ISA Server 2006 – Bloqueando contenidos jpg, gif, exe, avi… – Videotutorial nivel medio
Como ya es cosutmbre muchas veces en el blog, tras una pregunta cae un videotutorial para responderla como es debido y es que hay cosas que es mejor verlas en directo que tener que imaginarselas.
Bueno, en esta ocasión Sebastian preguntaba en este artículo lo iguiente:
Sebastaian Troya Says:
Quisiera que ame ayuden con esta pregunta pr favor gracias.
Tengo Isa server 2004 y mis clientes vpn se bajan archivos ejecutables como puedo impedir que hagan eso.
Muchas GRACIAS
Bien pues yo para contestarle hago este tuto que espero que os pueda servir a muchos y además amplia el contenido del artículo del mes….
En este video vais a ver como proceder para evitar que los usuarios de la red accedan a través de Internet a ciertos tipos de contenidos, aunque como se ve al final del video podemos restringir al revés (que es lo mas seguro) pero no me acaba de salir mu bien la jugada, es lo que tiene improvisar en directo…
Bueno a lo que iba, en el video vais a ver como se impide el acceso a ciertos contenidos como archivos RAR, JPG u otros y cuando un usuario intenta acceder le devuelve una página de error… esto es una de las mejores técicas yo pienso para evitar la navegación de los usuarios, porque, si limitamos bastantes contenidospor ejemplo, impedimos los png, los bmp y los jpg, pero permitimos gif, muchas de la simagenes se verás otras no, impedimos descargas de archivos EXE y ZIP, AVI étc pero dejando otros habilitados, el usuario no se sentirá tan acorralado y podremos incluso llevarlo al punto de que para navegar mal mejo no navegar, podemos incluso aplicar reglas según horarios y a unos horarios que se permitan unos tipos de ficheros y a otros horarios otros para que parezca mas aleatorio… yo que sé este no es el tema, la cosa es que vereis como podemos limitar el acceso a ciertos contenidos de la Web, espero que el video os guste, ahora subiré el fichero para su descarga pero en un rato subiré el fichero para que lo podais ver desde aquí mismo.
|
|||||||
Y bueno, esto es todo espero que os resulte muy útil esta información. Y otra cosilla, animaros a escribir y preguntar, este espacio no puede presumir de miles de contenidos pero si puede presumir de contestar y atender todas y cada una de las consultas que desde hace cerca de 7 meses han formulado cientos de lectores habituales y no habituales, es mas, incluso en ocasiones se hacen artículos si el tema puede resultar de interés general como ha sido el caso de este mismo artículo que tras una duda presentada por un lector lo he hecho con mucho gusto.
Un saludo y gracias por la descarga.
ken
alli va mi idea: en ISA se puede “forzar” la actualizacion de cambios hechos?, a ver me explico mejor, como sabemos los firewalls aplican los cambios hechos a las reglas “nuevas” o “modificadas” quiero decir conexiones nuevas PERO no a las conexiones activas, x ejemplo si yo tengo acceso a “messenger” y creo una regla de restriccion a “messenger” la regla se aplica a todas las conexiones nuevas, pero este usuario q esta con la conexion activa, NO C CIERRA LA SESION, se puede forzar a conectarse todos de nuevo?
SALU2!
Pablo Martinez
Puesto que eres admin puedes forzar el cierre de TODAS las sesiones de la red de determinados usuarios de una (viva el cmd) en plan virus Blaster…
Simon dice:
Se ha programado un cierre de sesión dentro de 2 minutos, por favor, apague las luces, cierre puertas y ventanas y recoja la mesa.
Gracias.
jajaja, es una sugerencia, nada mas… jajaja por cierto…. ¿quereis video? y mas por cierto ¿estas seguro que ISA no se cepilla las conexiones activas? es decir, si cierras comunicación por puerto 80… la cierra y se terminó todo, al menos en 2006 creo recordar que no hace fata reiniciar sesión, pero vamos que de todas formas puedes forzar los cierres de sesión desde el server…
Saludos
Sebastian Troya
Hola
Sebastian Troya
Hola que tal sabes que me sirvio mucho el video pero ahora tengio otro problema tengo creados intervalos de direcciones, por ejemplo de 10.x.x.1 a la 10.x.x.10 administradores y 10.x.x.11 a la 10.x.x.20 alumnos, quiero que los estudiantes no se bajen ejecutables pero si los adminstradores. Lo que hice fue crear dos reglas una que permite http y https a los alumnos pero les bloqueo los .ex y demas cosas y otra regla qeu me permite el acceso de la red interna y del host al internet. Pero hay una opcion en configurar http esta en la viñeta general que dice “bloquear respuestas que oincluyan contenido ejecutable de windows” que hago le activo o no.
Pablo Martinez
Yo el tema de bloquear X contenido lo haciía mediante una regla que me permitía especificar las extensiones si mal no recuerdo, de esta forma puedes bloquear por ejemplo…
.exe
.com
.bat
.reg
.vbs
O yo que sé… muchisimos ya sabemos que extensiones hay varios miles.
Bueno lo que te decía que yo he utilizado el bloqueo por extensión aplicdo a grupos de usuarios.
Es que llevo unos dias fuera y no tengo mis herramientas y la verdad es que no recuerdo esos cuadros de dialogo de memoria….
Un saludo y gracias por comentar espero almenos serbirte de guía.
Sebastian Troya
Que tal, la parte de bloquear el download si lo se hacer, pero el problema es que me bloquea a todos, administradores, alumnos, etc; pero donde le pongo el bloque de .exe es en la regla que pongo como destino de origen el intervalo de direcciones ip de los estudiantes pero me aplica atodos los intervalos de direcciones ip. No tengo creados grupos de usuarios por eso hago por intervalos de ip. Cualquier sugerencia será bienvenida. Muchas gracias
Pablo Martinez
Puedes crear grupos en ISA si mal no recuerdo independiente de los de Active Directory, mira perdona que no te conteste con unas capturas pero es que me pillas fuera del despacho…
Espero ayudarte, mirate esto que te digo puedes crear agrupaciones de usuarios en ISA para manejarlo todo mejor, miratelo a ver si das con la tecla.
un saludo y siento no poder ayudarte más…
Sebastian Troya
Ya lo voy a probar eso que me cuentas pero si quisiera ver como le hago por intervalos de ip porq al momento de bloquear las descargas me bloquea a todos y no a un intervalo especifico. Es decir les doy internet a los alumnos pero sin que se descarguyen nada de .avi o .exe pero los administradores si pueden tener todo privilegio.
Ademas son como te contaba 200 alumnos y un poco o biendificil sera crear agrupaciones.
Muchas gracias.
Saludos cordiales.
Pablo Martinez
No recuerdo las características de agrupación de ISA Server así que no me atrevo a indicarte más no sea que siga metiendo la pata, tendría que instalarlo y comprobarlo a ciencia cierta.
Siento no poder ayudarte más, un saludo.
Tunderkids
Muchas gracias por el video tutorial y espero que sigan tus excelentes materiales educandonos !!!!
Pablo Martinez
Eso espero yo también, que sigan siendo tan excelentes como siempre.
Un saludo y gracias por animarte a comentar.
nairobi
hola pablo Martinez es muy interesante los videos de aprendisaje espero
que sigas haciendo ya que son de muy buena ayuda otra cosita.
si tu puedes hacer un video de como bloquear los p2p con isa server
gracias..
Pablo Martinez
Pues hacedme memoria porque estos dias se me va a quedar en el olvido con tanto io de fiestas y trabajo…
Un saludo y gracias por comentar.
Cacique
Yo trabajo con ISA server 2006 y hay algunas de telefonia local que permiten enviar mensajes a celulares, al parecer dichas paginas utilizan archivos .js el problema es que tengo grupos de usuarios a los que les di acceso a dichas paginas pero al dar clic en el boton enviar mensaje muestra el siguiente error: Page tracker is null or not an object
http://www.paginax.com/sms2web/js/xxxx.js
Gracias por su infinita ayuda
Pablo Martinez
Pero esta web que comentas esta en tu propio server, no? es que no me queda muy claro el escenario aunque imagino que el sitio web se encuentra efectivamente en tu server que es el de la URL que estas dando en tu comentario…
Danos más pistas please…
Cacique
Gracias por tu pronta respuesta, el sitio web no esta en mi server, pertenece a una empresa de telefonia celular
Pablo Martinez
En ese caso no sé cual es el supuesto problema, yo al tratar de acceder tampoco puedo, da un error de la web (al estilo 404 pero personalizado) y no estoy detrás de un Isa Server asi que tranquilo porque parece que la web esta con problemas.
Un saludo.
Cacique
Tenes alguna restriccion en el ISA que diga: allow *.ideasclaro.com.ni
Yo tengo un grupo de IP en el ISA que solo acceden a esa pagina
Para que te de el error tienes que estar en el grupo que accesa solamente a esa pagina, si estas libre no dara problemas
Pablo Martinez
No entiendo muy bien este último comentario, a ver comentas que si accedes libre no hay problemas pero detrás de ISA si, bien, entonces empieza a acotar el problema, primero permite el acceso completo, ya sabes, eso de permitir todo el tráfico de todas las redesde desde y hacia todas las redes.
Si accedes empieza a cerrar poco a poco hasta dar con lo que te da el problema, igualmente imagino que no te ayudará mucho esta respuesta así que no dudes en seguir preguntando.
Un saludo.
Cacique
Nuevamente te agradezco el tiempo que te tomas tratando de ayudarme. Ya probe dando acceso de la red interna a la red externa en el ISA y si funciona de manera correcta, en estos momentos voy a detallarte de la manera mas clara posible para que lleguemos a una solucion.
1. Tengo una regla en el ISA server que se llama: Acceso a Paginas de Telefonia
2. En esta regla se permite todo el trafico saliente de la red interna a un grupo de URL:
*.ideasclaro.com.ni y http://www.ideasclaro.com.ni/*
3. En la misma regla hay una parte en la que seleccionas LOS PROTOCOLOS y ahi tengo seleccionado todo el trafico saliente
4. En la misma regla hay una parte en la que seleccionas el TIPO DE CONTENIDO y ahi tengo seleccionado Todo el Tipo de Contenido
5. La programacion de la regla la tengo definida para todo el tiempo
6. Los usuarios tengo todos los usuarios
Esto es en el ISA, ok ahora vamos a la parte de los usuarios de la red.
1. El usuario entra por medio de internet explorer a la pagina http://www.ideasclaro.com.ni
2. En dicha pagina hay una opcion que dice: Envia Tus SMS y el usuario da clic ahi
3. se despliega la siguiente pagina: http://www.ideasclaro.com.ni/sms2web/
4. El usuario digita el numero de cel al que quiere enviar el mensaje por ejemplo: 86245014
5. El usuario digita un alias por ejemplo: Cacique
6. El usuario digita el mensaje por ejemplo: Mensaje de Prueba y por ultimo digita el codigo de seguridad
7. Ahora viene lo bueno, el usuario da clic en Enviar para enviar el mensje y en la parte inferior izquierda aparece un icono de advertencia, si das doble clic en el icono te aparecera una ventanita que dice:
Page tracker is null or not an object y muestra la siguiente direccion: http://www.ideasclaro.com.ni/sms2web/js/claro.js
Este es el problema, porque el mensaje no se envia, yo pienso que el problema anda por el tipo de contenido ya que la pagina intenta abrir algun archivo .js y el ISA lo esta bloqueando.
Espero que ahora si me haya explicado al 100% y tambien espero su muy amable e imperecedera ayuda porque ya tengo mil reclamos debido a que los usuarios no pueden enviar mensajes a celulares y eso es de mucha importancia aca.
Pablo Martinez
Si añades la url
http://www.paginax.com/sms2web/js/xxxx.js
Que pasa? ahora mismo no recuerdo como exactamente hay que añadir las URL en ISA pero entiendo que ese puede ser el problema que a ISA Server no le estes indicando de forma correcta la web, voy a tratar de instalar algo en viertual a lo largo del Domingo bajo Windows Server 2003 y te digo algo, pero no prometo nada.
Un saludo y gracias por utilizar este espacio.