Académique Documents
Professionnel Documents
Culture Documents
Leandro Marques
Douglas Alexandre
Jadilson Santos
Wagner Chamas
Rondineli Saad
São Paulo
2005
2
SUMÁRIO
SUMÁRIO...............................................................................................................................................2
1 - Introdução
2 - ISA Server
explicitamente para usar o ISA Server, todas as solicitações da Web (HTTP, FTP,
HTTPS e Gopher) serão enviadas diretamente ao serviço de Proxy da Web. Todas as
outras solicitações serão tratadas primeiro pelo serviço de Firewall.
2.1 - Firewall
Mecanismo utilizado para controlar pacotes que trafegam nas suas interfaces da rede,
analisando os cabeçalhos dos pacotes, verificando quais tipos de serviços estes
pacotes está requisitando. O firewall tem de 2 a 3 interfaces de rede, possibilitando
uma segmentação e separação entre as redes, criando assim redes perimetrais para
fins de segurança. Por exemplo, com duas interfaces de redes o firewall separaria a
rede Internet da rede Interna e com 3 interfaces de rede o firewall separa a rede
Internet da rede DMZ (rede desmilitarizada) e as duas da rede Interna, ou seja 3 redes
distintas se formam neste layout apresentado, controlando o acesso indevido nestas
redes.
O sistema de proteção do firewall ISA Server é multi-camadas, ou seja, atinge várias
camadas de rede, desde camadas inferiores filtrando os pacotes até a camada de
aplicação.
6
O ISA Server por padrão vem com todas as regras negando o serviço, cabendo o
administrador a permitir tanto o acesso da rede interna quanto a rede Internet.
Utilizando uma tecnologia licenciada pela Internet Security System o ISA é capaz de
detectar qualquer tentativa de invasão vinda da rede Internet. O ISA permiti
configurar alertas a serem enviadas via e-mails, relatórios ou parada de serviços caso
aja uma tentativa de invasão.
Na camada de aplicação existem os filtros “smart” que inspeciona os pacotes e são
capazes de tratar os dados baseados no protocolo utilizado. Por exemplo, o protocolo
SMTP terá um filtro SMTP que tratará os dados pela origem, destino, conteúdo,
anexo e comandos do SMTP.
Topolia que utiliza o ISA Server com duas interfaces de rede, uma destinada a rede
Interna e outra a rede Internet, controlando assim o tráfego de pacotes entrantes e
saintes.
Internet
MZ-LAN
2.1.2 - Three-Homed
7
Mais conhecida como rede de perímetro, ou rede Desmilitarizada, onde o ISA Server
é instalada com 3 interfaces de rede.
Internet
DMZ
MZ-LAN
DMZ
MZ-LAN
2.2. - SecureNAT
O ISA Server compartilha o acesso a internet utilizando uma técnica chamada NAT
(N:1), onde ao tentar acessar a rede Internet o endereço de origem é o endereço da
estação, enquanto que o endereço de destino é o endereço Internet. Ao passar pelo
servidor NAT o endereço de origem é alterado e o endereço público do NAT é
utilizado, tornando o pacote válido para a comunicação na Internet. Para o host de
destino quem começou a comunicação foi o Servidor NAT e não a estação da rede
Interna. Quando o pacote retorna, ele volta para o Servidor NAT que consulta a sua
tabela de IP e encaminha o pacote para a estação correspondente, tornando assim a
comunicação transparente para todas as estações da rede Interna.
Para a publicação de Servidores Internos a técnica NAT(1:1) é utilizada. A partir de
uma regra de publicação, define-se que todas as requisições oriundas da internet em
uma determinada porta sejam redirecionadas para um endereço ip interno utilizando
uma determinada porta. Ao receber uma solicitação o NAT converte o endereço de
destino e a respectiva porta e a entrega no Servidor Interno. No retorno novamente é
feita à conversão para que assim ocorra de uma forma transparente a comunicação
para os clientes na web. Com estes serviços, pode-se hospedar Servidores que
disponibilizam serviços para a Internet, utilizando protocolos TCP e UDP.
Abaixo layout da implementação do modelo Secure Publishing, onde é usado o NAT
(1:1):
9
Rotas
Fonte: Cliente IP
Destino: Servidor Interno
Porta: 80
Servidor de Publicação
Internet
ISA
Rotas
Fonte: Cliente IP Internet
Destino: IP Público do ISA
Porta: 80
2.3 - VPN
ISA
PN
l V
n e
T ú
Host Remoto
Possibilita que seja armazenado o conteúdo do site que foi visitado para que um
outro usuário possa utilizá-lo sem a necessidade de se fazer o download novamente.
Sendo os objetos entregues pelo ISA Server diretamente para o próximo usuário
solicitante.
2.5 - Monitoramento
Alertas podem ser configuradas no ISA Server, onde a ação de envio de mensagens
de correio eletrônico, execução de arquivos e registro em log do sistema, podem ser
disparados quando determinados eventos ocorrerem no ISA. Entre os eventos
suportados estão: Tentativa de invasão; parada de serviços; falha do cache e ações de
filtros.
Os seguintes recursos no ISA Server são encontrados:
• Dashboard - Visão centralizada do status do Firewall: Tempo, Dados
consolidados, Fácil de detectar problemas.
• Alerts – Um único local para todos os problemas: Histórico dos alertas,
Gerência dos alertas, Serveridade e categoria.
• Sessions – Vizualiza sessões ativas: Mecanismo poderoso de consultas,
Sessões VPN, Possibilidade de desconectar uma sessão.
• Services – Status do ISA e serviços dependentes: Parar e iniciar os serviços
• Reports - Conjunto completo de relatórios de atividade Relatórios periódicos,
Notificação por e-mail, Publicação dos relatórios.
• Conectividade – Monitora conectividade aos serviços críticos: Tipos de
requisição, Tempo de resposta & limites para alerta, Agrupamento.
• Logs e Histórico – Visualizar o tráfego passando pelo ISA: Modo “tempo
real”, Histórico, Mecanismo poderoso de consulta.
2.6 - Logs
Registra todo o tráfego que passa pelo firewall e pelo Web Proxy. Os logs podem ser
customizados, podendo ser selecionados os campos mais destacáveis e pela
freqüência dos registros.
2.7 - Registros
12
O ISA Server suporta a criação de relatórios, sendo estes gerados pela coleta da
informação de tráfegos que passam pelo servidor. Os dados que geralmente geram o
registro são: dados sobre o uso de web caching; usuários que mais utilizam a internet;
protocolos mais usados; sites mais acessados e outros parâmetros.
Para implementar todos os recursos que são encontrados no ISA Server utilizando o
Opensource, deveremos utilizar ferramentas autônomas que gerarão resultados
parecidos com os encontrados no ISA Server. Abaixo estão à relação de recursos
utilizados no mundo opensource:
4 - Simulação de Caso
Imagine uma empresa de médio porte que deseja fazer um projeto de criação de
domínio, Servidor de e-mail e integrar a rede de sua filial do Rio de Janeiro com sua
matriz em São Paulo. No escopo do projeto foi definido que será necessário:
• Servidor DNS Primário e um Secundário;
• Servidor de Correio e Webmail com criptografia;
• Servidor Web para páginas dinâmicas (com ftp);
• Sistema de Detecção de Intrusos ;
• Firewalls;
• VPN com a Filial.
Internet Internet
RIO SAO
SAO RIO
Internet
Recursos
Win2k3
Rede VPN
Firewall
Demilitarizada ISA
IDS ISA
Proxy
Logs
NAT
E-mail DNS
Rede Interna Rede Interna
SAO RIO
Internet
Recursos
Linux
Rede VPN
Firewall
Demilitarizada IDS
Proxy
Gateway
Logs
NAT
E-mail DNS
Rede Interna Rede Interna
Acesso VPN
ISA
Rede
Demilitarizada
Rede Interna
Proxy Aplicativos
5 - Conclusão
faz o ISA Server uma solução recomendada para satisfazer a necessidade que
surgirem com o acesso a Internet. Contudo os recursos Opensources não deixa a
desejar, pois tem aplicativos que mantem a integridade da segurança na rede, porém
para implantar todos os recursos é necessário um conjunto de aplicativos
independentes e se preocupar em manter todos estes programas funcionais, senão a
falha no sistema se torna catastrófica.
6 – Bibliografia