none
Bloquear Facebook - TMG Forefront 2010 RRS feed

Respostas

  • Bruno,

    Presta atenção na solução que dei ao amigo.

    1º Crie uma regra com http e https que libere o facebook as pessoas que vão ter o acesso.

    2º Crie uma regra de negação para toda a rede incluindo http e https para a categoria Comunidades Online.

    3º Crie uma regra que libere o https para sites financeiros, gov.br etc.. e demais aplicações.

    Agora me explique como que o usuario vai conseguir acessar o facebook, se no filtro do web proxy 80 esta ativado e existe uma negação logo abaixo para todos os usuarios? Outro ponto o HTTPS esta fechado na rede, vai fechar conexão apenas com os destinos financeiros, governo e aplicações.

    NÃO TEM COMO O  USUARIO ACESSAR O FACEBOOK!

    Outro ponto, a inspenção https não ira negar o acesso ao facebook se tiver regras que liberam ou o protocolo https aberto em sua rede.

    Como dito acima maioria dos administradores deixam o https liberado na rede, oque não é uma boa pratica visando segurança.


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    sábado, 4 de maio de 2013 01:40
  • Bruno,

    Siga o link abaixo para criar suas regras no TMG, como melhor pratica:

    http://social.technet.microsoft.com/wiki/contents/articles/4850.aspx

    Nesse link voce vera que nunca devera criar regras de liberação antes das regras de negação, é sempre ao contrario, voce primeiro faz a regra de negação e depois libera.

    Se voce utilizar autenticação nas regras, ou seja o usuario sempre sera autenticado para depois sair para fora, voce NUNCA precisa se preocupar com ultrasurf ou outros softwares, que nao vao burlar o TMG, fica tranquilo quanto isso e principalmente se o TMG estiver no dominio, caso contrario voce teria que usar certificados de segurança, e mesmo assim seria dificil.

    Para uma melhor pratica nunca libere todo trafego nas suas, libere apenas os protocolos que voce ira usar, e use nas estacoes o client do forefront TMG, isso voce tera sempre as melhores praticas.

    Quanto ao facebook use a URL Filter para bloquear e inclua na regra de negação ONLINE COMUNITIES, e ALL USERS, na excessao a esta regra na aba Users coloque um grupo com os nomes dos seus gerentes, grupo esse que voce cria no seu Dominio.

    apos isso crie outra regra e libere o facebook ou outros sites que voce quiser e inclua no final o grupo dos seus gerentes ou outras pessoas.

    Mas faça os grupos no seu dominio e depois coloque ele na regra do seu TMG.

    Qualquer duvida poste


    MCP - MCTS



    • Editado Daniel_Lima sexta-feira, 10 de maio de 2013 13:00 acres
    • Marcado como Resposta fernando silva 1 quarta-feira, 15 de maio de 2013 18:51
    sexta-feira, 10 de maio de 2013 12:54

Todas as Respostas

  • Boa Tarde!

    http://www.andersonpatricio.org/tutoriais/tutoriais.asp?tut=084

    Esse tutorial é para o ISA, mas é a mesma idéia, em sites http você pode usar o coringa *, por exemplo: http://www.facebook.com/*

    Já no https não, Quando for para bloquear https ->  https://www.facebook.com

    http://technet.microsoft.com/en-us/library/cc302531.aspx

    terça-feira, 30 de abril de 2013 20:00
  • Amigo,

    No meu ambiente e ambientes de clientes eu uso a seguinte prática.
    Alem do http's aberto para tudo, que tem um significativa falha de segurança, até mesmo pelo motivo de softwares que burlam suas regras baseadas em http para passar por cima delas, um exemplo seria TOR proxy, e ultrasurf.

    Neste caso eu faço a seguinte configuração!

    Crio as regras de liberações administrativas, que vai liberar os sites em que os gerentes ou pessoas que tem o acesso liberados em alguns sites um exemplo seria o facebook.

    Abaixo crio as regras que negam geral o conteudo já liberado acima para os gerentes.

    E com o https, libero apenas para Sites financeiros, governamental, apenas essas duas categorias já vai te resolver 95% do seu problema, pois oque é util usar https esta liberado.

    Claro que tem outras conexões, como msn etc.. que isso tambem tem como liberar para a rede ou apenas para o gerente.

    Não aconselho utilizar o filtro web proxy no protocolo 443.

    Qualquer coisa entre em contato comigo.

    forte abs


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    quinta-feira, 2 de maio de 2013 15:48
  • MSIQUEIRA,

    Já tive o mesmo problema e bloquear por categoria ou pelo link até mesmo informando https: não vai resolver seu problema.

    Você consegue bloquear sites que utilizam https: habilitando a Inspeção HTTPS, só assim pude resolver esse problema em meu cenário.


    Bruno Fernando - BC Tech

    sexta-feira, 3 de maio de 2013 22:24
  • Bruno,

    Presta atenção na solução que dei ao amigo.

    1º Crie uma regra com http e https que libere o facebook as pessoas que vão ter o acesso.

    2º Crie uma regra de negação para toda a rede incluindo http e https para a categoria Comunidades Online.

    3º Crie uma regra que libere o https para sites financeiros, gov.br etc.. e demais aplicações.

    Agora me explique como que o usuario vai conseguir acessar o facebook, se no filtro do web proxy 80 esta ativado e existe uma negação logo abaixo para todos os usuarios? Outro ponto o HTTPS esta fechado na rede, vai fechar conexão apenas com os destinos financeiros, governo e aplicações.

    NÃO TEM COMO O  USUARIO ACESSAR O FACEBOOK!

    Outro ponto, a inspenção https não ira negar o acesso ao facebook se tiver regras que liberam ou o protocolo https aberto em sua rede.

    Como dito acima maioria dos administradores deixam o https liberado na rede, oque não é uma boa pratica visando segurança.


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    sábado, 4 de maio de 2013 01:40
  • Concordo com o Mestre Júnior.

    Realmente a unica forma de refinar os acessos principalmente em redes sociais, é fechando o https dentro da rede, assim liberando apenas para os destinos validos.

    No meu cenario trato as regras de acordo como a ideia do Junior foi dita.

    sábado, 4 de maio de 2013 01:49
  • Eu não tinha pensado em configurar dessa forma Júnior,

    A ideia do cenário é boa...

    Mesmo utilizando o ultrasurf por exemplo ele consegue negar acesso ao facebook?


    Bruno Fernando - BC Tech

    sábado, 4 de maio de 2013 02:21
  • Sim mesmo usando o tor ou ultrasurf ele nao vai passar por cima do tmg.
    Pq esses softwares se vc snifar ele, primeiro ele envia dados pro server pela 80 e depois para fechar o tunel ele usa o https.

    Se o mesmo estiver fechado, a comunicação é barrada!

    Teste ai.. qualquer coisa me add no msn que te ajudo a configurar.

    abs


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    sábado, 4 de maio de 2013 03:53
  • Vou testar Júnio,

    No meu caso eu uso a inspeção https justamente por causa desses programas, mas usa ideia é simples e nem me passou pela cabeça fazer dessa forma...

    Vou testar e te falo em seguida!

    Obrigado!


    Bruno Fernando - BC Tech

    sábado, 4 de maio de 2013 12:29
  • Testa lá Bruno.

    E outra a insepenção do HTTPS tem outro sentido em uma rede, o bloqueio é realmente feito sobre as portas TCP.

    Qualquer coisa me add no msn

    Denada!


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    sábado, 4 de maio de 2013 13:52
  • Vou testar na Segunda e te falo...

    Eu habilitei a inspeção mas só pra validar os certificados, pelo menos dessa forma o ultrasurf, tor...facebook não funcionam....

    Mas eu vou fazer dessa forma e ver como fica e te falo! Ai depois te add pra dar umas dicas ;)

    Até!


    Bruno Fernando - BC Tech

    sábado, 4 de maio de 2013 14:21
  • blz.. add la.

    até


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    sábado, 4 de maio de 2013 14:22
  • Júnior,

    Fiz como mencionou e funcionou porém, tive problema com alguns sites específicos que não consegui liberar...

    Então fiz o seguinte, na diretiva que eu libero a internet deixei http e https porém, coloquei alguns domínios na exceção e realmente não acessam.

    E criei uma diretiva que libera alguns sites https para alguns usuários específicos, e está funcionando bem até o momento...

    Ficou quase o mesmo esquema só que de forma diferente, mas ainda não tetei o ultrasurf por exemplo...

    Obrigado pela atenção!


    Bruno Fernando - BC Tech

    segunda-feira, 6 de maio de 2013 21:11
  • quais sites especificos nao conseguiu liberar?

    É bom vc utilizar o filtro de url, e sabe qual categoria que a mesma faz parte e então adicionar  a mesma na regra que libera o https.

    te dou certeza que nao vai acessar o ultrasurf e qualquer outro site.

    Na realidade no ambiente que tenho, tenho apenas lista branca, oq nao esta nela ninguem acessa!


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    segunda-feira, 6 de maio de 2013 22:10
  • Trabalho em uma escola, então tem alguns sites que utilizam lá e são por https...

    Mas enfim, está funcionando só não exatamente como você explicou mas praticamente a mesma coisa!

    E testei o ultrasurf e o Thor e realmente não funcionou! Mas assim que tiver mais tempo dou uma olhada melhor, já que o site não pode ficar fora pois precisam realizar cadastros...

    Mas valew mesmo pela dia realmente nem tinha pensado nisso...

    Até!


    Bruno Fernando - BC Tech

    terça-feira, 7 de maio de 2013 00:33
  • Bruno,

    Siga o link abaixo para criar suas regras no TMG, como melhor pratica:

    http://social.technet.microsoft.com/wiki/contents/articles/4850.aspx

    Nesse link voce vera que nunca devera criar regras de liberação antes das regras de negação, é sempre ao contrario, voce primeiro faz a regra de negação e depois libera.

    Se voce utilizar autenticação nas regras, ou seja o usuario sempre sera autenticado para depois sair para fora, voce NUNCA precisa se preocupar com ultrasurf ou outros softwares, que nao vao burlar o TMG, fica tranquilo quanto isso e principalmente se o TMG estiver no dominio, caso contrario voce teria que usar certificados de segurança, e mesmo assim seria dificil.

    Para uma melhor pratica nunca libere todo trafego nas suas, libere apenas os protocolos que voce ira usar, e use nas estacoes o client do forefront TMG, isso voce tera sempre as melhores praticas.

    Quanto ao facebook use a URL Filter para bloquear e inclua na regra de negação ONLINE COMUNITIES, e ALL USERS, na excessao a esta regra na aba Users coloque um grupo com os nomes dos seus gerentes, grupo esse que voce cria no seu Dominio.

    apos isso crie outra regra e libere o facebook ou outros sites que voce quiser e inclua no final o grupo dos seus gerentes ou outras pessoas.

    Mas faça os grupos no seu dominio e depois coloque ele na regra do seu TMG.

    Qualquer duvida poste


    MCP - MCTS



    • Editado Daniel_Lima sexta-feira, 10 de maio de 2013 13:00 acres
    • Marcado como Resposta fernando silva 1 quarta-feira, 15 de maio de 2013 18:51
    sexta-feira, 10 de maio de 2013 12:54
  • Daniel, oque voce nao esta vendo é apenas uma coisa.
    Não adianta voce criar uma regra na qual para gerentes ta liberado e para os usuarios esta negado.
    Pois o filtro do webproxy aplica-se apenas na porta 80, e o facebook e as demais redes sociais se conetam por https.

    Por esse motivo que eu fecho o https em minha rede, e uno esse protocolo para criar as demais regras de liberação na rede.

    Assim refinando o acesso a cada usuario e com as permissões, e tambem negando quando trafego ao https que não esteja descrito

    nas minhas regras!


    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    sexta-feira, 10 de maio de 2013 15:11
  • Oi Daniel!

    Legal o link! Muito bom!

    Nas regras que eu crio eu faço exatamente isso, crio primeiro as negações e depois faço as permissões.

    Quanto as exceções eu crio por grupos de Domínio mesmo e funcionam perfeitamente! Apenas nesse caso que eu na regra de liberação da rede interna para a rede externa (Internet) que eu coloco na exceção para não liberar conexão https para alguns domínios específicos, mas que no final crio outra regra que permite apenas para os usuários que quero.

    Ainda preciso dar uma configurada melhor mas está funcionando bem, e faço oque você falou apenas libero os protocolos que serão utilizados nunca todo tráfego!

    A não ser para bloquear nas regras de negação.

    Muito obrigado!

    Até!


    Bruno Fernando - B&-Tech

    sexta-feira, 10 de maio de 2013 15:23
  • Fala junior blz?

    Bom acho que voce nao entendeu:

    1 - Faz um grupo no dominio, grupo chamado gerentes e coloca-se nesse grupo os gerentes.

    2 - Cria-se primeiro a regra de negacao http https, porem na aba USERs voce coloca como excessao o grupo de gerentes criado no AD, o resto nega-se para todos os usuarios

    3 - Cria-se uma regra liberando o trafego para os gerentes.

    4 - Cria-se uma regra liberando o trafego para o restante dos usuarios.

    Com isso o que voce nao quer que libere ja vai matar na primeira regra, com excessao do grupo gerentes.

    O TMG trabalha na porta 8080 por padrao.

    Se na regra do URL Filter, como citei voce dizer que quer bloquear ONLINE COMUNIITEIS que vai englobar o facebook e trabalhar com  o cliente do tmg nas estacoes, voce nunca tera esse problema.

    Isso funciona exatamente do jeito que eu descrevi em mais 250 clientes que atendemos.

    abs. 


    MCP - MCTS


    • Editado Daniel_Lima sexta-feira, 10 de maio de 2013 15:54 acres
    sexta-feira, 10 de maio de 2013 15:51
  • Fala junior blz?

    Bom acho que voce nao entendeu:

    1 - Faz um grupo no dominio, grupo chamado gerentes e coloca-se nesse grupo os gerentes.

    2 - Cria-se primeiro a regra de negacao http https, porem na aba USERs voce coloca como excessao o grupo de gerentes criado no AD, o resto nega-se para todos os usuarios, e nesse regra voce coloca o que quer negar, ou seja, com o url filter, jogos, chat, pornografia etc.

    3 - Cria-se uma regra liberando o trafego para os gerentes, somente para o grupo gerente, ou seja, o external.

    4 - Cria-se uma regra liberando o trafego para o restante dos usuarios.

    Com isso o que voce nao quer que libere ja vai matar na primeira regra, com excessao do grupo gerentes, os usuarios serao bloqueados na primeira regra, e os gerentes nao.

    O TMG trabalha na porta 8080 por padrao, e nao na 80, porem pode-se mudar.

    Se na regra do URL Filter, como citei voce dizer que quer bloquear ONLINE COMUNIITEIS que vai englobar o facebook e trabalhar com  o cliente do tmg nas estacoes, voce nunca tera esse problema.

    Isso funciona exatamente do jeito que eu descrevi em mais 250 clientes que atendemos.

    abs.


    MCP - MCTS


    • Editado Daniel_Lima sexta-feira, 10 de maio de 2013 15:58 acres
    • Sugerido como Resposta Daniel_Lima sábado, 11 de maio de 2013 17:44
    sexta-feira, 10 de maio de 2013 15:55
  • Junior,

    Conforme conversamos gostaria de deixar aqui uma resalva no que nao eu disse:

    O trafego https e http realmente nao deve ser liberado TOTAL. porem eu coloquei isso no cenario acima como exemplo.

    Sabemos que alguns clientes nos pedem para liberar o trafego totalmente.

    Passamos os riscos, mas paciencia!!

    Abs.


    MCP - MCTS

    • Sugerido como Resposta Daniel_Lima sábado, 11 de maio de 2013 17:44
    • Marcado como Resposta fernando silva 1 quarta-feira, 15 de maio de 2013 18:48
    • Não Marcado como Resposta fernando silva 1 quarta-feira, 15 de maio de 2013 18:50
    sexta-feira, 10 de maio de 2013 16:42