quarta-feira, 30 de novembro de 2011

Como criar, e como funcionam as regras no TMG-2010


Bom dia pessoal!
Algumas pessoas têm duvidas de como criar regrar no TMG 2010, nesse artigo explico como funciona a leitura das regras e algumas situações do dia a dia.

Primeiro de tudo, como funciona a leitura das regras, qual a sequencia que são lidas as regras do TMG.  O TMG-2010 como o ISA-2004/2006 usam  o modo TOP – DOWN “De cima para Baixo” a maioria dos Firewalls de borda usam esse método.

Então como isso funciona?
Por exemplo, vamos criar uma regra de acesso web liberado para um diretor da empresa “ISSO ACONTECE MUITO” se criarmos essa regra e colocarmos a mesma abaixo da regra numero 3, no caso a regra ficaria como numero 4,  ele vai continuar a bloquear sites para esse diretor, por que a verificação das regras começa de cima para baixo “do 1 para Last”.
Para essa regra do diretor funcionar ela teria que ser pelo menos a regra numero 2 “com referencia na imagem abaixo.
E a regra em si é lida da seguinte forma:
1- Action: Allow ou Deny “liberando ou Negando”
2- Protocols: protocolos descritos na regra ex : HTTP – DNS
Mais adiante explico como criar protocolos
3- From/listener: De onde parte a solicitação.
Mais adiante explico como criar objetos como computadores e ranges etc.
4- To: Para onde vai essa solicitação.
5- Condition: você pode colocar um usuário ou um grupo especifico.
Agora aonde ir para começar a criar uma regra no TMG 2010 e como criar?
No console do TMG 2010 clique com o direito em Firewall Policy vá em New e clique em access rule, como mostrado na imagem abaixo.

Até ai tudo tranquilo, vamos ao nome da regra. Na maioria das empresas existem padrões.
Aqui segue exemplo:
Nome: Consulta DNS IN > OUT
Isso seria uma regra de consulta DNS da rede interna para externa, no caso usando DNS externo para consultas de navegação na internet.

O nome da regra tem que ser clara e de preferencia com uma descrição, para o melhor entendimento de futuros e outros administradores.
Depois de adicionarmos o nome da regra e clicarmos em next, vamos configurar a regra para negar ou liberar, “allow ou deny”.


                Em seguida vamos configurar qual protocolo essa regra vai usar. Vamos clicar em Add e selecionar o protocolo em uma relação padrão do TMG-2010 no ISA-2004/2006 funciona da mesma forma.
               Aqui já podemos criar um protocolo especifico para algum tipo de serviço “clique em New e vá em protocolo”, mas vou mostrar com mais detalhe logo adiante. Aqui vamos selecionar o protocolo, de um clique duplo ou marque e clique em add em segui em close. Pronto o protocolo já esta adicionado a regra.

No caso do protocolo ser o HTTP em seguida vem a configuração do Malware Inspection, “Enable” ou “Do not Enable” 
 Em seguida vem a configuração de onde partirá a solicitação, no caso “computador, range, rede, etc.” aqui já podemos criar os objetos. Mas vou explicar com detalhe mais adiante como criar o objeto.
Agora vem a configuração do destino da solicitação, aqui podemos adicionar além dos objetos de destino tem também, “lista de domínios, lista de sites, lista de categorias”.
Em seguida vamos fazer as configurações de usuários para está regra, clique em add. Aqui podemos colocar “usuários e grupo de usuários”. Mais adiante vou mostrar como configurar outros grupos de usuário.
Em seguida um resumo finalizando a criação da regra.

Agora vou falar da criação de objeto no TMG 2010, do lado direito do console tem uma “ToolBox” como vocês podem ver na imagem abaixo. Se a aba não aparecer clique onde indica a seta.



           Nessa aba “ToolBox” podemos criar “protocolos, objetos de grupos e usuários, objetos para regra de conteúdo, objetos de agendamento e objetos de redes como “computadores, redes, ranges, etc.”


Criando o objeto de computador:
                Na aba toolbox, vá em Network Objects, clique em New, vá em Computer, na janela que foi aberta coloque o nome do computador, no ip você pode digitar ou ir em browse, em descrição informe que computador é aquele ou no caso de servidor, qual serviço ele roda.


Criando um objeto de grupo de computadores:
                Na aba toolbox, vá em Network Objects, clique em New, clique em Computer set. vamos colocar o nome do grupo e a descrição, em seguida vamos adicionar os computadores que farão parte deste grupo.
  

Quando clicamos em Add algumas opções são dadas “Computer, Address Range, Subnet”.


                Aqui adicionei dois computadores do departamento de contabilidade, clicando em ok o grupo está criado. Podendo ser usado na criação da regra da conectividade social. É claro que não é só para a regra da conectividade social, você pode quere fazer um grupo de computadores para acesso livre web por exemplo


Criando protocolos específicos:
                Na aba toolbox, vá em Protocols, clique em New, vá em protocolo. Na definição do nome é muito importante ser bem claro e objetivo no exemplo vou colocar “conectividade social” clique em next.

                Em seguida clique em new.
    Em protocol type “TCP,UDP,ICMP,IP-Level” isso é de acordo com a necessidade, aqui vai ser “TCP”. Em direction “outbound ou inbound”, port range vou colocar aqui a porta usada pelo conectividade social “2631”, em “origem = from” e “destino = to”. Em seguida clique em ok.


Na imagem abaixo você pode ver o protocolo adicionado, em seguida clique em next.

Em seguida não vamos criar conexões secundarias, clique em next, e por fim vai aparecer um resumo do protocolo, clique em finish.

Agora lá na aba “toolbox” em protocols tem uma pasta “User-Defined” nessa pasta vais estar todos os protocolos criados pelos administradores.


Criando Usuarios ou Grupos de usuarios específicos:
                Na aba toolbox, vá em Users, clique em New. Na janela que foi aberta coloque o nome do grupo.


Em seguida clique em add, aqui você tem as opções de “Windows Users and groups, LDAP, RADIUS, SerurID” vou usar no exemplo “Windows Users and groups”



Criei um grupo local para o exemplo, Diretoria em seguida clique em next.


             Por fim veja o resumo da criação do grupo e clique em finish.


Agora na aba “toolbox” em Users você pode ver o grupo “Diretoria Geral” criado.


Criando regras especificas com os objetos criados:
                Regra de acesso web liberado para a Diretoria Geral.
                O processo de criação é o mesmo do inicio do artigo, vamos criar a regra com Allow “permitindo” na seleção do protocolo vamos usar HTTP, em Malware Inspection acho legal deixar habilitado pois é acesso livre.
                Em from “origem=from”  vamos adicionar o computador do diretor geral, conforme a imagem abaixo, clique em next.

Em destino vamos colocar externo e clicar em next, em users vamos remover “all users” e adicionar o grupo criado “Diretoria Geral” conforme imagem abaixo e clique em next.

Em seguida em finish, veja na imagem abaixo a regra criada.




Podemos ainda coloca um schedule “agendamento” para que os usuários dessa regra só tenha acesso liberado em um determinado horário. Clique com o direito na regra vé em propriedades, vá na aba schedule e clique em New faça a configuração e clique em ok. No exemplo abaixo está liberado para uso das 12:00 as 14:00.


Basicamente é isso, existem muitas formas de implementação de regras, fiquem a vontade para tirar duvidas ou sugestões: ewerton_stabile@yahoo.com.br
Abraço a todos!


terça-feira, 29 de novembro de 2011

Voltando a postar.


Boa noite pessoal!
É até meio estranho, mas quase um ano atras escrevi um post quase igual. Todo mundo precisa de um tempo para arejar a cabeça, mas nem foi muito tempo arejando a cabeça, foi mais na correria mesmo.
Esse final de semana vou preparar alguns artigos e tutoriais para postar.

Abraço a todos!
Qualquer dúvida: ewerton_stabile@yahoo.com.br