Início > Fore Front TMG 2010, ISA Server 2006, WebSense > Configurando plug-in WebSense para ignorar um tráfego específico

Configurando plug-in WebSense para ignorar um tráfego específico

Saudações,

Essa semana tivemos um case simples, porém, interessante!

Em uma estrutura de servidores Forefront TMG com filtro de conteúdo baseado em Websense 7.6, alguns usuários reclamaram de problemas para acesso a uma função específica no site do Banco do Brasil.

Como o pessoal da operação não conseguiu determinar o problema, fomos escalados para verificar.

Ao analisar o log vimos que o acesso estava sendo barrado pela regra de acesso a internet padrão do Forefront TMG.

O acesso só é permitido para “All Authenticated Users”

Como o site do banco é baseado em Java (como já discutimos aqui anteriormente) não há suporte para autenticação de domínio.

Para funcionar era precisa criar uma regra dando permissão da rede interna para um domain set apontando para “bb.com.br” com permissão para All Users.

Nesse ponto esbarramos em uma diretiva do cliente para este tipo de acesso. O WebSense não permite nenhum tipo de acesso sem autenticação, pois, além das diretivas previamente configuradas no produto, a regra global do mesmo requer autenticação.

A alteração deste parâmetro não é permitida pelo cliente. O que faríamos?

Como as configurações possíveis no TMG já estavam feitas, uma colega especialista em Websense nos ajudou com uma dica muito interessante para resolver a questão:

Como as requisições a internet são enviadas pelo proxy ao WebSense via plug-in, é possível configurá-lo de modo a ignorar a autenticação para um tráfego específico.

No servidor TMG abra o prompt do DOS

Posicione no diretório System32

Abra o arquivo “isa_ignore.txt”

Este arquivo é criado no momento em que o administrador instala o plug-in do WebSense no servidor TMG.

Logo no inicio existe uma linha apontando para uma URL padrão que nunca deve ser removida:

url=http://ms_proxy_intra_array_auth_query/

Esta URL é usada pelo Forefront TMG em um ambiente com cache em CARP para comunicação de arrays. Esta URL deve ser ignorada pelo WebSense para que a filtragem seja executada em ambientes com mais de um node de Forefront TMG.

Para configurar uma URL específica neste arquivo, abra uma linha e digite o seguinte parâmetro:

Para ignorar URL´s:

url=<URL>

Exemplo:

url=http://www.contoso.com ou url=mail.contoso.com/

Para ignorar um domínio:

hostname=<host_name>

Exemplo

hostname=contoso.com

Para ignorar o tráfego de um usuário específico:

username=<user_name>

Exemplo:

username=usouza ou username=dominio\usouza

Ao efetuar essas alterações, salve o arquivo e depois reinicie o serviço de firewall do Forefront TMG.

Este procedimento também pode ser usado para plug-in´s instalados em ISA Server 2006.

A quem estiver interessado, existe um PDF com todos os procedimentos detalhados para a integração do Forefront TMG ou ISA Server com o WebSense. Você pode fazer o download em:

http://www.websense.com/content/support/library/web/v75/wws_ms_supp/Microsoft%20Supplement.pdf

Espero que este conteúdo possa ajudar!

Abraços

Uilson

  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: