Infra - Isa Server
Estendendo portas no ISA 2004
Recentemente, tive um problema ao acessar um endereço de um site seguro, com uma porta diferente da padrão. Em vez de utilizar a porta para SSL 443, a URL apontava para a porta 8443. Ao acessar a URL o ISA 2004 exibia uma página de erro ou uma página em branco.
por Paulo DutraRecentemente, tive um problema ao acessar um endereço de um site seguro, com uma porta diferente da padrão. Em vez de utilizar a porta para SSL 443, a URL apontava para a porta 8443. Ao acessar a URL o ISA 2004 exibia uma página de erro ou uma página em branco.
A origem do problema
O problema está na forma de inspeção de dados realizada pelo ISA. Esse processo ocorre da seguinte forma:
- O cliente inicia a requisição SSL:
https://URL - Nesse caso a URL é encaminhada para o ISA, pela porta 8080 (default)
- O ISA conecta-se no destino na porta 443
- Quando a conexão é estabelecida, o ISA retorna ao cliente o Web site
- A partir desse momento, o cliente conecta-se diretamente com o Web Server de destino e as comunicações não são mais analisadas pelo ISA. Pois o ISA não realiza inspeção stateful em conteúdos SSL.
A solução
Isso funciona perfeitamente quando as requisições clientes estão utilizando a porta padrão. No entanto, quando uma porta diferente é necessária utilizando SSL, o resultado será um erro ou uma página em branco, pois o ISA realiza esse processo apenas na porta 443. Para resolver esse problema vc precisará estender a porta SSL.
Para realizar esse procedimento você deverá fazer download do utilitário no endereço http://www.isatools.org/isa_tpr.js. Copie para a raiz do seu servidor ISA.
Acesse o prompt de comando:
No diretório raiz execute o comando abaixo para adicionar uma nova porta SSL:
Cscript isa_tpr.js /add Ext4455 4455
Substitua o número da porta do exemplo pela sua necessidade. E reinicie o ISA pela linha de comando:
Net Stop "Microsoft Firewall"
Net Start "Microsoft Firewall"
Caso precise excluir uma porta existente. Execute o comando abaixo:
Cscript isa_tpr.js /del Ext4455
Reinicie o serviço do ISA, para efetivar as alterações.
Lembre-se que isso é valido, porém não descarta a necessidade da maioria das vezes criar um protocolo de inbound/outbound, e associá-lo a uma Firewall Police.
Conclusão
A solução apresentada permite o acesso a páginas seguras que não utilizam a porta padrão. Estender portas no ISA não é uma tarefa dificil desde que você use a ferramenta correta. O Script utilizado permite a estenção de portas com apenas um comando add NamePort NumberPort.
Paulo Dutra - Profissional certificado pela Microsoft desde 2001. Atua planejando e implementando infra-estrutura de redes Microsoft há mais de 5 anos. Atualmente, como gerente de projetos da WD5 Solutions, dedica-se a implementação de soluções de infra-estrutura e desenvolvimento .Net. Possui as certificações MCT e MCSA.
- 15 programas gratuitos que não podem faltar em um ambiente com Hyper-VIsa Server
- Entendendo o Assign Roles do ISA Server 2006 StandardIsa Server
- Criando Web Listener HTTP sem autenticação no ISA 2006Isa Server
- Criando URL Sets no ISA Server 2006Isa Server
- Criando Networks no ISA Server 2006Isa Server
