internet... Como vc trabalha com autenticação integrada os usuarios logados no dominio nao precisarão inserir nenhuma credencial...apenas quem esta fora do dominio,,,,quem nao tem credencial nao navega..entendeu?


    Espero ter ajudado.

    Se util nao esqueça de marcar como resposta

    abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 24 de junho de 2009 18:31
    Moderador
  • Daniel,

    Vamos la.

    De uma verificada nas estações de trabalho, para onde estao apontando o proxy das mesmas.
    o Proxy deve apontar para o servidor ( FQDN ou IP) do ISA. De maneira nenhuma coloque outro computador nessa config ao menos que vc utilize outro tipo de servidor ou tecnologia para proxy.

    Recomendo vc utilizar o FQDN pois os IE7 e superiores trabalhm com Kerberos para autenticar ou seja, se autenticam somente uma vez, onde os outros navegadores autenticam com NTLM , ou seja toda vez eles validam usuário.

    Depois de ajustado o proxy remova o ALL users da regra...

    De uma olhada nisso

    No aguardo

    Se util nao esqueça de maracar como resposta os pots uteis.

     

    Abraços


    Luiz Fernando Dias - MVP
    terça-feira, 30 de junho de 2009 20:38
    Moderador

Todas as Respostas

  • Daniel,

    Isso é simples.
    Na sua regra de liberação de internet provavelmente na guia de usuários vc tem ALL USERS inserido, remova esse cara e coloque USUARIOS AUTENTICADOS.

    De ok e aplique...Essa config faz com que somente navegadores com proxy e autenticação saiam para a internet... Como vc trabalha com autenticação integrada os usuarios logados no dominio nao precisarão inserir nenhuma credencial...apenas quem esta fora do dominio,,,,quem nao tem credencial nao navega..entendeu?


    Espero ter ajudado.

    Se util nao esqueça de marcar como resposta

    abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 24 de junho de 2009 18:31
    Moderador
  • Olá Luiz Fernando. Obrigado pela ajuda.

    Acho que vai dar certo.

    porém, no ISA, a regra criada para liberar internet, não foi criada nas Diretivas de Firewall, foram criadas em SETINGS >> NETWORK >> Na Aba de regras de rede. Essa regra libera o acesso de INTERNO para EXTERNO.

    No caso teria que exluir esta regra e criar uma outra nas Diretivas de Firewall correto?
    quarta-feira, 24 de junho de 2009 18:37
  • Sim exatamente..

    Se nao vc fica sem controle nenhum...

    Oque vc pode tentar é criar uma regra la nas diretivas de firewall e testar se vai funcionar, se funcionar vc deixa a regra existente la, caso contrario vc ranca fora...

    Eu nunca fiz uma regra assim pelo network. então nao sei te falar entendeu?
    Luiz Fernando Dias - MVP
    quarta-feira, 24 de junho de 2009 18:54
    Moderador
  • Obrigado Luiz


    Vou testar aqui.
    quarta-feira, 24 de junho de 2009 18:57
  • Faz o teste e me diz.

    Se util nao esqueça de marcar como resposta os posts uteis..


    abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 24 de junho de 2009 19:03
    Moderador
  • Não deu certo =/

    Infelizmente, modifiquei a regra primária que Libera o Acesso a Todo Tráfego de Saída de interno para Externo. Coloquei Todos os Usuários Autenticados ao Invés de All Users, os usuários sem proxy ficarem sem internet, mas os usuários que tem o proxy também pararam de acessar =/
    quarta-feira, 24 de junho de 2009 19:21
  • Então vc vai ter que rancar essa regra dai e criar no lugar certo..
    Luiz Fernando Dias - MVP
    quarta-feira, 24 de junho de 2009 19:23
    Moderador
  • já fiz o teste,

    Existe uma regra criada em networks que libera o acesso de interno para externo. E tb existe uma regra primária nas diretivas de firewall que libera tb todo trafego de interno para externo.

    Desabilitei a regra que esta em network, e deixei somente a que está nas diretivas, entrei na regra das diretivas e troquei All Users pelos Usuários altenticados mas o acesso a internet fica bloqueada para todos.

    Deixei habilitada a regra que esta em networks e fiz os mesmos passos com a regra que está na diretiva e o mesmo ocorre.. A internet fica toda bloqueada
    quarta-feira, 24 de junho de 2009 19:27
  • A regra em networks deve ter como NAT< pois é regra de rede...até ai legal..

    Agora la em diretivas de firewall vc precisa pegar essa sua regra primária e altera-la do modo que eu falei..


    PS: agora eu entendi oque vc falou da regra em networks....rs isso ai esta coprreto..só precisa acertar a regra de firewall.
    Luiz Fernando Dias - MVP
    quarta-feira, 24 de junho de 2009 19:34
    Moderador
  • Isso mesmo Luiz, na regra primária, dentro das diretivas de firewall, eu retiro ALL USERS, e coloco ALL AUTHENTICATED USERS, ao fazer isso, usuários sem proxy não conseguem acessar a internet, Essa parte funcionou, o problema é que os usuários que tem o proxy configurado e tb tem acesso a internet estão ficando sem acessoem alguns sites que tinham acesso
    quarta-feira, 24 de junho de 2009 19:46
  • Daniel, seus computadores fazem parte do dominio??? o ISA faz parte do dominio??


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quarta-feira, 24 de junho de 2009 20:17
  • Ai vc precisa fazer uma query e verificar onde que estao sendo barrados , entendeu?

    Mas o primeiro problema vc solucionou....


    no agaurdo
    Luiz Fernando Dias - MVP
    quinta-feira, 25 de junho de 2009 02:53
    Moderador
  • Olá Felipe


    O ISA faz parte do domínio sim.

    Os computadores que estou querendo bloquear, são de consultores, não fazem parte do domínio
    quinta-feira, 25 de junho de 2009 12:11
  • Olá Luiz

    Estes sites, funcionávam antes de trocar os users na regra primária.. Agora não funcionam

    Colocando ALL AUTHENTICATED USERS, alguns sites não estão funcionando mais. E são sites já estavam liberados.

    Ex.: Há um usuário que tem acesso somente aos sites de bancos. Qdo ativei ALL AUTHENTICATED USERS, o site do banco itaú parou de funcionar.
    quinta-feira, 25 de junho de 2009 12:13
  • Daniel,

    Quando estava ALL USERS, tudo funcionava pq estava configurado para deixar TUDO passar.
    Agora vc bloqueou esse acesso.
    Vc precisa fazer uma analise nas regras, fazendo um query vc consegue identificar qual é ela.
    Os usuarios estao com proxy configurados?

    abraços
    Luiz Fernando Dias - MVP
    quinta-feira, 25 de junho de 2009 13:32
    Moderador
  • Luiz,

    Além desta regra primária que libera acesso à todos os usuários, existe uma outra tb que bloqueia!!!! Pode parecer estranho, mais aqui foi configurado assim.
    Eu não estava na empresa quando o ISA foi implantado.

    Há regras de acesso para todos os usuários. Cada usuário acessa apenas os sites que necessitam. Quando esta regra primária estava com ALL USER, os usuários acessavam apenas os sites designados. Quando mudei para Apenas Usuários Autenticados, alguns sites pararam de funcionar! E agora mesmo voltando como estava na regra primária, ALL USERS, alguns sites pararam de funcionar.

    Acho que deu algum problema no ISA =/
    quinta-feira, 25 de junho de 2009 13:47
  • Esses seus clientes estão configurados com que tipos de cliente isa.
    Tem como vc posta pra gente quais as regras que vc tem e a ordem que elas estão??
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 25 de junho de 2009 14:28
  • Daniel,

    Vamos fazer o seguinte.
    Poste aqui para nós qual a ordem e quais são as regras do seu ISA....

    Pelo menos essas que tratam o protocolo HTTP e HTTPS..

    Se nao fica dificil de diagnosticar.

    abraços
    Luiz Fernando Dias - MVP
    quinta-feira, 25 de junho de 2009 14:49
    Moderador
  • Escrevi abaixo as diretivas em questão. Espero que possam me ajudar


    REGRA ACESSO USUÁRIO DANIEL
    Ordem = 58
    Ação = Permitir
    Protocolos = HTTP/HTTPS
    De = Interno
    Para = Acesso Usuário Daniel (Conjunto de URL contendo o endereço: http://www.itau.com.br)
    Usuários = Daniel

    REGRA BLOQUEIA ACESSO WEB
    Ordem = 62
    Ação = Negar
    Protocolos = HTTP / HTTPS
    De = Interno / Host Local
    Para = Acesso Web Restrito (Conjunto de URL contendo os endereços http://* e https://*)
    Usuários = Usuários Restritos (Conjunto de Usuários) - Exceções = Diretoria (Conjunto de Usuários)

    REGRA PRIMÁRIA
    Ordem = 71
    Ação = Permitir
    Protocolos = Todo o Tráfego de Saída
    De = Host Local / Interno
    Para = Externo
    Usuários = All Users
    ***** É nessa regra que altero de ALL USERS para ALL AUTHENTICATED USERS
    ***** Quando está ALL USERS, o usuário Daniel acessa o site do banco itaú normalmente ( Acessa SOMENTE o site do banco itaú)
    ***** quando coloco ALL AUTHENTICATED USERS, o usuário Daniel não acessa o site do banco

    REGRA PADRÃO
    Ordem = Ultima (nº 72)
    Ação = Negar
    Protocolos = Todo o Tráfego
    De = Todas as Redes (e Host Local)
    Para = Todas as Redes (e Host Local)
    Usuários = All Users

    **Outro erro que começou ocorrer depois de ontem, é o endereço "https://supplier.cat.com" que era acessado normalmente, e agora não consigo mais acessá-lo, mesmo mudando de ALL USERS para ALL AUTHENTICATED USERS e vice-versa, o acesso não é feito. Para acessar este site estou tendo que retirar a configuração de proxy do usuário para que ele possa ter acesso a este site.
    Não sei o que pode ser =/


    quinta-feira, 25 de junho de 2009 15:31
  • Se vc tirar o proxy ele sai como securenat nada é validado.

    visivelemnte vc tem problemas de conflito de regras.

    Vc pode fazer um teste para confirmar isso..

    Crie ou suba a regra que libera HTTP E HTTPS para usuarios autenticados para primeiro....

    e tente os acessos.

    no agaurdo


    Luiz Fernando Dias - MVP
    quinta-feira, 25 de junho de 2009 21:17
    Moderador
  • Bom dia Luiz, estamos hj no 3º dia de sofrimento hein rsrsrsrsrs


    Fiz o teste hj de manha. Coloquei a Regra Primária, que libera HTTP/HTTPS, acima das outras regras e infelizmente não deu certo tb.

    É estranho, pq quando coloco Usuários Autenticados, alguns sites funcionam normal, mas tem sites que não abrem. O site da receita federal mesmo não abre quando coloco Usuários Autenticados.

    Pra fazer outro teste, Desabilitei esta regra primária, que libera todo o acesso, e tb NADA, deixei essa regra desabilita e tb desabilitei a regra de numero 62 da relação acima, REGRA BLOQUEIA ACESSO WEB, e tb não deu certo =(

    Se fosse pra fazer o ISA todo do Zero... como teria que ficar as diretivas de firewall para que atendesse as necessidades abaixo? :

    - Bloquear acesso a internet para todos os usuários com exceção da diretoria
    - Bloquear acesso a internet para computadores que não tenham proxy configurado
    - Liberar apenas sites específicos de necessidade de cada usuário
    sexta-feira, 26 de junho de 2009 11:51
  • Daniel,

    Se vc for montar um ISA novo o ideal é que os bloqueios venha antes das regras de liberação.

    Cara para sabermos onde esta dando problema...va em Monitoring depois em LOG e inicie uma query com o IP da estação que vc esta testando e veja em que regra esta parando.. é o unico modo de identificar onde esta esse erro.
    Luiz Fernando Dias - MVP
    sexta-feira, 26 de junho de 2009 13:27
    Moderador
  • Eu fiz a Query com o IP, ligado ao nome de usuário.

    Depois de colocar Todos os usuários autenticados, os sites que continuam acessando, aparece na query.. normal, com o nome da REGRA ACESSO USUÁRIO DANIEL.

    porem os sites que acessavam quando estava ALL USERS, e não acessam quando coloco ALL AUTHENTICATED USERS, não aparecem na query. A página da internet só fica carregando

    Luiz, tenho uma pergunta: vi em uma empresa que tb trabalha com ISA 2006, que nos computadores dos usuários, tem tipo um Client do ISA instalado, que fica executando ao lado do relógio do windows. Qual a função deste Cliente? Como se usa??
    sexta-feira, 26 de junho de 2009 14:35
  • Esse Client normalmente é recomendado quando os usuarios precisam rodar aplicações SOCKS.
    Caso nao possua é desnecessario a instalação do mesmo.
    O trabalho de WEB proxy e securte nat da conta de tudo tranquilamente.

    Vc tem o SP1 do ISA instalado?
    Luiz Fernando Dias - MVP
    sexta-feira, 26 de junho de 2009 14:51
    Moderador
  • Não sei Luiz... Como faço para verificar se tem o SP1?

    Não sei se tem instalado pois quando entrei na empresa o ISA já estava configurado.
    sexta-feira, 26 de junho de 2009 15:26
  • ve em adicionar e remover programas..
    Luiz Fernando Dias - MVP
    sexta-feira, 26 de junho de 2009 15:32
    Moderador
  • Não tem o SP1 não Luiz.

    Vou baixar na microsoft.

    Entrei no site.. É apenas 12,3 mb mesmo??
    sexta-feira, 26 de junho de 2009 15:53
  • é pequeno mesmo..

    baixa e instala a parada...
    Luiz Fernando Dias - MVP
    sexta-feira, 26 de junho de 2009 18:24
    Moderador
  • SP1 do ISA instalado.
    sexta-feira, 26 de junho de 2009 19:13
  • Veja se as coisas funcionam,
    Luiz Fernando Dias - MVP
    sexta-feira, 26 de junho de 2009 19:18
    Moderador
  • Olá Luiz.

    Mesmo depois de ter instalado o SP1 do ISA, realizei todos os testes anteriores e nada...

    Alguns sites já liberados para usuários continuam sem acessar depois que tiro ALL USERS.

    As páginas não dão erro. Ficam apenas carregando por muito tempo e não acessam.

    Nem aparecem no LOG do ISA =(
    • Editado Daniel TK terça-feira, 30 de junho de 2009 19:57
    sexta-feira, 26 de junho de 2009 19:20
  • me adicione no MSN...hang_loose98@hotmail.com

    ai vemos essas regras...pq nao é possivel..rs
    Luiz Fernando Dias - MVP
    segunda-feira, 29 de junho de 2009 21:23
    Moderador
  • Daniel,

    Vamos la.

    De uma verificada nas estações de trabalho, para onde estao apontando o proxy das mesmas.
    o Proxy deve apontar para o servidor ( FQDN ou IP) do ISA. De maneira nenhuma coloque outro computador nessa config ao menos que vc utilize outro tipo de servidor ou tecnologia para proxy.

    Recomendo vc utilizar o FQDN pois os IE7 e superiores trabalhm com Kerberos para autenticar ou seja, se autenticam somente uma vez, onde os outros navegadores autenticam com NTLM , ou seja toda vez eles validam usuário.

    Depois de ajustado o proxy remova o ALL users da regra...

    De uma olhada nisso

    No aguardo

    Se util nao esqueça de maracar como resposta os pots uteis.

     

    Abraços


    Luiz Fernando Dias - MVP
    terça-feira, 30 de junho de 2009 20:38
    Moderador