martes, 6 de mayo de 2008

Isa Server Permitir todo


Recuerdo de niño, cuando iba a jugar al parque, que siempre te decía tu madre: No cruces la carretera solo.
Esta claro que tu madre te decía por algo eso.
- Es peligroso, pasan coches, etc...

Pero tus ojos veían otras cosas. Veían al heladero Ese heladero que lo mínimo que ponía eran 3 bolas de chocolate en el cucurucho


Entonces tenias varias opciones, o pasabas del helado, y esperabas a que algún día el heladero cambiara su chiringuito en tu cera, o te la jugabas y cruzabas a por ese helado.
Esta claro que tu madre lo sabia, jugaba con ventaja. Y siempre hacia dos cosas. O se quedaba ahí al lado, donde yo la veía para que así no cruzara (técnica de la intimidación), o se escondía, y en el momento de cruzar, zas!!!( técnica de te pillo y te castigo).

Han pasado los años, y todavía existe un heladero en cada cera, un niño que quiere ir donde el, y una madre que no lo permite. Solo que ahora, los elementos, y el escenario han cambiado. já!

Escenario
Oficina, con un Domain controller, , exchange , 10 usuarios, y una conexión a Internet

Problema
Usuarios aficionados, a hacer uso del Internet de manera discriminada.

Solución
Simplemente vamos a poner en funcionamiento un ISA server, y ver como permitir todo el trafico.
Creo que es el primer paso siempre de un cortafuegos, permitir, y luego según lo que detectemos ir negando servicios, accesos, etc... Si lo hacemos al revés, y negamos desde el principio, lo mas seguro es que tengamos problemas de puesta en punto, servicios que dejan de funcionar, y demás problemas que pueden hacer que nos volvamos locos.

Nada mas instalar el ISA server, el trafico web estará cortado, y desde el navegador nos aparecerá un mensaje (por defecto) tal como este:
nota: Esto pasara a todos los usuarios, incluido administradores.





- Lo primero que haremos, sera añadir el intervalo de nuestro rango de ip's , dentro de las propiedades de la red interna.

- Nada mas instalar el ISA, si entramos en la consola de administración, veremos que ha creado una regla que deniega todo.
- Esto lo hace, por que si nosotros no le decimos lo contrario , el resultado va a ser este. Si al final de todo el conjunto de reglas, no hemos definido lo que tiene que hacer, no va a permitirlo.
- Es decir, imaginaos que creamos una regla que permite el http, nos quedaría de la siguiente forma.
- http -> SI
- TODO - > NO
Si hacemos una petición smtp, la primera regla se la saltara, y la segunda se lo denegara.
Si hacemos una petición http, la primera regla se lo permitirá, y la segunda no le afectara.

Para crear una regla que permita todo, haremos lo siguiente
- Nos situamos en directiva de firewall.
- Damos a la tarea Crear regla de acceso.


- Esto nos iniciara el asistente para crear la regla. Lo primero sera darle el nombre.

- Le decimos que se va a aplicar a todo el trafico saliente.


- Que la red afectada va a ser Todas las redes (y host local)


- Que el destino también van a ser todas las redes.

- Y que se lo vamos a permitir a todos los usuarios.

- En el listado de reglas, vamos a ver que a situado, esta regla que permite todo delante de la que niega


Con esta configuración, todos los servicios debieran de funcionar sin problemas. Ahora queda lo mas difícil. monitorizar este escenario, ver que servicios, protocolos, se usan, que permitir, que no, que publicar , etc.
Es decir, mucho análisis, trabajo, y paciencia para conseguir exactamente lo que queramos, y que el resultado sea optimo.

Saludos

6 comentarios:

sag dijo...

Suerte, por mi experiencia nunca va a quedar perfecto.
Una cosa por la que puedes empezar es con "http://www.shallalist.de/" es un listado de pagina "mala" para bloquear.

Tambien puede proquear consa tipicas que comen ancho de banda como es YouTube.

Adri. dijo...

No soy ningun experto, pero ellos (los expertos) siempre han recomendado denegar todo el tráfico y abrir/permitir sólo lo que sea necesario. De esta forma sabemos con certeza que sólo abrimos lo que necesitamos.

Y que le den al usuario! No, es broma. Pero que se haga el cargo de que, de la misma forma que él necesita tener cubiertos determinados aspectos para desenvolver su trabajo, tú, como BOFH, tambien lo requieres. Y si esto pasa por denegar temporalmente algunos servicios, que se vaya a desayunar...

vicvic82 dijo...

permitir todo vale para cuando das el cursillo
en empresa denegar todo
Y permitir selectivamente
Directivas ad no poder tocar la conf. de la tarjeta de red

Y dhcp con clase configurada, pa ke segun que pc solo naveguen por lared i a trabajar

David dijo...

vicvic82: Esta claro que una vez montado tu escenario, y cuando lo quieres consolidad, la política mas segura y la que menos problemas te va a dar, es solo permitir lo que tu quieres.
Pero a veces, a lo mejor para hacer un estudio de un escenario, y llegar a alguna conclusión de uso, rendimiento, "problemas", y un largo etc una buena política es observar y luego actuar.
Saludos y gracias por el aporte.

Anónimo dijo...

David Vi lo que publicastes del isa server amigo y me alegro que hayaa personas dispuestas a ayudar yo soy de cuba y vi que trabajas con el isa server 2006 en español amigo me hace falta de que manera me lo pudieras facilitar porque porque lo e buscado unas cuntas veces y no lo encuentro mi correo personal es este
mesiasjer@yumuri.mtz.sld.cu a ver si me lo puedes poner en un ftp o algo

Squidblacklist dijo...

Looking for a Porn Blacklist? Ask yourself, what good is your web filter if you are using junk free blacklists from shalla list?

Our proprietary platform allows us to leverage multiple data sets across the web to pull in new data for the most complete and extensive adult blacklist found anywhere. It gives us a competitive advantage on the competition that allows us to produce an adult blacklist that is second to none. It is currently the worlds largest adult domain blacklist in the world, with over 1,320,00 domains and growing with every update.

--
Signed,

Benjamin E. Nichols
http://www.pornblacklist.com