[CT04] Bloqueando acesso a sites baseado em categorias no Forefront TMG 2010

Introdução

Neste tutorial irei mostrar com criar uma regra no Forefront TMG 2010 bloqueando acesso a sites baseados na URL Categories. Com a nova funcionalidade URL Filter, o TMG agora possui um dos sonhos mais antigos dos administradores do ISA Server, o TMG agora possui uma categoria de URLs e um filtro de acesso à web mais refinado, a guia Access Policy trata exclusivamente deste novo recurso de filtro de conteúdo.

1. Conhecendo a guia Web Access Policy:

Quando você abre a console de gerenciamento do Forefront TMG, existem várias guias uma delas que mostrarei aqui é a Web Access Policy, é o lugar onde configuramos toda parte de URL Filter (filtro de acesso web). Para quem ainda não está familiarizado com ferramentas de controle de conteúdo pode ter como ideia algumas soluções existentes no mercado, tipo: SurfControl, DansGuardian(usado no Squid) entre outros concorrentes. Pois é, agora o Forefront TMG possui esta funcionalidade, porém o funcionamento é diferente das demais.

A figura abaixo mostra à guia Web Access Policy indicando duas opções onde você pode criar as regras de acesso à web, com algumas diferenças entre elas:

urlCategories_000 Figura 1: Guia de gerenciamento da Web Access Policy.

Neste tutorial utilizei a opção Create Access Rule para criação da regra, porém as duas opções podem ser usadas para criar uma regra de Web Access Policy:

Configure Web Acess Policy: Ele lhe dar várias opções de configuração para regra a ser criada como mostra a figura abaixo:

 image
 Figura 2: Wizard – Configure Web Access Policy.

Create Access Rule: Esta opção é a forma mais convencional usada pra criar a regra de acesso web, lembra muito uma criação de regra usada na guia Firewall Policy. Esta será a opção que usarei neste tutorial.

Criando a regra bloqueando acesso as URL Categories

1. Com o console de gerenciamento do Forefront aberta, clique em Web Access Policy >> Tasks (lado direito da Console) >> Create Access Rule. Dê um nome a regra a ser criada e clique em Next para continuar:

 image
Figura 3: Criando uma access rule.

2. Em New Access Rule Wizard será necessário definir a ação da regra que estamos criando, como o objetivo aqui é criar uma regra negando acesso, então escolha Deny e clique em Next para continuar:

 image
Figura 4: Escolhendo a ação da regra a ser criada.

3. Neste passo pra quem está acostumado criar uma rega liberando acesso apenas web (HTTP/HTTPS) no ISA Server 2004/2006 irá notar uma diferença na versão Forefront TMG criando uma regra usando a guia Web Access Polocy, a diferença é que ele já adiciona pra você os protocolos referente a navegação que é HTTP/HTTPS. Como é o nosso caso, usaremos a sugestão e clique em Next para continuar:

 image
Figura 5: Escolhendo os protocolos a serem liberado na regra.

4. Agora neste passo iremos definir a origem do trafego originado em que se aplicará esta regra. Clique em Add… e selecione a origem, no exemplo usei Internal (toda rede interna), clique em Next para continuar:

 image
Figura 6: Definindo a origem o qual a regra será aplicada.

5. Agora iremos definir quais serão as categorias que iremos bloquear o acesso:

1. Na tela Access Rule Destinations clique em Add.
2. Em seguida o menu Add Network Entities será apresentado, navegue entre as opções e expanda URL Categories e escolha quais serão as categorias a serem bloqueadas.
3. Clique em Close para fechar.
4. Ciente das categorias escolhidas, clique em Next para continuar.

 image
Figura 7: Escolhendo as categorias a serem bloqueadas.

6. Neste passo iremos dizer a quem se aplica esta regra, no meu exemplo eu defini que a regra será aplicada a todos os usuários da minha rede, então mantive o padrão do Wizard. Clique em Next para continuar:

 image
Figura 8: Definindo a qual usuário ou grupo é aplicado a regra.

7. Na próxima tela será apresentado um resumo da regra que criamos, clique em Finish para concluir.
8. Agora iremos aplicar as configurações da regra que acabmos de criar no Forefront TMG, clique em Apply para salvar:

image
Figura 9:
Aplicando as configurações no Forefront TMG.

9. Em Configuration Change Description você pode optar por descrever as mudanças que você acabou de relizar no TMG, esta função é interessante quando se tem mais de um administrador gerenciando o seu TMG na rede, também não deixa de ser uma forma de documentar. Clique em Apply para continuar:

 image
Figura 10:
Descrevendo as alterações realizadas no TMG.

10. Na próxima tela clique em OK para finalizar.

Criando a regra permitindo o acesso a internet

Neste tutorial eu também criei uma regra que permite o acesso a internet, mais a regra foi posicionada abaixo da regra que nega acesso as categorias proibidas que configurei nos passos acima. Para criar a regra permitindo o acesso à internet é basicamente o mesmo processo.

1. Eu nomeei a regra que libera acesso a internet como Libera acesso a web.
2. Em rule action ao invés de deny eu escolhi a opção
Allow.
3. Neste passo irá aparecer uma tela que não foi apresentada nos passos acima, é a de habilitar ou não a função de Malware Inspection, no meu exemplo eu não habilitei.
4. Na tela Access Rule Destination eu defini que o trafico destinado era a
External (internet).
5. Em Users Set utilizei o mesmo, All Users.

Abaixo a figura mostra as duas regras que criei e posicionamento delas:

 image
Figura 11: As regras criadas neste tutorial.

A figura abaixo mostra o menu das categorias que fica em URL Categories da guia Toolbox:

 image
Figura 12: Menu.

Conclusão

Neste tutorial mostrei como criar uma regra bloqueando o acesso à internet baseado em categorias de url existentes no Forefront TMG (URL Categories) e criando outra regra permitindo o acesso à internet. Lembre-se de tomar cuidado com o posicionamento das regras que são criadas.

Autor: Charles Santos Tavares

E-mail: charlestavares@hotmail.com
Blog: https://charlestavares.wordpress.com
Twitter: @charlesstavares

Sobre charlestavares
Nothing

7 Responses to [CT04] Bloqueando acesso a sites baseado em categorias no Forefront TMG 2010

  1. Fernando disse:

    Parabéns pelo tutorial, gostaria de saber apenas se essas categorias de URL são definidas pelo Administrador ou são "default" da ferramenta?

  2. Charles disse:

    Obrigado Lucas! Então cara… essas Categorias são default, tudo indica que futuramente possa surgir outras categorias… a entidade responsavel por manter essas categorias é o Microsoft Reputation Service (MRS), o servico de URL Filtering depende do MRS.Você também pode colaborar com serviço indicando URLs que estão categorizadas de forma errada, o sistema ainda esta em fase beta, o link para acessar o MRS é: https://www.microsoft.com/security/portal/mrs/default.aspxAbraços!

    • Felipe Zatta disse:

      Charles,

      Tem algum custo adicional na licença do TMG Forefront para utilizar o URL Categories?

      Sites brasileiros estão inclusos nas Categorias? (nas pré definidas).

      Obrigado.

      • charlestavares disse:

        Felipe.

        Quanto ao custo da licença eu não sei informar valores, mas até última vez que vi existe sim um custo. Já sobre sites brasileiros, sim! Estão inclusos e você também pode colaborar quando não houver.

  3. Yarossan disse:

    Charles… Não estou percebendo uma coisa… Eu estou clicando em Query pra ver qual a categoria do site, ele esta dando sempre Unknown… Isso atrapalhará na hora de bloquear certos sites no meu dominio? ou como faço pra atualizar essa lista para dentro do meu computador?

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: