Início > Fore Front TMG 2010 > Forefront TMG como Proxy Transparente

Forefront TMG como Proxy Transparente

Saudações,

Ontem estive em um cliente que me perguntou sobre a possibilidade de fazer a sua infra estrutura Forefront TMG funcionar no modo de Proxy Transparente. Para esclarecer o termo, o método do proxy transparente permite que o acesso internet ocorra sem nenhum tipo de configuração local no browser do usuário. Desta forma, o TMG recebe requisições no padrão Secure Nat.

Como o TMG pode ser configurado para atuar como proxy transparente:

  • O produto deve ser configurado com duas placas de rede, no padrão Edge (Default Gateway configurado na interface Externa)
  • O IP da interface interna do TMG deverá ser cadastrado nas estações como Default Gateway
  • Tenha certeza de que o seu servidor é capaz de rotear para todas as redes da sua empresa, ou seja, aquelas DMZ’s ou VLAN’s que irão passar pela interface interna do servidor.
  • Crie uma regra no produto habilitando acesso da rede interna para externa com HTTP e HTTPS ao menos, com acesso para All Users

Caso você não queira usar o TMG como gateway da sua rede, ainda é possível fazer o proxy transparente fazendo com que seu Default Gateway (na maioria dos casos um router ou firewall) roteite as requisições para seu servidor TMG que também entenderá o acesso como um secure NAT.

Pontos a serem considerados:

Se você tem por política restringir acesso internet por usuário, então esqueça o TMG como proxy Transparente. Não é possível autenticar usuário por Secure NAT.

Qualquer outro tipo de permissão na regra que não seja “All Users” (All Authenticated Users, Grupos, Users) irá requerer a configuração do endereço do proxy no browser do usuário.

Particularmente não recomendo o Proxy Transparente para grandes corporações. A segurança no acesso internet e a restrição de certos acessos é importante para evitar os mais variados problemas.

Obviamente, quando ficou a par dos pontos descritos aqui, o cliente vetou no mesmo instante.

Espero que a dica possa ter sido útil.

Abraços

Uilson

  1. 16 de maio de 2012 às 8:12

    Ola Unilson! Muito bom post! Estou considerando implementar o TMG em minha rede, mas confesso que desanimei um pouco ao saber disso. Pois acredito que proxy transparente seja muito mais prático de administrar, isso sem comentar dos problemas de alguns sites que não funcionam (ex: conectividade social, sites do governo e de bancos). O que você acha? Obrigado

    • 16 de maio de 2012 às 15:39

      Olá Sheldon! Obrigado por participar do blog! Entendo que o proxy transparente seria menos trabalhoso, mas, veja pelo lado da segurança que vc estaria descoberto. Vc fica limitado no que tange restringir certos acessos.
      Sites como estes que vc citou funcionam bem com TMG sim…é uma questão de configurar o produto corretamente para eles. Eu já configurei o ISA Server num cliente para Conectividade Social e conseguimos.
      Proponho que vc considere usar uma GPO para distribuir a conf para os clientes…já ajuda. Para acesso a aplicações client-server que trafegam dados entre redes assistidas pelo produto, vc precisa do Firewall Client.
      Realmente não dá pra deixar de pensar em como implementar, mas, do ponto de vista da segurança vc ganha!
      Em alguns dias vou apresentar um webcast na Microsoft sobre planejamento em forefront tmg…irei publicar o link em breve. Se puder, compareça.
      Abraços e obrigado mais uma vez
      Uilson

      • 16 de maio de 2012 às 16:57

        Obrigado pela resposta Unilson, fico no aguardo do webcast… com certeza participarei. Abraços

      • 16 de maio de 2012 às 18:17

        Por nada Sheldon! Aguardo vc lá!

  2. Milton
    10 de setembro de 2012 às 12:06

    Olá Wilson, não conheço muito do Forefront, aqui na Empresa que trabalho “sozinho” no TI temos, mas é estranho hora conseguimos abrir o facebook, outra hora ele bloqueia.Como eu faço para bloquer “geral” e dar acesso a alguns usuarios, tipo gerentes?
    meu e-mail é msklopes@hotmail.com.br.. muito obrigado.

    • 10 de setembro de 2012 às 15:13

      Olá Milton! É meio complicado dizer assim sem olhar nada pois o TMG não age dessa forma…ou bloqueia tudo, ou nada…se hora passa, hora não passa, é por conta de algum outro componente na sua estrutura que deve fazer algum controle.
      De qualquer forma, vc pode criar uma regra bloqueando o facebook para All Users com exceção a um determinado grupo que vc pode usar para incluir essas pessoas que vc quer dar permissão

    • 10 de setembro de 2012 às 15:14

      Outra coisa, no meu blog tem um post sobre um treinamento online de forefront tmg…acesse…
      https://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefront-tmg/

      Abs

  3. Milton
    10 de setembro de 2012 às 12:07

    Corrigindo meu e-mail é msklopes@hotmail.com

  4. Cleber Souza
    5 de novembro de 2012 às 17:42

    Primeiramente obrigado pelas informações Uilson, tenho uma dúvida e gostaria, se possível da sua ajuda. Trabalho numa empresa que tem o TMG 2010 instalado e operando, ocorre que alguns usuários descobriram que utilizando o Firefox eles podem alterar a configuração do proxy (na verdade retirar a configuração) e com isso eles navegam livremente pela internet. Existe uma maneira de configurar o TMG para que sem a configuração de proxy correta as máquinas não naveguem na internet? Desde já agradeço.

    • 5 de novembro de 2012 às 20:59

      Olá Cleber,

      Infelizmente a padronização é um item em que as empresas pecam muito, pois abrem um leque de opções aos quais o usuário final não deveria ter.

      Acho interessante vc procurar algum especialista neste browser, pois eu mesmo não o conheço e não o uso.

      Outra coisa a se pensar é diminuir as permissões dos usuários na estação…assim esse risco diminue.

      Já pensou em usar o URL Filtering do TMG? Assim vc bloqueia por categoria e mitiga o risco.

      Outra dica é analisar o seu firewall de borda para que o único IP a ter permissão para internet seja o do TMG. Assim qdo o engraçadinho mexer na conf ele não vai ter acesso.

      Obrigado pela participação e continue ligado. Teremos mais textos novos por esses dias

      Abraços

      Uilson

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: