none
CONECTIVIDADE COM SEGURANÇA ?! EXISTE ? RRS feed

  • Pergunta

  • Boa tarde a todos,

     

    Estou tentando fazer uma regra de acesso ao Conectividade Social sem desabilitar o web filter.

    Para isso eu criei dois protocolos :

    1° TCP porta 2631 Outbound (CNS)

    2° TCP porta 80 Outbound (com o web filter desabilitado) (HTTP2)

    Criei um Computer Set (contabilidade)onde adicionei as maquinas que terão acesso ao Conectividade.

    Criei uma Subnet (rede da Caixa) 200.201.174.0 mask 255.255.255.0

    Isso foi os itens criados para a regra.

     

    A regra Criada foi :

    de : (contabilidade) para (rede da Caixa) com exceção da (external).

    protocolos : (CNS - HTTPS - HTTP2)

     

     

    Mesmo  assim dá falha na troca de chaves com o getaway.

    Detalhe essa regra foi criada acima da regra que da acesso a web.

     

    Grato

     

    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 04:22 (De:ISA Server 2004)
    sexta-feira, 22 de dezembro de 2006 18:51

Respostas

  • Reginaldo,

    O procedimento que você está realizando está corretissimo. Gostaria apenas de fazer um adendo: Pela forma como o ISA lê os protocolos, se faz necessária a criação de uma regra de "deny" abaixo da regra de allow, para o protocolo http padrão e os destinos em questão. No blog do time do ISA existe uma explicação para isso. Veja em http://blogs.technet.com/isablog/archive/2006/09/25/458810.aspx . Atente para o fato de o firewall client estar ativo e o browser não estar com as configurações de proxy ativas. Em geral, só funciona sem o fw client. Porém, em algumas situações especificas enfrentadas por mim recentemente em clientes, só funcionou com o fw client ativo e sem as configurações de browser. Experimente e nos reporte.

    []'s

    Alberto

    terça-feira, 26 de dezembro de 2006 18:08
    Moderador

Todas as Respostas

  • Mano é um bom desafio, vou tentar fazer este cenário para ver se funciona legals, e caso eu ache algo novo te passo post, a bronca maior é a troca de chaves gateway a gataway, mais vamos em frente,  abs do amigo Maycon Alves!!
    segunda-feira, 25 de dezembro de 2006 00:48
  • Olá Maycon,

     

     

    Fico no aguardo do resultado dos testes.

     

    att,

     

    Reginaldo

    terça-feira, 26 de dezembro de 2006 00:48
  • Reginaldo,

    O procedimento que você está realizando está corretissimo. Gostaria apenas de fazer um adendo: Pela forma como o ISA lê os protocolos, se faz necessária a criação de uma regra de "deny" abaixo da regra de allow, para o protocolo http padrão e os destinos em questão. No blog do time do ISA existe uma explicação para isso. Veja em http://blogs.technet.com/isablog/archive/2006/09/25/458810.aspx . Atente para o fato de o firewall client estar ativo e o browser não estar com as configurações de proxy ativas. Em geral, só funciona sem o fw client. Porém, em algumas situações especificas enfrentadas por mim recentemente em clientes, só funcionou com o fw client ativo e sem as configurações de browser. Experimente e nos reporte.

    []'s

    Alberto

    terça-feira, 26 de dezembro de 2006 18:08
    Moderador
  • Muito obrigado pela ajuda,

     

    Deu certíssimo, agora posso fazer meus bloqueios na camada http sem maiores problemas.

    A ajuda de vocês foi imprescindível para o êxito do problema proposto.

    Conectividade Social com segurança existe sim !!!...rss

     

    Att,

     

    Reginaldo

    MCP

    terça-feira, 26 de dezembro de 2006 19:25
  • Reginaldo,

    Disponha. Estamos aqui é pra isso mesmo. Pra ensinar e aprender :).

    Um abraço e boas festas.

    Alberto

    quarta-feira, 27 de dezembro de 2006 17:06
    Moderador
  • Reginaldo,

    Mano pelo amor de Deus me ajude!

    Me passa como ficou a sequência das suas regras no isa para fazer o conectividade funcionar pois estou ficando louco já. Não quero tirar o filtro pra não perder as funcionalidades das minhas outras regras.

    Não entendi bem como é que tem que ficar essa regra de negação abaixa da regra de libera.

    Por favor, coloca aí passo a passo como ficou as suas regras para o conectividade funcionar e se teve que fazer alguma coisa no cliente também me informe ok.

    Desde já fico grato!

    Anderson Santana.

     

     

     

     

     

    quinta-feira, 28 de dezembro de 2006 19:10
  • Para isso eu criei dois protocolos :

    1° TCP porta 2631 Outbound (CNS)

    2° TCP porta 80 Outbound (com o web filter desabilitado) (HTTP2)

    Criei um Computer Set (contabilidade)onde adicionei as maquinas que terão acesso ao Conectividade.

    Criei uma Subnet (rede da Caixa) 200.201.174.0 mask 255.255.255.0

    Isso foi os itens criados para a regra.

     

    A regra 1:

    Ação: permitido  - de : (contabilidade) -  para: (rede da Caixa)

    protocolos : (CNS - HTTPS - HTTP2)

    A regra 2:

    Ação: negado - de : (contabilidade) -  para: (rede da Caixa)

    protocolos : (HTTP)

     

    Nos clientes deixei como NAT pois se houver a algum atravessador no caminho vai dar pau !!!

    Ai você fica livre para aplicar sua regras na camada HTTP sem dor de cabeça.

     

    Att, Reginaldo

     

    quinta-feira, 28 de dezembro de 2006 19:33
  • Reginaldo!

    Valeu pela dica, aqui na empresa também funcionou legal.

    Conectividade Social com proxy e segurança.

     

     

    Abraço

    sábado, 3 de fevereiro de 2007 18:12
  •  Boa tarde!  Por favor me ajudem

     

     Não consigo colocar pra funcionar a conectivadade social no ISA SERVER 2000 , não conheço a fundo esse programa , alguém poderia me ajudar por favor.

     

    fabiohga@hotmail.com;

    segunda-feira, 5 de fevereiro de 2007 18:20
  •  Fabio_Henrique wrote:

     Boa tarde!  Por favor me ajudem

     

     Não consigo colocar pra funcionar a conectivadade social no ISA SERVER 2000 , não conheço a fundo esse programa , alguém poderia me ajudar por favor.

     

    fabiohga@hotmail.com;

    Depois de muito quebrar a cabeça consegui....

    segunda-feira, 5 de fevereiro de 2007 21:04
  • Pessoal.

    Quebrei cabeça aqui mas nao consegui fazer conforme a regra.

    Fiz do mesmo jeito, porém a minha ultima regra esta negando a conexão UDP paraa porta 137  e o IP 200.201.174.207

    eu não entendi a questão do NAT, alguem poderia me explicar?

     

    Att

    sexta-feira, 16 de março de 2007 15:13
  • Rubens verifica se este artigo esclarece suas dúvidas: http://www.isaserver.org/articles/snatdns.html, espero ter ajudado, abs do amigo Maycon Alves!!

    segunda-feira, 19 de março de 2007 14:49
  • A regra 1:

    Ação: permitido  - de : (contabilidade) -  para: (rede da Caixa)

    protocolos : (CNS - HTTPS - HTTP2)

    A regra 2:

    Ação: negado - de : (contabilidade) -  para: (rede da Caixa)

    protocolos : (HTTP)

     

     

    Como assim?
    Nao entendi qual é a ideia dessa regra.

    segunda-feira, 19 de março de 2007 19:05
  • Francisco bom dia,

    Fizemos essa regra por uma questão muito simples, para forçar o tráfego pelo protocolo http2(sem filtro), por isso criamos uma regra logo abaixo bloqueando o protocolo http.

     

    Entendeu ?

    terça-feira, 20 de março de 2007 13:12
  • Mas se a regra 1 nao permite a passagem do "http", poruq deve bloquear?
    terça-feira, 20 de março de 2007 19:25
  • Pessoal, fizemos exatamente como recomendado por vocês.

    Porém deixe-me explicar como estamos fazendo os bloqueios de sites no Isa.

    Nossos bloqueios são feitos através de Rulles de Allow, liberando os protocolos HTTP, HTTPS de Intenal para External, exceto as listas de sites que queremos bloquear.

    Será que esta nossa forma de bloqueio não poderia estar causando este problema da configuração do segundo protocolo HTTP2?

    Att

     

     

    quarta-feira, 21 de março de 2007 18:49
  • Porque se a regra 1 nao libera acesso via http, pra que bloquear algo que ja esta bloqueado por default?
    quarta-feira, 21 de março de 2007 19:38
  • Pessoal, trabalho na mesma empresa do Rubens e não consegui por nada fazer funcionar

     

    coloquei o print da tela do meu ISA neste endereço:

    http://ghvsoftarts.spaces.live.com

    Já nao sei mais o que fazer com esse conectividade.

    Habilitei o client firewall na maquina do usuario, desabilitei... e nada....

    Etâ caixa danada!!!!

     

     

     

    quinta-feira, 22 de março de 2007 14:59
  • Pessoal trabalho na mesma empresa do Rubens ai acima e já temtamos de tudo mas nao funciona..

     

    coloquei o print da tela do ISA do endereço :

    http://ghvsoftarts.spaces.live.com

     

    Já habilitei o client firewall, desabilitei.. e nada!!!

     

    Está caixa já esta me deixando nada social!!!!

     

    HELP!!

     

    quinta-feira, 22 de março de 2007 15:03
  •  

    Aonde Crio  a Subnet (rede da Caixa) 200.201.174.0 mask 255.255.255.0? No próprio ISA? poderia me informar o passo-a-passo?
    quarta-feira, 5 de setembro de 2007 04:44
  • Pessoal, só uma dúvida: o ISA de vocês tem duas ou apenas uma placa de rede? O meu tem uma só, segui as instruções para criar as regras e não funciona. Alguém pode me ajudar? Grato!

     

    terça-feira, 2 de outubro de 2007 18:57
  • perfeito Reginaldo, realizei alguns testes e todos derão certo, gostaria apenas de fazer uma observação, em todos os testes que realizei em alguns clientes só funcionou com o Firewall client ativo sem as configurações do browser!!!!

    terça-feira, 13 de maio de 2008 14:50