we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

16 out, 2009

ISA Server 2006: Clientes – Parte 01

Fabiano Santana

Tem 25 artigos publicados com 62500 visualizações desde 2011

Fabiano Santana
Publicidade

O
ISA Server Client é todo computador, ou notebook, ou servidor, que se
conecta a recursos localizados em outras redes através do ISA Server.
Como exemplo podemos citar o seguinte: o ISA Server é o servidor que
libera o acesso à Internet e o ISA Server Client são as estações de
trabalho, as quais acessam a Internet através do ISA Server.

Este é o primeiro artigo de uma série sobre o assunto. Aqui faremos uma rápida introdução nos tipos de clientes do ISA Server 2006.

Antes
da implementação do ISA Server 2006, devemos definir o tipo de client
que será utilizado. O ISA Server 2006 possui os seguintes clients:
SecureNAT Clients, Firewall Clients e Web Proxy Clients. O Firewall
Client provê o maior nível de funcionalidade, porém, para que esse tipo
de client seja utilizado, um aplicativo deve ser instalado nas estações
de trabalho. SecureNAT clients e Web Proxy Clients são mais simples de
configurar pois não exigem a instalação de um aplicativo nas estações
de trabalho. O detalhe é que o SecureNAT clients e Web Proxy Clients
não implementam todas as funcionalidades implementadas pelo Firewall
Client.

A escolha do ISA Server Client depende principalmente do nível de segurança que você deseja implementar.

Tipos de Clients

O ISA Server 2006 possui 3 tipos de clients:

  • Firewall Clients:
    São computadores nos quais o aplicativo Firewall Client está instalado
    e habilitado. Quando um computador com o Firewall Client instalado
    solicita o acesso a um recurso na Internet, a solicitação é
    redirecionada para o serviço de Firewall no servidor ISA. O serviço de
    Firewall faz a autenticação e autoriza ou não o acesso solicitado pelo
    computador, baseado nas regras do Firewall e nos filtros de aplicação.
    O Firewall Client provê o maior nível de segurança.
  • SecureNat Clients:
    Esse tipo de client é bem simples de ser implementado pois não
    necessita da instalação de nenhum aplicativo. Para implementar o
    SecureNAT Clients devemos configurar o default gateway dos computadores
    com o endereço IP interno do ISA Server (supondo que a rede possua
    apenas um segmento).
  • Web Proxy Clients:
    Para que um computador possa ser configurado como Web Proxy Client,
    deverá possuir instalado um browser compatível com o HTTP 1.1. Como a
    maioria dos computadores hoje em dia já atendem esse pré-requisito, não
    é necessária a instalação de aplicativos adicionais para que esse tipo
    de client seja implementado. Para implementar o Web Proxy Client
    devemos configurar o browser para utilizar o ISA Server. Quando um
    computador com o Web Proxy Client habilitado solicita o acesso a um
    recurso na Internet, a solicitação é redirecionada para o serviço de
    Firewall no ISA Server. Caso a regra que libere acesso ao recurso
    solicitado requeira autenticação, uma tela será exibida para o usuário
    solicitando os dados para a autenticação (nome de usuário e senha).

Computadores configurados como Firewall Clients ou SecureNAT Clients também podem ser configurados como Web Proxy Clients.

Vantagens e desvantagens de cada Client

  • Firewall Clients

Vantagens:

  • Com o uso do Firewall Client podemos limitar o acesso a recursos na Internet utilizando nomes de usuários ou grupos.
  • Quando o Firewall Client se conecta com o ISA Server, o serviço Firewall autentica o usuário automaticamente.
  • Podemos utilizar o Firewall Client para configurar o Web Proxy Client automaticamente.
  • O
    Firewall Client suporta muitos tipos de aplicações Winsock, enquanto o
    client Web Proxy só pode ser utilizado para se conectar a recursos na
    Internet utilizando os protocolos HTTP, HTTPS e FTP. O SecureNAT Client
    suporta alguns outros protocolos.

Desvantagens:

  • Para
    que esse tipo de client seja utilizado, devemos instalar um aplicativo
    nas estações de trabalho. Já a configuração do client pode ser feita
    automaticamente através do ISA Server.
  • O
    Firewall Client só pode ser instalado em computadores baseados no
    sistema operacional Windows. Para computadores com outros sistemas
    operacionais, o uso de outro tipo de client será necessário.

Dica para o exame 70-350: O Firewall Client só pode ser instalado em computadores baseados no sistema operacional Windows.

  • SecureNAT Client

Vantagens:

  • Muitas
    das funcionalidades oferecidas pelo Firewall Client também são
    oferecidas pelo SecureNAT Client. Por exemplo, ao bloquear o acesso a
    um determinado site ou liberar o acesso a um determinado protocolo,
    essas regras serão aplicadas perfeitamente para os SecureNAT Clients.
  • Todos os computadores que suportam o protocolo TCP/IP podem ser configurados como SecureNAT Client.

Desvantagens:

  • Com o
    uso do SecureNAT Client não podemos controlar o acesso a recursos
    baseado no nome de usuário ou grupo. Isso não é possível devido ao fato
    de o SecureNAT Client não passar as credenciais de autenticação para o
    ISA Server, o que faz com que o usuário não seja autenticado. Portanto,
    todos os recursos liberados a partir de regras que exijam autenticação
    não serão acessados pelos SecureNAT Clients.
  • O
    SecureNAT Client não suporta diversos protocolos, principalmente
    aqueles que requerem conexões secundárias. O ISA Server possui alguns
    filtros de aplicação (Application Filters) que permitem que os
    SecureNAT Clients utilizem alguns protocolos que requerem conexões
    secundárias.

Dica para o exame 70-350: Quando
publicar um servidor na Internet, não se esqueça de que o servidor deve
estar configurado como SecureNAT Client, ou seja, o default gateway do
servidor publicado deve ser o endereço IP interno do ISA Server. Essa
configuração evitará problemas de publicação e não exige configurações
adicionais.

  • Web Proxy Client

Vantagens:

  • Hoje
    em dia, a maioria dos sistemas operacionais possuem um browser
    compatível com o HTTP 1.1, o que elimina a necessidade de instalação de
    aplicativos nos computadores. A configuração do Web Proxy Client pode
    ser automatizada.
  • Os Web Proxy Clients suportam autenticação, portanto, podemos utilizar regras baseadas em nomes de usuários e grupos.
  • Todas
    as requisições dos Web Proxy Clients passam pelo Web Proxy Filter no
    ISA Server, o que nos permite utilizar o filtro da camada de aplicação
    (Application Layer Filter) para filtrar todo o trafego desses clients.

Desvantagens:

  • O Web Proxy Client suporta apenas os protocolos HTTP, HTTPS e FTP. Nenhum outro protocolo é suportado por esse client.

Dica para o exame 70-350: O
Web Proxy Client suporta apenas os protocolos HTTP, HTTPS e FTP. Para
acesso a recursos que utilizam outros protocolos, utilize o Firewall
Client ou SecureNAT Client.

Diferenças entre os clients

Abaixo temos uma tabela com as principais diferenças entre os clients do ISA Server 2006:

Recurso SecureNAT Firewall Client Web Proxy
Instalação Não requer instalação de client Requer instalação de client Não requer instalação de client
Configuração Requer configuração Requer configuração Requer configuração
Suporte de SO Todos que suportam o TCP/IP Somente Windows Browser compatível com HTTP 1.1
Suporte de Protocolo Exige Application Filters para utilização de alguns protocolos Todas aplicações Winsock HTTP, HTTPS e FTP sobre HTTP
Autenticação de usuário Somente para VPN Suporta Suporta

Dicas para escolha do client

  • Se
    você quer ter pouco trabalho, escolha o SecureNAT Client. A única ação
    que deverá ser tomada é a configuração do default gateway nos
    computadores, o que pode ser feito rapidamente por um servidor DHCP.
  • Se
    você quer um nível maior de segurança, exigindo autenticação, por
    exemplo, escolha o Firewall Client ou Web Proxy Client (de preferência,
    Firewall Client).
  • Para
    aumentar a performance no acesso à Internet em redes que possuem
    computadores com outros tipos de sistema operacional, utilize Web Proxy
    Client ou SecureNAT Client (o Firewall client só pode ser instalado em
    computadores baseados no Windows). Com a utilização de Web Proxy Client
    ou SecureNAT Client podemos aumentar a performance no acesso a Internet
    utilizando o cache. 

Conclusão

É
isso, pessoal, espero que este artigo seja útil para todos. Em caso de
dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre
novos tutoriais que você gostaria de ver publicado neste site, entre
com contato através de e-mail contato@fabianosantana.com.br

De 0 a 10, o quanto você recomendaria este artigo para um amigo?

Fabiano Santana
Saiba mais

Fabiano Santana

edit25 Artigo(s)

Cofundador e CEO do Portal E-VOLV.ME (www.e-volv.me) Santana é formado em Análise de Sistemas, Pós Graduado em Segurança da Informação, possui as certificações PMP, ITIL, Cobit, Scrum Master, entre outras. Mais de 18 anos de experiência atuando em cargos de gestão, liderança e consultoria executiva em grandes empresas nacionais e multinacionais. Autor de 3 livros, centenas de artigos, atuações como professor convidado em cursos de Pós Graduação e dezenas de palestras executadas pelo Brasil afora.