- Aker Security Solutions

Transcrição

HOW TO Como libeerar a autentticação do M
MSN (HTTPS) u
utilizando Prroxy HTTP ativo Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Página:
Pré-requ
uisitos:
-
Este FAQ
F
parte do pressuposto que toda a config
guração de Proxy WW
WW e Proxy MSN do firrewall estão corretos e funcionando.¶
-
Servidor WEB.
1. Estruttura MSN
1.1. MSN
N¶O MSN Messenger e o Windows Live Mes
ssenger utilizam-se do
o HTTPS e da porta TC
CP 1863 para efetuar a comunicação com o
os servidores. ¶Ao ten
ntar entrar
no MSN é iniciada a tentativa de autenticação do usuário
u
através do HT
TTPS. Se a autenticaçã
ão ocorrer com sucesso ele continua a com
municação através da porta TCP
1863, cas
so contrário, o MSN pára o processo e não entra.
1.2. Pro
oxy no Internet Exp
plorer x MSN¶Quando se configura um Proxy no Internet Ex
xplorer (conforme im
magem abaixo) o MSN
N automaticamente herda
h
essa
configura
ação e ao iniciar o processo de autenticação
o via HTTPS, utiliza-se
e deste Proxy para efe
etuar essa operação.
2. Proble
ema
Quando utilizado
u
Proxy ativo, forçando autenticação
o e sem um dos clienttes de autenticação da Aker ao tentar nave
egar, (acessar HTTP e HTTPS) abre-se uma
a janela de
autentica
ação igual à imagem abaixo. Essa autentic
cação é valida somen
nte para a sessão des
ste browser, ou seja, apenas para esta janela. Desta forma, para outros
programa
as acessarem HTTP e HTTPS via Proxy de
eve-se cadastrar este usuário e senha den
ntro de cada program
ma como é o caso do MSN.¶Para que o MS
SN inicie o
acesso viia HTTPS é necessário
o entrar no MSN e con
nfigurar usuário e senh
ha manualmente.
3. Soluções
OBS: Nes
ste FAQ não se deve efetuar
e
o item 3.1. Esse serve somente com
mo demonstração e um
ma opção de configura
ação.
3.1. Con
nfigurando MSN man
nualmente¶Uma das
s opções é configurar (um a um) usuário e senha manualmente.¶
¶Na versão atual do M
MSN 8.5, esta configuração está
em Ferra
amentas > Opções > Conexão > Config
gurações avançadas
s.¶¶Conforme mostra
a a tela abaixo, a opçã
ão de Proxy é herdada
a das configurações do
d Internet
Explorer que tem o campo de entrada do usuário e senha. Então, basta cadastrar
c
o usuário/se
enha e o MSN poderá efetuar este processo
o de acesso via HTTPS
S.
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
Aker Securrity Solutions
www.aker.com.br
Aker Fire
ewall
6.0
1.0
01/0
09/11
20/0
06/08
1 de 4
MSN (HTTPS) u
Versão d
3.2. Con
nfigurando o MSN pa
ara acessar o site de
e autenticação sem
m Proxy¶Para que o MSN
M
passe sem Proxy para o site de autenticação da Microsoft (a
atualmente
o login.liv
ve.com) é necessária a criação de um scrip
pt de configuração auttomática e algumas co
onfigurações específica
as no Firewall, conforme demonstrado abaiixo.
3.2.1. Configuração¶Nesta
C
configuração não será
s
abordada a co
onfiguração de Proxy
y do Firewall, pois esta já deve estarr corretamente conffigurada e
funcionan
ndo.¶¶3.2.1.1 Crian
ndo o arquivo de configuração automática¶Este é um arquivo de texto simples
s
e pode ser copiado conforme o exemplo
abaixo:¶¶
¶function FindProxyFo
orURL(url,host)¶{
// variablle para retorno¶var prroxy_yes = "PROXY 182.168.0.1:80";¶var proxy_no = "DIRECT"";
if (dnsDo
omainIs(host, "login.liv
ve.com")) { return proxy_no; }¶if (isInNet(host, "127.0.0.1", "2
255.0.0.0")) { return proxy_no;
p
}
// Se nen
nhuma das opções acima for válida¶return proxy_yes;
}
Esse script tem a capacidade de
d decidir em tempo real
r
se o endereço de
esejado deve ou não utilizar
u
o Proxy ativo. Neste exemplo, some
ente os endereços “12
27.0.0.1” e
o “login.live.com” não utilizarã
ão o Proxy ativo.
Para que o arquivo funcione co
orretamente em seu ambiente
a
é necessário
o alterar o IP do Proxy
y que neste exemplo está
e
como 192.168.0.1
Ele deve
e ser salvo com o nome de “Proxy.pac “ e deve ser colocado em um servidor web.¶¶3.2.1.2 Configuração do servidor W
WEB¶Para esta config
guração foi
tomado como
c
base o servidorr IIS da Microsoft.¶Co
omo este arquivo utiliiza uma extensão não
o conhecida por padrã
ão do servidor web é preciso que se cadastre o tipo
MIME des
ste arquivo para que o IIS possa ler o mesmo.¶¶3.2.1.2.1 Conffigurando o servidor IIS¶Inicie o gerenc
ciador do IIS, clique co
om o botão direito do mouse no
nome do servidor (conforme im
magem abaixo) e cliqu
ue em Properties.
d
Produto – Aviso
o Legal: esta docu
e por
o não
cumento.
impac
www.aker.com.br
Aker Fire
ewall
6.0
1.0
01/0
09/11
20/0
06/08
2 de 4
MSN (HTTPS) u
Versão d
Após efettuar este procedimentto aparecerá a imagem
m abaixo:
Nesta tela, clique no botão “MIIME Types” onde irá aparecer
a
a imagem ab
baixo:
Em seguiida, clique no botão “N
New...” e insira a exte
ensão “.pac” e o tipo MIME
M
como “applicatio
on/x-ns-proxy-autoconfig” conforme image
em abaixo:
Após efe
etuar este procedime
ento, deve-se reiniciar o serviço de IIS
S para que o mesm
mo possa assumir esta
e
configuração.¶¶3
3.2.1.2.2 Testando o script
“Proxy.p
pac”¶O Primeiro teste
e a ser feito é verificar se o IIS está lendo corretamente
c
o arquiv
vo. Então basta entrarr no navegador da internet (atualmente sem
m nenhum
Proxy con
nfigurado) e digitar a url completa do scrip
pt em seu servidor, exemplo:HTTP://www..minhaempresa.com.b
br/proxy.pac. Se for e
efetuado o download do
d arquivo
ou se o navegador
n
mostrar o mesmo,
m
a configuração está correta e os cliientes conseguirão acessar este script.
O segund
do é o teste de nave
egabilidade, para realizar este teste, entre
e no Internet Explorer e configure o mesm
mo para utilizar o scrript de configuração automática
a
conforme
e imagem abaixo:
d
Produto – Aviso
o Legal: esta docu
e por
o não
cumento.
impac
www.aker.com.br
Aker Fire
ewall
6.0
1.0
01/0
09/11
20/0
06/08
3 de 4
MSN (HTTPS) u
Versão d
Depois de
e configurado o IE ten
nte navegar. Se apare
ecer à janela de autenticação conforme a ja
anela abaixo a configu
uração está correta.
3.2.1.3. Configuração de regra
r
do Firewall¶A
A configuração efetua
ada nos itens anterio
ores, tanto o Internet Explorer como o M
MSN estarão utilizand
do o script
“Proxy.pa
ac”. Mas, se o firewall estiver configurado para efetuar Proxy transparente
t
e forçando a autenticação, o MSN também não co
onseguirá acessar o servidor
s
de
autentica
ação via HTTPS. ¶Para
a resolver este proble
ema deve-se criar uma regra de filtragem antes da regra que efetua
e
o Proxy transpa
arente, liberando o ac
cesso para
HTTP e HTTPS
H
para todos os IP
Ps do site “login.live.c
com”.
Para desc
cobrir todos os IPs deste site deve-se entra
ar no Prompt do DOS e digitar o comando abaixo:
a
nslookup -q=any login.live.com
m:
Observa
ação:
Em algun
ns ambientes surgiu a necessidade de liberrar o endereço IP de onde o MSN faz o dow
wnload da lista de contatos (byrdr.omega.contacts.msn.com). Para
P
se ter
uma efettiva liberação dos end
dereços necessários, o ideal é efetuar um sniffer através do Ak
ker Control Center e verificar
v
para quais os
s sites o MSN está te
entando se
conectar..
d
Produto – Aviso
o Legal: esta docu
e por
o não
cumento.
impac
www.aker.com.br
Aker Fire
ewall
6.0
1.0
01/0
09/11
20/0
06/08
4 de 4

- Aker Security Solutions

Transcrição

Documentos relacionados

Configuração do Proxy no Mozilla Firefox 1 - Multiweb

Como acessar rede UFPR de casa

Configuração do Proxy no Google Chrome - Multiweb

CONEXÃO DOMÉSTICA – GOOGLE CHROME 1

Manual do Nscontrol v2.2

Introdução Mostraremos como bloquear o MSN utilizando o Firewall

A Web que

Manual de Configuração de Proxy do Mozilla Firefox

Procedimentos para configurar o Proxy do CEFET

Smart-Router com Lusca Autenticado

- Aker Security Solutions