none
ISA + Firefox RRS feed

  • Pergunta

  • Caros,

     

    alguem já pegou esse bug, no Firefox qualquer site na porta 80 que voce joga no Proxy, ele consegue burlar as regras do ISA?

     

    Com endereço do meu proxy setado, eu consigo navegar dentro da politica de bloqueio, mas se eu jogar algum site como uol.com.br porta 80 ele passa pelas regras.

     

    Instalei o Firefoxadm mas as estações nao pegar as configurações, entao editei o arquivo prefs.js e efetuei o bloqueio de opções do Firefox e configurei o proxy. Porém preciso alterar esse arquivo em todos as maquinas, 250 estações. Alguem sabe como resolver isto?

     

    Revirei a net e nao achei uma solução melhor!!! (sem bloquear o firefox)

    quarta-feira, 16 de julho de 2008 21:44

Todas as Respostas

  • Cara como que esta sua regra de internet?

    Sua regra de bloqueio esta antes ou depois da regra de liberação?

    Ela deve vir antes, e aplicada para determinados usuarios ou todos...com isso é praticamente impossivel o firefox sair para o site bloqueado.

    D eum aolhada na ordem das regras..


    abraços
    quinta-feira, 17 de julho de 2008 11:41
    Moderador
  • Só completando o que o Liz Fernando disse, aqui na empresa eu detectei esse problema quando foi necessario usar o Firefox, pra resolver isso vc precisa definir no ISA que somente usuarios autenticados consigam acessar as paginas de internet. Na sua regra de bloqueio e liberação de sites na parte de usuarios vc pode, em vez de colocar All users, colocar All Autenticated Users.

     

    Se der certo posta ai pra galera saber.

     

    quinta-feira, 17 de julho de 2008 13:00
  • Fala Luiz,

     

    entao, a regra esta antes da liberação e abaixo de 5 regras de VPN Site-to-site e VPN IN to Internal. O que ocorre é que se eu setar qualquer site no Proxy do Firefox na porta 80, ele consegue sair para regra de bloqueio. Do contrario barra. Vou fazer o esquema de Autenticação requerida, mas estou com duvida se isto pode ser algum bug do ISA 2006.

     

    obrigado por enquanto ae pessoal!

    quinta-feira, 17 de julho de 2008 20:54
  • Qual a porta do seu proxy?

    Me diz como estao suas regras.
    Pq nos meu firefox, sem proxy navegam no que est aliberado e bloqueia o que esta negado...normal...

    Acredito que exista algum erro de configuração das regras.

    No aguardo

    abrax
    sexta-feira, 18 de julho de 2008 12:16
    Moderador
  •  

    Opa, então, a porta do proxy é 3128. Mas o que ocorre é que se eu colocar uol.com.br na porta 80 ele deixa passar pela regra de bloqueio, pq o site do uol.com.br esta liberado. Nao sei como o ISA identifica isto, mas é isto que ocorre.

    Eu habilitei autenticação no proxy e resolveu essa parte, somente alguns programas em .Net que nao consegue conectar devido a isto.

     

    tem algum recurso que eu possa fazer pra liberar para tais WebServices nao precisar de autenticaçao? Senao to vendo que vou precisar mudar o codigo do programa.

     

    abraço

    sexta-feira, 18 de julho de 2008 19:33
  • Vc faz acesso a dominios externos?
    sexta-feira, 18 de julho de 2008 19:38
    Moderador
  •  

    Sim, sem problemas. Se eu colocar o endereço do Webservices no IE ele abre, mas na aplicação não, revirando o forum americano do MSDN, achei o codigo abaixo que resolve, mas o que ocorre que nao querem mudar o codigo do programa.

     

                {

     WebProxy webproxy = new WebProxy();
     webproxy.Credentials = new NetworkCredential("", "", "");
     proxy.Proxy = webproxy;

    }

     

    ta fods.

    sexta-feira, 18 de julho de 2008 19:48
  • Cria um domain name set, com o *.dominio.com ou *.dominio,com.br e cria uma regra de liberação de internal para esse domain name set para all users....

    Isso faz passar, eu ja tive esses problemas tb..

    é só vc liberar o site que funfa..

    faz o teste e me fala.

    abraxxx
    sexta-feira, 18 de julho de 2008 20:02
    Moderador
  •  

    Luiz, eu criei o Domain site para o ip *.ipquetenho mas nao rolou, o programa consulta um WebService com final asmx. Já nao sei mais o que pode ser feito, alem de voltar a regra.

     

    obrigado pela ajuda!

    sexta-feira, 18 de julho de 2008 20:52
  • Tenta monitorar a hora q vc roda a aplicação e ve se o IP esta correto...

    Nao existe um nome para ele?
    sexta-feira, 18 de julho de 2008 20:57
    Moderador
  • nem aparece no log, ja da o erro antes.

    407 - Proxy Authentication Required
    sexta-feira, 18 de julho de 2008 21:03
  • Luiz, acho que descobri o problema da saida por regra bloqueada na porta 80.

     

    Ocorre o seguinte, se eu estiver com o ISA FIREWALL CLIENT desativado, eu nao consigo navegar se nao setar meu proxy e porta correto, se eu habilitar o Firewall Client e colocar qualquer site com por 80 eu burlo as regras de bloqueio.

     

    Olhando esse site http://www.microbyte.com.br/Default.aspx?tabid=73 descobri isto:

     

    Uma última dica: para impedir ao usuário de burlar as regras de navegação alterando as configurações do navegador, além de garantir as configurações através de Policy você deve excluir dos protocolos permitidos aos clientes SecureNAT os protocolos web e cancelar o redirecionamento de requisições web do Firewall Service para o Web Service no ISA Server.

     

    Sabe como eu faço isto?? Cancelar a requisiçao que o clientes fazem direto pro WebService no ISA?

     

    abraço

    sábado, 19 de julho de 2008 01:56
  • Oi gente,

     

    Porta 3128?? Tem squid rodando na rede? Ou é o ISA? Smile.

    Bom, não sei se o meu "chute" vai ser certeiro, mas isso está com cara de webproxy filter (http filter) desabilitado. É exatamente esse o comportamento que ele tem. Permite o acesso, sem levar as regras em consideração.

    Caso não esteja desabilitado, o que a monitoração do ISA diz? Em que regras as tentativas de acesso são classificadas?

    Ah, ainda existe a possibilidade de, caso seja necessário, bloquear a navegação do firefox, através do user-agent.

     

    Vou procurar acompanhar a thread de perto e tentarei simular, em ambiente de testes, o cenário listado. Se for bug, vou tentar contactar a Microsoft para solucioná-lo. Só acho cedo para pensarmos nessa possibilidade, Smile.

     

    []'s

    Alberto

    sábado, 19 de julho de 2008 22:25
    Moderador
  • Fala Alberto,

     

    Tudo bem?Quanto tempo...

     

    Então eu acredito que não seja bug, pois eu ja implementei ISA em empresas que necessitavam fazer testes em firefox tb e tudo fuincionava. Porem eu nao utiliza o firewall client, somente o proxy no navegador. Sem proxy bloqueia tudo, e com proxy libera conforme regras.

     

    Sobre a aplicação, ja tive esse problema também, e a unica solução para o caso foi criar um domain name set, para liberar o dominio que estava o webservice.

     

    Abraços

    sábado, 19 de julho de 2008 23:51
    Moderador
  • Opa, ae Alberto blz!!?

     

    então, antigamente usava-se Squid e quando migramos para ISA, deixamos a mesma porta devido a ter alguns sistemas que estavam configurado com a mesma.

     

    Entao, o Web Proxy Filter esta habilitado. Na regra de Outbound para a Internet, tenho os seguintes protocolos:

     

    HTTP ( esta habilitado Web Proxy Filter )

    HTTP 8080 ( não esta habilitado Web Proxy Filter )

    HTTPS  ( não esta habilitado Web Proxy Filter )

     

    Personalizadas:

     

    HTTP 8082  ( não esta habilitado Web Proxy Filter )

    HTTP 7003 ( esta habilitado Web Proxy Filter )

     

    No Log do ISA, quando o usuário nao mexe nas configurações do Proxy no Firefox (IE bloqueado essa opção) o ISA bloqueia a navegação conforme a regra configurada, mas quando ele coloca porta 80 e esta com o ISA FIREWALL CLIENT habilitado, ele passa pela regra sem problemas e na regra só aparece o endereço do proxy e porta que esta passando.( exemplo: uol.com.br porta 80, aol.com porta 80 ).

     

    Luiz, obrigado também pela ajuda.

    segunda-feira, 21 de julho de 2008 15:06
  • Diomedes,

     

    Eu nunca passei por isso. Vou tentar simular amanhã e posto o resultado aqui. Sem conhecer melhor o seu cenário e set de regras, fica difícil de descobrir se é alguma configuração no seu ISA ou algum outro problema. Independente de ser via firewall client ou browser, o acesso é redirecionado pro filtro de web, que é responsável por realizar o bloqueio dos sites em questão. Isso são não ocorre se o filtro estiver desabilitado. Como você falou que está habilitado, deve ser alguma outra coisa.

    Amanhã posto os resultados.

     

    []'s

    Alberto

     

    terça-feira, 22 de julho de 2008 01:01
    Moderador
  • Diomedes,

     

    Teste realizado! Não tive o mesmo problema que você, em nenhuma das minhas simulações. Acredito que seja algo pontual do seu ambiente. Mas, como lhe falei anteriormente, sem conhecer o ambiente e a implementação das regras fica dificil de fazer o troubleshooting. Se você puder postar o resultado do logging do ISA aqui para analisarmos, facilita.

     

    []'s

    Alberto

    terça-feira, 22 de julho de 2008 11:06
    Moderador
  •  

    Alberto,

     

    obrigado pelo help, abaixo esta os logs.

     

    Initiated Connection

    SWNTFW3 7/22/2008 12:41:15 PM Log type: Firewall service Status: Rule: ORKUT Source: Internal (172.20.253.105:64106) Destination: External (hostheader-vn02.evip.aol.com 207.200.94.38:80) Protocol: HTTP User: SPRING\dtedesco

                        Additional information

    Number of bytes sent: 0 Number of bytes received: 221

    Processing time: 15531ms Original Client IP: 172.20.253.105

    Client agent: iexplore.exe:3:6.0

     

    =======================CLOSE CONNECTION===============================

    Closed Connection

    SWNTFW3 7/22/2008 12:42:01 PM Log type: Firewall service Status: Rule: ORKUT Source: Internal (172.20.253.105:64114) Destination: External (hostheader-vn02.evip.aol.com 207.200.94.38:80) Protocol: HTTP User: SPRING\dtedesco

    Additional information

    Number of bytes sent: 0 Number of bytes received: 728

    Processing time: 3860ms Original Client IP: 172.20.253.105

    Client agent: iexplore.exe:3:6.0

     

    O meu ambiente esta dessa forma:

    Primeiro firewall esta com:

     

    - Link DMZ

    - Link Internet

    - Rede Interna

     

    Segundo firewall esta somente com:

     

    - Link Internet

    - Rede Interna

     

    Toda navegação esta saindo pelo Firewall 2, somente sai pelo Firewall 1 quando o  segundo sai fora do ar. Atualmente estou usando o ISA Firewall Client para acessar a DMZ, sem ele habilitado ocorre alguns erros de conexão quando tento acessar o meu ambiente externo.

     

    espero ter esclarecido alguma coisa.

    terça-feira, 22 de julho de 2008 15:48