Início > Fore Front TMG 2010 > TMG Firewall Client x Symantec IPS

TMG Firewall Client x Symantec IPS

Saudações,

Essa semana recebemos uma solicitação de um de nossos clientes acerca do Firewall Client do TMG.

Eles irão implementar um IPS da Symantec e além de monitorar todo tráfego de sua rede, querem também fazer o mesmo com o tráfego gerado pelo Firewall Client.

Em um primeiro momento expliquei que o tráfego não poderia ser monitorado, pois, ocorre a criação de um canal encriptado na porta 1745.

Resolvi pesquisar o tema a fundo e até pedi algum material para meu amigo Paulo Oliveira (que me ajudou com muita coisa boa).

Como o cliente não se contentou com a negativa a seu pedido, resolvi chancelar minha análise com a ajuda da Microsoft e abri um case para estudarmos o assunto.

Com a ajuda do Eng Daniel Pires, poderemos prover aquilo que o cliente precisa seguindo o seguinte fluxo:

O processo de encriptação do tráfego entre client e server no TMG ocorre quando sua regra solicita autenticação. Caso não exista regras pedindo autenticação, o canal pode ou não ser encriptado. Desta forma, a monitoração pelo IPS não ficaria completa.

O Daniel  nos informou que é possível desabilitar a encriptação do pacote através de script a ser rodado no array do TMG. No ISA Server este processo era feita através de um check box na própria ferramenta conforme abaixo:

  • Abra a console do ISA Server
  • No painel a esquerda, no Enterprise Edition, expanda Arrays, e depois <ArrayName>, no Standard Edition, expanda <ArrayName>.
  • Expanda o item Configuration
  • Selecione General.
  • No details pane, clique em Define Firewall Client Settings.
  • No item Firewall Client Settings:
  • Selecione o check box Allow non-encrypted Firewall client connections.
  • Clique Apply, depois OK.
  • Para salvar o que foi feito, na barra de Apply Changes, clique Apply.

No caso do Forefront TMG, como a opção “Allow non-encrypted Firewall client connections” é baseada em controles UDP que não são suportados, esta opção foi removida e só é possível ser desabilitada via scripts.

É possível desabilitar a encriptação aplicando um script VBScript ou um Java Script.

Para aplicar o VBScript copie e cole o conteúdo abaixo num arquivo texto e o salve como c:\togglerwsencryption.vbs.

Option Explicit

Dim oRoot: Set oRoot = CreateObject(“FPC.Root”)

Dim oArray: Set oArray = Root.GetContainingArray

Dim oClntCfg: Set oClntCfg = oArray.FWClientConfigSettings

oClntCfg.EnableControlChannelEncryption = Not( oClntCfg.EnableControlChannelEncryption )

oArray.Save(true, true)

Para aplicar o Java Script copie e cole o conteúdo abaixo em um arquivo texto e o salve como c:\togglerwsencryption.js.

var oRoot = new ActiveXObject(“FPC.Root”);

var oArray = oRoot.GetContainingArray();

var oClntCfg = oArray.FWClientConfigSettings;

oClntCfg.EnableControlChannelEncryption = !oClntCfg.EnableControlChannelEncryption;

oArray.Save(true, true);

Você poderá aplicar qualquer um dos dois scripts em um prompt DOS com permissões elevadas de Administrator.

Maiores detalhes sobre estes scripts e toda explanação sobre o funcionamento do canal entre Firewall Client e Forefront TMG estão em um artigo foi escrito pelo Jim Harison com o Yuri Diógenes.

Veja toda a explanação em http://technet.microsoft.com/en-us/library/ff423691.aspx

Nesta semana, como estou atuando em outros projetos, um de meus colegas irá apresentar a solução ao cliente. Desde já nossos agradecimentos ao Eng Daniel Pires pela ajuda e ao Yuri Diógenes pelas dicas passadas hoje no caminho do hotel ao Estádio do Pacaembú para o jogo do glorioso S. C. Corinthians Paulista.

Mais uma vez a Microsoft fazendo a diferença! Dessa forma o cliente fica satisfeito e nosso know-how aumenta.

Um abraço a todos os leitores deste espaço e até o Tech Ed nos dias 29 e 30 de setembro. Vamos compartilhar aqui todas as experiências deste grande evento.

Uilson

Categorias:Fore Front TMG 2010
  1. 26 de setembro de 2011 às 9:09

    Muito bom o artigo Uilsão! Parabéns!

    Atenciosamente,
    Paulo Oliveira.

    • 1 de outubro de 2011 às 17:30

      Fala Paulo! Muito prazer em conhece-lo pessoalmente lá no TechEd. Uma pena não ve-lo no CZ2011…sua ausência foi sentida!
      Obrigado pelo comentário…vindo de vc só me anima a estudar mais! Abraços e espero ve-lo novamente pra irmos no Pacaembú ver o Timão! Abs!

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: