- Aker Security Solutions
Transcrição
- Aker Security Solutions
HOW TO Como libeerar a autentticação do M MSN (HTTPS) u utilizando Prroxy HTTP ativo Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Página: Pré-requ uisitos: - Este FAQ F parte do pressuposto que toda a config guração de Proxy WW WW e Proxy MSN do firrewall estão corretos e funcionando.¶ - Servidor WEB. 1. Estruttura MSN 1.1. MSN N¶O MSN Messenger e o Windows Live Mes ssenger utilizam-se do o HTTPS e da porta TC CP 1863 para efetuar a comunicação com o os servidores. ¶Ao ten ntar entrar no MSN é iniciada a tentativa de autenticação do usuário u através do HT TTPS. Se a autenticaçã ão ocorrer com sucesso ele continua a com municação através da porta TCP 1863, cas so contrário, o MSN pára o processo e não entra. 1.2. Pro oxy no Internet Exp plorer x MSN¶Quando se configura um Proxy no Internet Ex xplorer (conforme im magem abaixo) o MSN N automaticamente herda h essa configura ação e ao iniciar o processo de autenticação o via HTTPS, utiliza-se e deste Proxy para efe etuar essa operação. 2. Proble ema Quando utilizado u Proxy ativo, forçando autenticação o e sem um dos clienttes de autenticação da Aker ao tentar nave egar, (acessar HTTP e HTTPS) abre-se uma a janela de autentica ação igual à imagem abaixo. Essa autentic cação é valida somen nte para a sessão des ste browser, ou seja, apenas para esta janela. Desta forma, para outros programa as acessarem HTTP e HTTPS via Proxy de eve-se cadastrar este usuário e senha den ntro de cada program ma como é o caso do MSN.¶Para que o MS SN inicie o acesso viia HTTPS é necessário o entrar no MSN e con nfigurar usuário e senh ha manualmente. 3. Soluções OBS: Nes ste FAQ não se deve efetuar e o item 3.1. Esse serve somente com mo demonstração e um ma opção de configura ação. 3.1. Con nfigurando MSN man nualmente¶Uma das s opções é configurar (um a um) usuário e senha manualmente.¶ ¶Na versão atual do M MSN 8.5, esta configuração está em Ferra amentas > Opções > Conexão > Config gurações avançadas s.¶¶Conforme mostra a a tela abaixo, a opçã ão de Proxy é herdada a das configurações do d Internet Explorer que tem o campo de entrada do usuário e senha. Então, basta cadastrar c o usuário/se enha e o MSN poderá efetuar este processo o de acesso via HTTPS S. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br Aker Fire ewall 6.0 1.0 01/0 09/11 20/0 06/08 1 de 4 HOW TO Como libeerar a autentticação do M MSN (HTTPS) u utilizando Prroxy HTTP ativo Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Página: 3.2. Con nfigurando o MSN pa ara acessar o site de e autenticação sem m Proxy¶Para que o MSN M passe sem Proxy para o site de autenticação da Microsoft (a atualmente o login.liv ve.com) é necessária a criação de um scrip pt de configuração auttomática e algumas co onfigurações específica as no Firewall, conforme demonstrado abaiixo. 3.2.1. Configuração¶Nesta C configuração não será s abordada a co onfiguração de Proxy y do Firewall, pois esta já deve estarr corretamente conffigurada e funcionan ndo.¶¶3.2.1.1 Crian ndo o arquivo de configuração automática¶Este é um arquivo de texto simples s e pode ser copiado conforme o exemplo abaixo:¶¶ ¶function FindProxyFo orURL(url,host)¶{ // variablle para retorno¶var prroxy_yes = "PROXY 182.168.0.1:80";¶var proxy_no = "DIRECT""; if (dnsDo omainIs(host, "login.liv ve.com")) { return proxy_no; }¶if (isInNet(host, "127.0.0.1", "2 255.0.0.0")) { return proxy_no; p } // Se nen nhuma das opções acima for válida¶return proxy_yes; } Esse script tem a capacidade de d decidir em tempo real r se o endereço de esejado deve ou não utilizar u o Proxy ativo. Neste exemplo, some ente os endereços “12 27.0.0.1” e o “login.live.com” não utilizarã ão o Proxy ativo. Para que o arquivo funcione co orretamente em seu ambiente a é necessário o alterar o IP do Proxy y que neste exemplo está e como 192.168.0.1 Ele deve e ser salvo com o nome de “Proxy.pac “ e deve ser colocado em um servidor web.¶¶3.2.1.2 Configuração do servidor W WEB¶Para esta config guração foi tomado como c base o servidorr IIS da Microsoft.¶Co omo este arquivo utiliiza uma extensão não o conhecida por padrã ão do servidor web é preciso que se cadastre o tipo MIME des ste arquivo para que o IIS possa ler o mesmo.¶¶3.2.1.2.1 Conffigurando o servidor IIS¶Inicie o gerenc ciador do IIS, clique co om o botão direito do mouse no nome do servidor (conforme im magem abaixo) e cliqu ue em Properties. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br Aker Fire ewall 6.0 1.0 01/0 09/11 20/0 06/08 2 de 4 HOW TO Como libeerar a autentticação do M MSN (HTTPS) u utilizando Prroxy HTTP ativo Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Página: Após efettuar este procedimentto aparecerá a imagem m abaixo: Nesta tela, clique no botão “MIIME Types” onde irá aparecer a a imagem ab baixo: Em seguiida, clique no botão “N New...” e insira a exte ensão “.pac” e o tipo MIME M como “applicatio on/x-ns-proxy-autoconfig” conforme image em abaixo: Após efe etuar este procedime ento, deve-se reiniciar o serviço de IIS S para que o mesm mo possa assumir esta e configuração.¶¶3 3.2.1.2.2 Testando o script “Proxy.p pac”¶O Primeiro teste e a ser feito é verificar se o IIS está lendo corretamente c o arquiv vo. Então basta entrarr no navegador da internet (atualmente sem m nenhum Proxy con nfigurado) e digitar a url completa do scrip pt em seu servidor, exemplo:HTTP://www..minhaempresa.com.b br/proxy.pac. Se for e efetuado o download do d arquivo ou se o navegador n mostrar o mesmo, m a configuração está correta e os cliientes conseguirão acessar este script. O segund do é o teste de nave egabilidade, para realizar este teste, entre e no Internet Explorer e configure o mesm mo para utilizar o scrript de configuração automática a conforme e imagem abaixo: Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br Aker Fire ewall 6.0 1.0 01/0 09/11 20/0 06/08 3 de 4 HOW TO Como libeerar a autentticação do M MSN (HTTPS) u utilizando Prroxy HTTP ativo Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Página: Depois de e configurado o IE ten nte navegar. Se apare ecer à janela de autenticação conforme a ja anela abaixo a configu uração está correta. 3.2.1.3. Configuração de regra r do Firewall¶A A configuração efetua ada nos itens anterio ores, tanto o Internet Explorer como o M MSN estarão utilizand do o script “Proxy.pa ac”. Mas, se o firewall estiver configurado para efetuar Proxy transparente t e forçando a autenticação, o MSN também não co onseguirá acessar o servidor s de autentica ação via HTTPS. ¶Para a resolver este proble ema deve-se criar uma regra de filtragem antes da regra que efetua e o Proxy transpa arente, liberando o ac cesso para HTTP e HTTPS H para todos os IP Ps do site “login.live.c com”. Para desc cobrir todos os IPs deste site deve-se entra ar no Prompt do DOS e digitar o comando abaixo: a nslookup -q=any login.live.com m: Observa ação: Em algun ns ambientes surgiu a necessidade de liberrar o endereço IP de onde o MSN faz o dow wnload da lista de contatos (byrdr.omega.contacts.msn.com). Para P se ter uma efettiva liberação dos end dereços necessários, o ideal é efetuar um sniffer através do Ak ker Control Center e verificar v para quais os s sites o MSN está te entando se conectar.. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac Aker Securrity Solutions www.aker.com.br Aker Fire ewall 6.0 1.0 01/0 09/11 20/0 06/08 4 de 4
Documentos relacionados
Introdução Mostraremos como bloquear o MSN utilizando o Firewall
precisam para configurar corretamente a guia Conexão de seus programas MSN Messenger.
Leia mais- Aker Security Solutions
Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no...
Leia mais