FACULDADE DE TECNOLOGIA OSWALDO CRUZ – FATEC

Mantenedora Pró-Técnica Paulista S/C LTDA

Curso Superior de Tecnologia em Redes Operacionais

TRABALHO ISA SERVER

Redes Operacionais – 4º Módulo

Leandro Marques
Douglas Alexandre
Jadilson Santos
Wagner Chamas
Rondineli Saad

São Paulo
2005
 2

SUMÁRIO

SUMÁRIO...............................................................................................................................................2

1 - Introdução

A Internet tem se tornando um fator extremamente importante para a realização de

acesso a serviços e comunicação entre as corporações, para realização de negócios.
Com isso um desafio e necessidade se tornaram importante que é a proteção do
acesso à rede interna das corporações e bloqueios de determinados serviços que
possam comprometer a funcionalidade da rede interna. Três fatores se tornaram
importante:
• Garantir a segurança da rede interna, pois contem servidores operacionais
com dados confidenciais da empresa;
• Controle de acesso à internet aos usuários, pois sabemos que acesso a
conteúdos sem fins profissionais diminui a produtividade dos funcionários;
• Minimizar os custos com banda de acesso à internet.

O ISA Server foi concebido sobre quatro pilares:

• Segurança – Utilizando um firewall escalonável e multicamadas;
• Performance - Rápido acesso com um cachê escalonável e de alta
performance;
 3

• Gerenciamento – Gerenciamento e políticas robusto e integrado ao Windows

2000 e 2003;
• Extensibilidade – Plataforma superior para a extensão e customização,
utilizando-se de recursos de terceiros para ter uma maior disponibilidade nos
serviços.

2 - ISA Server

O Microsoft Internet Security & Acceleration (ISA) Server 2004 é um firewall de

camada de aplicação e inspeção avançada de pacotes, um servidor de rede privada
virtual (VPN), solução de detecção de intrusos e uma solução de cache Web que
permite aos clientes maximizarem facilmente os investimentos em TI aumentando a
segurança e o desempenho da rede.
Pode ser encontrados em duas edições, Standard Edition e Enterprise Edition, ambas
possuindo o mesmo conjunto de funções, sendo a edição Standard voltada para
servidor único, suportando até quatro processadores, enquanto a segunda é adequada
para implementações em larga escala, suporte a cadeias de servidores e políticas de
vários níveis com mais de quatro processadores.
O Microsoft® Internet Security and Acceleration (ISA) Server fornece suporte a três
tipos de clientes:
• Clientes firewall são computadores clientes que possuem um software
Firewall Client instalado e habilitado.

• Clientes SecureNAT (conversão de endereço de rede seguro) são

computadores clientes que não possuem o Firewall Client instalado.

• Clientes de proxy da Web são aplicativos Web clientes configurados para

usar o ISA Server.

Os computadores Cliente firewall e Cliente SecureNAT podem ser também Clientes

de proxy da Web. Se o aplicativo da Web no computador estiver configurado
 4

explicitamente para usar o ISA Server, todas as solicitações da Web (HTTP, FTP,
HTTPS e Gopher) serão enviadas diretamente ao serviço de Proxy da Web. Todas as
outras solicitações serão tratadas primeiro pelo serviço de Firewall.

A tabela a seguir compara os clientes ISA Server.

Recurso Cliente SecureNAT Cliente firewall Cliente de proxy da

Web
 5

Requisitos de Algumas alterações na Sim Não. Configuração

instalação configuração de rede de navegador da Web
exigidas exigida
Suporte para sistema Qualquer sistema Somente Todas as
operacional operacional que plataformas plataformas, mas por
forneça suporte para Windows meio de aplicativos
TCP/IP (Protocolo de da Web
Controle de
Transmissão/Protocol
o Internet)
Suporte a protocolo Filtros de aplicativos Todos os HTTP (Protocolo de
para vários protocolos aplicativos Transferência de
de conexão exigidos Winsock Hipertexto), HTTPS
(HTTP seguro), FTP
(Protocolo de
Transferência de
Arquivo) e Gopher
Autenticação no Algumas alterações na Sim Sim
nível do usuário configuração de rede
exigidas
Aplicativos de Nenhuma Arquivo de Não aplicável
servidor configuração ou configuração
instalação exigida exigido

2.1 - Firewall

Mecanismo utilizado para controlar pacotes que trafegam nas suas interfaces da rede,
analisando os cabeçalhos dos pacotes, verificando quais tipos de serviços estes
pacotes está requisitando. O firewall tem de 2 a 3 interfaces de rede, possibilitando
uma segmentação e separação entre as redes, criando assim redes perimetrais para
fins de segurança. Por exemplo, com duas interfaces de redes o firewall separaria a
rede Internet da rede Interna e com 3 interfaces de rede o firewall separa a rede
Internet da rede DMZ (rede desmilitarizada) e as duas da rede Interna, ou seja 3 redes
distintas se formam neste layout apresentado, controlando o acesso indevido nestas
redes.
O sistema de proteção do firewall ISA Server é multi-camadas, ou seja, atinge várias
camadas de rede, desde camadas inferiores filtrando os pacotes até a camada de
aplicação.
 6

O ISA Server por padrão vem com todas as regras negando o serviço, cabendo o
administrador a permitir tanto o acesso da rede interna quanto a rede Internet.
Utilizando uma tecnologia licenciada pela Internet Security System o ISA é capaz de
detectar qualquer tentativa de invasão vinda da rede Internet. O ISA permiti
configurar alertas a serem enviadas via e-mails, relatórios ou parada de serviços caso
aja uma tentativa de invasão.
Na camada de aplicação existem os filtros “smart” que inspeciona os pacotes e são
capazes de tratar os dados baseados no protocolo utilizado. Por exemplo, o protocolo
SMTP terá um filtro SMTP que tratará os dados pela origem, destino, conteúdo,
anexo e comandos do SMTP.

2.1.1 - Modelo Bastion Host

Topolia que utiliza o ISA Server com duas interfaces de rede, uma destinada a rede
Interna e outra a rede Internet, controlando assim o tráfego de pacotes entrantes e
saintes.

Internet

MZ-LAN

2.1.2 - Three-Homed
 7

Mais conhecida como rede de perímetro, ou rede Desmilitarizada, onde o ISA Server
é instalada com 3 interfaces de rede.
Internet

DMZ

MZ-LAN

2.1.3 - Modelo Back-to-Back

Topologia que utiliza 2 firewall, ou seja, cria uma redundância na proteção.

Internet

DMZ

MZ-LAN

2.2. - SecureNAT

A técnica chamada NAT que converte o endereço de origem e destino em um

endereço válido na rede que são transmitidas.
 8

O ISA Server compartilha o acesso a internet utilizando uma técnica chamada NAT
(N:1), onde ao tentar acessar a rede Internet o endereço de origem é o endereço da
estação, enquanto que o endereço de destino é o endereço Internet. Ao passar pelo
servidor NAT o endereço de origem é alterado e o endereço público do NAT é
utilizado, tornando o pacote válido para a comunicação na Internet. Para o host de
destino quem começou a comunicação foi o Servidor NAT e não a estação da rede
Interna. Quando o pacote retorna, ele volta para o Servidor NAT que consulta a sua
tabela de IP e encaminha o pacote para a estação correspondente, tornando assim a
comunicação transparente para todas as estações da rede Interna.
Para a publicação de Servidores Internos a técnica NAT(1:1) é utilizada. A partir de
uma regra de publicação, define-se que todas as requisições oriundas da internet em
uma determinada porta sejam redirecionadas para um endereço ip interno utilizando
uma determinada porta. Ao receber uma solicitação o NAT converte o endereço de
destino e a respectiva porta e a entrega no Servidor Interno. No retorno novamente é
feita à conversão para que assim ocorra de uma forma transparente a comunicação
para os clientes na web. Com estes serviços, pode-se hospedar Servidores que
disponibilizam serviços para a Internet, utilizando protocolos TCP e UDP.
Abaixo layout da implementação do modelo Secure Publishing, onde é usado o NAT
(1:1):
 9

Rotas
Fonte: Cliente IP
Destino: Servidor Interno
Porta: 80

Servidor de Publicação

Internet
ISA

Rotas
Fonte: Cliente IP Internet
Destino: IP Público do ISA
Porta: 80

2.3 - VPN

Redes Privadas interconectadas de forma segura através de uma rede pública

(internet), ou seja, de qualquer lugar do mundo o usuário pode se conectar a rede
corporativa utilizando todos os recursos presentes na rede. O ISA Server estende o
serviço de VPN presente no Windows 2000 e 2003 Server, protegendo com os
recursos de firewall, permitindo uma comunicação segura que podem ser baseado em
dois protocolos de enfunilamento o PPTP (implementação mais simples) e o L2TP
(baseado na infra-estrutura de chave pública e por isso é considerado ainda mais
seguro). Para a encriptação dos pacotes o protocolo MPPE e utilizado em conjunto
com o PPTP e o IPSec é utilizado em conjunto com o L2TP.
Abaixo segue o layout da implementação do recurso VPN usando o ISA Server:
 10

ISA

PN
l V
n e
T ú

Host Remoto

2.4 - Web Caching

Para um sensível acréscimo de performance e otimização da banda da Internet

disponível, o ISA Server disponibiliza um robusto sistema de cache de objetos HTTP
e FTP. O cache é disponibilizado em memória que minimiza o uso de disco e
aumenta a performance geral de cache, sendo 20% mais rápido que o Proxy Server.
Sites onde o acesso é constante o download pode ser agendado para um maior
desempenho.

2.4.1 - Foward Caching

 11

Possibilita que seja armazenado o conteúdo do site que foi visitado para que um
outro usuário possa utilizá-lo sem a necessidade de se fazer o download novamente.
Sendo os objetos entregues pelo ISA Server diretamente para o próximo usuário
solicitante.

2.5 - Monitoramento

Alertas podem ser configuradas no ISA Server, onde a ação de envio de mensagens
de correio eletrônico, execução de arquivos e registro em log do sistema, podem ser
disparados quando determinados eventos ocorrerem no ISA. Entre os eventos
suportados estão: Tentativa de invasão; parada de serviços; falha do cache e ações de
filtros.
Os seguintes recursos no ISA Server são encontrados:
• Dashboard - Visão centralizada do status do Firewall: Tempo, Dados
consolidados, Fácil de detectar problemas.
• Alerts – Um único local para todos os problemas: Histórico dos alertas,
Gerência dos alertas, Serveridade e categoria.
• Sessions – Vizualiza sessões ativas: Mecanismo poderoso de consultas,
Sessões VPN, Possibilidade de desconectar uma sessão.
• Services – Status do ISA e serviços dependentes: Parar e iniciar os serviços
• Reports - Conjunto completo de relatórios de atividade Relatórios periódicos,
Notificação por e-mail, Publicação dos relatórios.
• Conectividade – Monitora conectividade aos serviços críticos: Tipos de
requisição, Tempo de resposta & limites para alerta, Agrupamento.
• Logs e Histórico – Visualizar o tráfego passando pelo ISA: Modo “tempo
real”, Histórico, Mecanismo poderoso de consulta.
2.6 - Logs

Registra todo o tráfego que passa pelo firewall e pelo Web Proxy. Os logs podem ser
customizados, podendo ser selecionados os campos mais destacáveis e pela
freqüência dos registros.

2.7 - Registros
 12

O ISA Server suporta a criação de relatórios, sendo estes gerados pela coleta da
informação de tráfegos que passam pelo servidor. Os dados que geralmente geram o
registro são: dados sobre o uso de web caching; usuários que mais utilizam a internet;
protocolos mais usados; sites mais acessados e outros parâmetros.

3 - Concorrentes OpenSources do ISA Server

Para implementar todos os recursos que são encontrados no ISA Server utilizando o
Opensource, deveremos utilizar ferramentas autônomas que gerarão resultados
parecidos com os encontrados no ISA Server. Abaixo estão à relação de recursos
utilizados no mundo opensource:

• Sniffer – A maioria das distribuições opensources por padrão traz sniffers

poderosos como tcpdump, ngrep, sendo estes utilizados em modo console.
Para o modo gráfico podemos destacar o Ethereal, Netpeek, Netdude e
Etherape.

• Análise de vulnerabilidade – Alguns programas são utilizados para analisar

portas abertas que podem danificar a rede, problema no SMTP, Backdoors,
Denial of Services e outros. O Nessus é um programa utilizado tanto no modo
console quanto no gráfico para exibir vulnerabilidades encontradas na rede. O
Nessus exibe os resultados em um relatório que pode ser gerado por
vulnerabilidades especificas que foi solicitada pelo Administrador.

• Firewall – Para a proteção contra invasões na rede é utilizado o firewall

IPTables que utiliza o modo Pacote Stateful , onde o host X ao requisitar o
uso da porta X com o host Y, ao receber a resposta o host Y não precisa fazer
uma outra requisição pois o caminho já foi decorado pelo Firewall.

• IDS – Para a identificação de intrusão é utilizada o SNORT uma ferramenta

open-source poderosa de IDS, que trabalha com uma base de assinaturas de
 13

ataques em vários sistemas operacionais e serviços entre quais podemos

destacar: IIS, SQL Server, Trojans (Subseven, BO2K, NetBus).

• Controle de Conteúdo e Web Caching - Para o controle de lista negra,

Controle temporizado, Controle por usuário, grupo e ou máquina, Definindo
conteúdo em específico, Relatório legível das atividades (html), Controle de
banda por usuário Cache de página para todos os usuários é utilizado o proxy
Squid.

• VPN - Permitir controle de acesso, integridade, confiabilidade,

confidencialidade e autenticação no nível de rede através de criptografia
forte.usando IPSEC padrão aberto proposto pelo IETF, suporte a X.509
certificate e compatibilidade com outros produtos de VPN (Win/2k/Check
Point/ Cisco) Solução de segurança fim-a-fim entre roteadores, firewalls,
estações de trabalho e servidores. Implementação em Linux com custo
inferior a qualquer solução similar em outra plataforma. A ferramenta mais
popular para VPN na comunidade Linux é o projeto FreeSwan Kernel 2.4 ou
Kame Kernel 2.6.

• Gerenciamento e Monitoramento – Para o gerenciamento dos servidores

que serão implantados no modelo de rede Opensource, será utilizado o
Webmin, que via http, usando o protocolo SSL gera uma tela administrativa
com todos os servidores existentes na rede. Para o Monitoramento da rede
utilizaremos o software Netsaint e o Nagios que gera relatórios de erros e logs
dos servidores.

4 - Simulação de Caso
Imagine uma empresa de médio porte que deseja fazer um projeto de criação de
domínio, Servidor de e-mail e integrar a rede de sua filial do Rio de Janeiro com sua
matriz em São Paulo. No escopo do projeto foi definido que será necessário:
• Servidor DNS Primário e um Secundário;
• Servidor de Correio e Webmail com criptografia;
• Servidor Web para páginas dinâmicas (com ftp);
• Sistema de Detecção de Intrusos ;
• Firewalls;
• VPN com a Filial.

4.1 - Situações Atual

 14

Internet Internet

Modem ADSL Modem ADSL

RIO SAO

4.2 - Ferramentas de Segurança para o Projeto

• Ferramentas para análises de vulnerabilidades _

• Controle de Conteúdo da Web _
• Sistemas de IDS _
• Firewall _
• VPN _
• Monitoramento de Redes _
• Sniffers _
• Scanners _
• Criptografia _
• NAT
 15

4.3 - Solução com ISA Server

SAO RIO
Internet

Recursos

Win2k3
Rede VPN
Firewall
Demilitarizada ISA
IDS ISA
Proxy
Logs
NAT

E-mail DNS
Rede Interna Rede Interna

Proxy Aplicativos Proxy Aplicativos

 16

4.4 - Solução com Software Livre

SAO RIO
Internet

Recursos

Linux
Rede VPN
Firewall
Demilitarizada IDS
Proxy
Gateway
Logs
NAT

E-mail DNS
Rede Interna Rede Interna

Proxy Aplicativos Proxy Aplicativos

 17

4. 5 - Solução com Ambos formando um modelo Back-to-Back

Acesso VPN

ISA
Rede
Demilitarizada

Rede Interna

IPTables E-mail DNS

Proxy Aplicativos

5 - Conclusão

O ISA Server é uma completa solução para o gerenciamento da segurança e acesso

web em redes corporativas, recursos como firewall integrado, suporte a VPN,
detecção de intrusões (IDS), Servidor Cache Corporativo, Servidor NAT(N:1) e NAT
(1:1); possibilidade de extensão para a solução acompanhar a evolução da empresa,
 18

faz o ISA Server uma solução recomendada para satisfazer a necessidade que
surgirem com o acesso a Internet. Contudo os recursos Opensources não deixa a
desejar, pois tem aplicativos que mantem a integridade da segurança na rede, porém
para implantar todos os recursos é necessário um conjunto de aplicativos
independentes e se preocupar em manter todos estes programas funcionais, senão a
falha no sistema se torna catastrófica.
6 – Bibliografia

MELO, Sandro. Implementando Projetos de Segurança de Redes usando

"Software Livre". 2005. Endereço Eletrônico:
http://www.4linux.com.br/pdf/Seg_softwarelivre_cnasi2005_2p.pdf

BRASIL, Technet. Tipos de cliente do ISA Server . 2005. Endereço Eletrônico:

http://www.technetbrasil.com.br/Downloads/ArtigosTecnicos/isa/ISASCT.doc