Capar Live Messenger en ISA Server – Articulo cedido por LuisMLG
Bueno, este es el primer artículo extraido de uno de los lectores del blog al cual estoy muy agradecido tanto por permitirme añadirlo al blog como por el tiempo invertido al escribirnos su solución, espero que os ayude a muchos. El articulo esta incluido en la sección de ISA Server 2006 pero hace referencia a ISA Server 2004.
Bueno pues tengo que decir que al final he conseguido lo que queria.
Por desgracia los filtros HTTP, no me funcionaban para MSN Live 8.x y no recuerdo para tb capada el messenger via web. La cosa es uqe no me valia, así que probe el otro método que se explica en las web de technet de microsoft, que es el de bloquear contenidos. Este funcionaba bien, bloqueaba MSN 7.x y 8.x además del web. El problema era que tambien bloqueaba el trafico https. No se por que pero es asi, cualquier web que necesitara https no cargaba, asi que esta solución asi tampoco me valia.
Yo supongo que hay alguna cosa q se me escapa y que existe una solución mas elegante a la mia que es mas bien un poco chapucerilla.
Lo he solucionado colocando una regla por encima de la que capa por contenido, permitiendo el todo el tráfico https.
De esta forma estaba solucionado el tema de el acceso a los webs con https, pero surgió otro problema, que ahora el web messenger si funcionaba, ya q se cuela por la 1ª regla q permitia el acceso libre por https.
Para solucionarlo he tenido que sacarme de la manga otro parche, y es uqe a la 2ª regla la que restringe el acceso por contenido, en el campo “A”, tenia puesto Externa, pues bien ahí he añadido una restricción, la de que no permita acceso a [http://*.live.com/*]
ASi parece que rula, no obstante seguiré investigando a ver si se puede hacer de otra manera mas eficiente.
saludos
Edito: Añadido por LuisMLG en este mismo hilo.
Bueno creo que la manera mas elegante y que mas se recomienda es que este tipo de bloqueo se haga a través de las Firmas HTTP. La cosa es uqe yo lo he intentado y no lo he conseguido, cree las firmas correpndientres según este listado:
http://www.microsoft.com/technet/isa/2004/plan/commonapplicationsignatures.mspx
Pero no me funciona.
Editado:
Bien pues efectivamente el tema del filtrado no me funcionaba por que las signatures que da microsoft están obsoletas, encontré una web con una listado bastante mas actualizado:
http://www.applicationsignatures.com/backend/index.php
Una vez teniendo esta información lo he conseguido usando firmas para bloquear el MSN 7.X y 8.X. Para los web messengers he seguido usando un grupo de direcciones con las web que ofrecen estos servicios y bloqueando sus acceso. Lo peor es que este grupo de web lo tendré que tener actualizado para que vaya incluyendo las nuevas web que eferten éste servicio.
1 Saludo
Articulo cedido por LuisMLG, lector del blog al que agradezco nuevamente su colaboración.
LuisMLG
Bueno creo que la manera mas elegante y que mas se recomienda es que este tipo de bloqueo se haga a través de las Firmas HTTP. La cosa es uqe yo lo he intentado y no lo he conseguido, cree las firmas correpndientres según este listado:
http://www.microsoft.com/technet/isa/2004/plan/commonapplicationsignatures.mspx
Pero no me funciona.
Pablo Martinez
Y ole!!! edito y añado, con tu permiso.
Gracias…
LuisMLG
Bien pues efectivamente el tema del filtrado no me funcionaba por que las signatures que da microsoft están obsoletas, encontré una web con una listado bastante mas actualizado:
http://www.applicationsignatures.com/backend/index.php
Una vez teniendo esta información lo he conseguido usando firmas para bloquear el MSN 7.X y 8.X. Para los web messengers he seguido usando un grupo de direcciones con las web que ofrecen estos servicios y bloqueando sus acceso. Lo peor es que este grupo de web lo tendré que tener actualizado para que vaya incluyendo las nuevas web que eferten éste servicio.
1 Saluso
Pablo Martinez
Mil gracias por tus aportes!! un ole y una ovación!!
Saludos y gracias!!
LuisMLG
Ha sido un placer, si cualquier lector tiene alguna duda al respecto que no dude en postearla.
Ahora el siguiente paso, voy a ver si consigo enrutar con el Routing & RAS de windows 2003 dos redes, precisamente las dos redes que tiene el ISA server conectadas, una por cada adpatador de red.
Saludos.
Pablo Martinez
Siento estar ahora tan liado con el tema de la Web y otros trabajillos, la verdad es que llevo unos dias sin poder atender y concentrarme como me gusta en el blog y en vuestras consultas, espero que no me lo tomeis en cuenta que prometo volver pronto al 100%.
Muchas gracias de nuevo LuisMLG seguro que los lectores también agradecen tus intervenciones.
Un saludo.
pablo
parece un tema interesante luisMLG, desgraciadamente se pko del tema, sabes de algun tutorial “con fotos” del proceso para “introducirme” un poko en el tema??
este es un tema de auditoria informatika o mas bien es simple seguridad de la red??
Enhorawena por el articulo LuisMLG, saludos:D
Pablo Martinez
Ahora me callo, no?
LUIIIIISSSSSSS TE LLAAAAAMAAAAAN!!!
pablo
me pisas los talones pablito¡¡¡¡¡
no te calles hombre……..tu sabiduria siempre es bien recibida por mi campeon……..saludos¡¡¡
Pablo Martinez
ehhh que pa una vez que le cargo el muerto a otro…
LUUUUUUUUUUUUISSSSSSS
DONDE TE HAS METIDO!!!??
pablo
estoy haciendo un cursillo de admon de redes…..y me tiene algo pillao de tiempo, pero no “temas” que no me olvido de tu blog y toda la informacion k tienes en el
en el kurso se toka algo de admon en 03 server, a mediados- finales de enero(cuento contigo y tu blog para este modulo ok??)
Pablo Martinez
Vale tiu, pero haceme un favor, a parte de decirle a todos los del curso que mi blog es una referencia a nivel mundial, en vez de escribirme 03 ¿puede ser 2k3? lo tengo mas habitual… lo de 03 me ha enganchado el decodificador de Informática -> Español español -> Informática
Saludos!
Mav
Buenos días,
Ante todo felicidades por la web.
Te quería consultar una duda, tenemos que imprimir 200 curriculums, tenemos el Isa server 2006 instalado y a la hora de imprimir los 200 curriculums nos dice que la pagina esta bloqueada(Mensaje de bloqueo de ISA server) He mirado las reglas del firewall y tengo la pagina de infojobs habilitada, pero imprimir de forma masiva me dice que no. Pero de uno en uno sip. Pero como el dpto de RRHH son muy perros quieren hacerlo de forma masiva en fin…..
Se os puede ocurrir algo?
Muchas gracias por adelantado.
Un saludo.
Pablo Martinez
Primero tratar de aislar el problema, comprobar que solo pasa desde la página de internet, abrir un word y tirar 200 copias de algo, si funciona probar a hacer lo mismo desde otra Web de Internet y así vais reduciendo el circulo, si no podeis hacerlo desde internet tal vez haya algo que evita a vuestro navegador a realizar esa tarea, si no es así y nunca podeis hacer eso lo mismo es algo de controlador de impresión, tratar de comprobar esas cosas en temas que como este no tengo mucha experiencia necesito por norma general que me hagais unas pruebas y amplieis información pero no te preocupes que mientras este pendiente lo tuyo estamos aquí para ayudarte.
Un saludo.
Mav
Hola Pablo, muchas gracias por el interes mostrado. Te amplio la información:
Sabemos que es el proxy porque tenemos personalizada la página de bloqueo de webs. Es un pantallazo rojo muy chillon que solo se aplica a las webs que tenemos bloqueadas. Por otro lado la impresora funciona bien ya que hemos probado en varias secciones de la empresa donde hay varios dispositivos de impresion, por lo tanto descartamos fallo de la impresora.
El problema es que con solo un curriculum desde dicha pagina si que funciona perfectamente, pero cuando quieren imprimir el total de curriculums enviados se abre una subventana en el navegador que accede bien y a mitad del proceso aparece el pantallazo.
Hemos metido tanto la dirección ip de la página como el nombre común (Http://www.infojobs.net/*) y nada nos sigue apareciendo.
La verdad que es un caso raro porque tenemos varias páginas habilitadas y no nos ha pasado nada por el éstilo y como te digo word y cualquier aplicación funciona correctamente. No sabemos si al ser una cantidad masiva de documentación a imprimir ISA lo trata como algo raro al leer el codigo fuente o lo ve como numerosos popups, cerrando directamente la página.
-Por lo tanto descartamos el controlador de impresión.
-Descartamos que pase en otras web.
-Confirmamos que viene por las directivas de Firewall(¿Pero cuál¿)
Un saludo.
Pablo Martinez
Ok, va un secreto de estado, ISA Server trabaja de la siguiente forma:
A modo de ejemplo tenemos las tres siguientes reglas:
Regla A: Lo que contiene un 2 no puede pasar
Regla B: Lo que contiene un 1 puede pasar
Regla C: Nada puede pasar
Caso A: Llega un paquete con el número 3, nada hace referencia a que este permitido en la Regla A,B o C lo que lleva a ISA a que pase las Reglas A y B pero cuando llega a la C se bloquea.
Caso B: Llega un paquete con el número 31, en la regla A nada le impide ni permite el paso, en la regla B se hace referencia a que si tiene un 1 pasa, el paquete se acepta y no se aplican las siguientes reglas, en este caso la C.
Caso C: llega un paquete con el número 21, la regla A lo detiene y no lo deja pasar, las siguientes reglas no se aplicarán porque el paquete ya ha sido descartado.
Tenemos que tener mucho cuidado a la hora de permitir y prohibir con ISA ya que este sigue un orden (que nosotros definimos al crear las reglas) revisa las reglas a ver si tienes alguna que pueda prohibir eso, otra solución para evitar dolores de cabeza, crea una regla que sea todo permitido en todas direcciones e imprime eso, si te deja busca la solución mas tarde pero de momento tienes el tema resuelto y mas tranquilamente puedes dedicarte a solucionarlo una vez imprimidos los curriculos.
Un saludo.
Mav
Entendido, probaremos mañana y veremos como suceden los acontencimientos.
Un saludo
Pablo Martinez
Ok, pero no te olvides de contarnos como va el tema, o como tu has dicho, como suceden los acntecimientos!!
Saludos campeón!
Mav
Buenos días Pablo,
Reglas revisadas:
Regla1: No pasa ningun paquete especificado en cuanto a HTTP y HTTPS(Nada que ver con la pagina en cuestion)
Regla2: Pasan las páginas que marcamos como seguras, entre ellas la pagina y la direccion ip en cuestion
Regla3-4: Reglas intermedias de acceso local,protocolos SSL y demás.
Regla5: No pasa nada.
Seguimos en las mismas
P.D: Sin proxy tira de lujo la p… página.
¿Alguna idea chicos?
Pablo Martinez
Con el ISA Offline… ¿todo Ok?
Mata al ISA y me cuentas, luego lo vuelves a activar son dos segundos no pasará nada.
Mav
Ok, Después de comer os comento como ha ido que ahora hay mucha peña en producción y me pueden cortar los webs,
Pablo Martinez
Fale!
A todo esto, que tengas suerte y no olvides ponerte el casco…
Mav
Nada sigue igual
GRRRRRRR!!!!!!!
Pablo Martinez
Pero vamos a ver, sigue igual sin ISA Server interponiendose????
Si no busca la solución por otro lado, prueba en otros equipos o lo mismo en inet hay algo y resulta que no tiene nada que ver con lo que estamos hablando aquí….
Mav
No no jejeje, sigue igual con el ISA server en medio, sin ISA funciona de lujo,
Es un misterio!!!!!
Pablo Martinez
Pues si eso es así… ya sabes, algo te estas dejando por el camino, revisa todo al dedillo.
Mira se me ocurre que pruebes una cosa, primero coloca las reglas que permiten el tráfico y después las que lo bloquean a ver si se solucionará así el problema.
Un saludo!!
Mav
Nada, esta todo revisado “de pe a pa” hemos cambiado las reglas de orden como me has indicado, hemos deshabilitado, habilitado, eliminado, vuelto a crear y nada todo sigue según su curso, por lo que es muy estraño. Sigo pensando que puede ser algun tipo de filtro que tiene ISA contra un cierto numero de peticiones seguidas que lo capa. Otra cosa no tiene ya sentido. Es algo raro raro pero bueno, si no pueden imprimir 40 que impriman 20 solicitudes que eso si que les deja.
Pablo Martinez
Pues no sé, no me gusta dejar las cosas sin ver el fondo… estaba liado escribiendo unas tonterias sobre el comando NET pero esta tarde te lo miro…
Un saludo.
Mav
Estoy de acuerdo contigo Pablo, también seguiré mirando haber si veo algo en las virtual y contrasto un poco la información…
Un saludo!!!
Pablo Martinez
A ver si damos con la tecla!!
Mav
Que tal van esas navidades!!!!!, Siento deciros que de momento no sabemos nada de este asunto, ya que como todo buen hijo de vecino, pues he tenido unas pequeñas vacaciones y ahora a la vuelta esta la ofi vacia. En cuanto vayamos avanzando en este tema, os iré informando,
Un saludo y Feliz año nuevo!!!
Pablo Martinez
Nada hombre, si ya he notado yo que esta bastante afectado el blog por navidades, por cierto que ahora hay unos foros integrados para que podais abrir hilos los lectores también.
Un saludo y FELICES FIESTAS!!