Deixe um comentário

Como criar, e como funcionam as regras no TMG-2010

Bom dia pessoal!
Algumas pessoas têm duvidas de como criar regrar no TMG 2010, nesse artigo explico como funciona a leitura das regras e algumas situações do dia a dia.
Primeiro de tudo, como funciona a leitura das regras, qual a sequencia que são lidas as regras do TMG.  O TMG-2010 como o ISA-2004/2006 usam  o modo TOP – DOWN “De cima para Baixo” a maioria dos Firewalls de borda usam esse método.
Então como isso funciona?
Por exemplo, vamos criar uma regra de acesso web liberado para um diretor da empresa “ISSO ACONTECE MUITO” se criarmos essa regra e colocarmos a mesma abaixo da regra numero 3, no caso a regra ficaria como numero 4,  ele vai continuar a bloquear sites para esse diretor, por que a verificação das regras começa de cima para baixo “do 1 para Last”.
Para essa regra do diretor funcionar ela teria que ser pelo menos a regra numero 2 “com referencia na imagem abaixo.
E a regra em si é lida da seguinte forma:
1- Action: Allow ou Deny “liberando ou Negando”
2- Protocols:protocolos descritos na regra ex : HTTP – DNS
Mais adiante explico como criar protocolos
3- From/listener: De onde parte a solicitação.
Mais adiante explico como criar objetos como computadores e ranges etc.
4- To: Para onde vai essa solicitação.
5- Condition: você pode colocar um usuário ou um grupo especifico.
Agora aonde ir para começar a criar uma regra no TMG 2010 e como criar?
No console do TMG 2010 clique com o direito em Firewall Policy vá em New e clique em access rule, como mostrado na imagem abaixo.

Até ai tudo tranquilo, vamos ao nome da regra. Na maioria das empresas existem padrões.
Aqui segue exemplo:
Nome: Consulta DNS IN > OUT
Isso seria uma regra de consulta DNS da rede interna para externa, no caso usando DNS externo para consultas de navegação na internet.
O nome da regra tem que ser clara e de preferencia com uma descrição, para o melhor entendimento de futuros e outros administradores.
Depois de adicionarmos o nome da regra e clicarmos em next, vamos configurar a regra para negar ou liberar, “allow ou deny”.

                Em seguida vamos configurar qual protocolo essa regra vai usar. Vamos clicar em Add e selecionar o protocolo em uma relação padrão do TMG-2010 no ISA-2004/2006 funciona da mesma forma.
               Aqui já podemos criar um protocolo especifico para algum tipo de serviço “clique em New e vá em protocolo”, mas vou mostrar com mais detalhe logo adiante. Aqui vamos selecionar o protocolo, de um clique duplo ou marque e clique em add em segui em close. Pronto o protocolo já esta adicionado a regra.

No caso do protocolo ser o HTTP em seguida vem a configuração do Malware Inspection, “Enable” ou “Do not Enable” 
 Em seguida vem a configuração de onde partirá a solicitação, no caso “computador, range, rede, etc.” aqui já podemos criar os objetos. Mas vou explicar com detalhe mais adiante como criar o objeto.
Agora vem a configuração do destino da solicitação, aqui podemos adicionar além dos objetos de destino tem também, “lista de domínios, lista de sites, lista de categorias”.
Em seguida vamos fazer as configurações de usuários para está regra, clique em add. Aqui podemos colocar “usuários e grupo de usuários”. Mais adiante vou mostrar como configurar outros grupos de usuário.
Em seguida um resumo finalizando a criação da regra.
Agora vou falar da criação de objeto no TMG 2010, do lado direito do console tem uma “ToolBox” como vocês podem ver na imagem abaixo. Se a aba não aparecer clique onde indica a seta.

           Nessa aba “ToolBox” podemos criar “protocolos, objetos de grupos e usuários, objetos para regra de conteúdo, objetos de agendamento e objetos de redes como “computadores, redes, ranges, etc.”

Criando o objeto de computador:
                Na aba toolbox, vá em Network Objects, clique em New, vá em Computer, na janela que foi aberta coloque o nome do computador, no ip você pode digitar ou ir em browse, em descrição informe que computador é aquele ou no caso de servidor, qual serviço ele roda.

Criando um objeto de grupo de computadores:
                Na aba toolbox, vá em Network Objects, clique em New, clique em Computer set. vamos colocar o nome do grupo e a descrição, em seguida vamos adicionar os computadores que farão parte deste grupo.
  

Quando clicamos em Add algumas opções são dadas “Computer, Address Range, Subnet”.

                Aqui adicionei dois computadores do departamento de contabilidade, clicando em ok o grupo está criado. Podendo ser usado na criação da regra da conectividade social. É claro que não é só para a regra da conectividade social, você pode quere fazer um grupo de computadores para acesso livre web por exemplo


Criando protocolos específicos:
                Na aba toolbox, vá em Protocols, clique em New, vá em protocolo. Na definição do nome é muito importante ser bem claro e objetivo no exemplo vou colocar “conectividade social” clique em next.

                Em seguida clique em new.
    Em protocol type “TCP,UDP,ICMP,IP-Level” isso é de acordo com a necessidade, aqui vai ser “TCP”. Em direction “outbound ou inbound”, port range vou colocar aqui a porta usada pelo conectividade social “2631”, em “origem = from” e “destino = to”. Em seguida clique em ok.


Na imagem abaixo você pode ver o protocolo adicionado, em seguida clique em next.
Em seguida não vamos criar conexões secundarias, clique em next, e por fim vai aparecer um resumo do protocolo, clique em finish.
Agora lá na aba “toolbox” em protocols tem uma pasta “User-Defined” nessa pasta vais estar todos os protocolos criados pelos administradores.


Criando Usuarios ou Grupos de usuarios específicos:
                Na aba toolbox, vá em Users, clique em New. Na janela que foi aberta coloque o nome do grupo.

Em seguida clique em add, aqui você tem as opções de “Windows Users and groups, LDAP, RADIUS, SerurID” vou usar no exemplo “Windows Users and groups”
Criei um grupo local para o exemplo, Diretoria em seguida clique em next.


             Por fim veja o resumo da criação do grupo e clique em finish.

Agora na aba “toolbox” em Users você pode ver o grupo “Diretoria Geral” criado.

Criando regras especificas com os objetos criados:
                Regra de acesso web liberado para a Diretoria Geral.
                O processo de criação é o mesmo do inicio do artigo, vamos criar a regra com Allow “permitindo” na seleção do protocolo vamos usar HTTP, em Malware Inspection acho legal deixar habilitado pois é acesso livre.
                Em from “origem=from”  vamos adicionar o computador do diretor geral, conforme a imagem abaixo, clique em next.
Em destino vamos colocar externo e clicar em next, em users vamos remover “all users” e adicionar o grupo criado “Diretoria Geral” conforme imagem abaixo e clique em next.

Em seguida em finish, veja na imagem abaixo a regra criada.


Podemos ainda coloca um schedule “agendamento” para que os usuários dessa regra só tenha acesso liberado em um determinado horário. Clique com o direito na regra vé em propriedades, vá na aba schedule e clique em New faça a configuração e clique em ok. No exemplo abaixo está liberado para uso das 12:00 as 14:00.

Basicamente é isso, existem muitas formas de implementação de regras, fiquem a vontade para tirar duvidas ou sugestões: ewerton_stabile@yahoo.com.br
Abraço a todos!


1 comentário

Prêmio Microsoft de Contribuintes da Comunidade

Boa noite pessoal!!
Faz um tempo que não posto aqui, mas é por falta de tempo mesmo.
E é com alegria que estou postando hoje. 
Recebi um e-mail de reconhecimento da Microsoft como contribuidor das comunidades técnicas da Microsoft “TechNet e Foruns”.
Como parte do premio, posso usar algumas logos em artigos e tutoriais, além disso recebi um acesso em um site para contribuintes.



Ah! Na segunda dia 25/04/11 passei na prova 70-659 “Windows Server 2008 R2 Virtualization” estou com o resumo pronto aqui, nos próximos dias devo postar.
Grande abraço a todos!!!
Qualquer coisa entrem em contato: ewerton_stabile@yahoo.com.br


Deixe um comentário

TechNet Wiki – Publicando artigos em Português Brasil

Boa noite pessoal ou bom dia.



Tô postando aqui para divulgar o TechNet Wiki. Mais uma fonte de contribuição com artigos técnicos em PT-BR “Português Brasil”.

Eu já fiz a minha primeira contribuição segue o link.
Habilitando lixeira no Active Directory Domain Service no Windows Server 2008 R2

Abraço a todos!!!
Qualquer dúvida entrem em contato.
e-mail: ewerton_stabile@yahoo.com.br