Problemas de configuración del ISA

23/12/2004 - 14:07 por m.carroza.glg | Informe spam
Hola a todos:

Estoy empezando ahora a trabajar con ISA SERVER,me he estado
documentando, pero tengo muchas lagunas que me gustaría aclarar.

Cuando hablamos del cliente web proxy, nos estamos refiriendo al
navegador web(internet explorer por ejemplo) que tienen los clientes
del isa, ¿no?

Si en las reglas de sitio y contenido o en las reglas de protocolo yo
aplico dichas reglas a un conjunto de direcciones concreto ¿ya estoy
haciendo uso de Secure Nat?

¿Por qué no se debe usar el cliente secure Nat si usas el cliente
firewall y proxy?

¿Cómo puedo saber si un equipo ya tiene instalado el cliente Secure
Nat?

para tener un registro de los accesos a internet tengo que trabajar
con los clientes firewall y proxy ¿verdad?

El Isa que ya me encontré instalado tiene un montón de filtros que
desde mi poco conocimiento, en muchos casos parecen redundantes o
duplicados pero con nombres distintos.Las reglas (de protocolo y de
sitio y contenido) configuradas son de acceso anónimo.

En mi enpresa me piden un registro de accesos a internet de cada
usuario de la red.

Hasta ahora he hecho lo siguiente:

he creado una regla de sitio y contenido que permite a los usuarios
del grupo "internet" acceder a cualquier destino.

he creado una regla de protocolo que permita http, pop3, smtp, ftp,
https,dns a los usuarios del grupo "internet".

No tengo ni la más remoto idea de qué tipo de filtros poner.

con esta configuración se me registran los accesos a internet de los
usuarios pero nadie puede enviar y recibir correo con outlook(tenemos
un proveedor de correo externo).

¿alguien me podría ayudar?

Muchas gracias a todos anticipadas.

Un saludo.

Mónica.
 

Leer las respuestas

#1 Ivan [MS MVP]
23/12/2004 - 18:35 | Informe spam
escribió en el mensaje news:
Hola a todos:

Estoy empezando ahora a trabajar con ISA SERVER,me he estado
documentando, pero tengo muchas lagunas que me gustaría aclarar.

Cuando hablamos del cliente web proxy, nos estamos refiriendo al
navegador web(internet explorer por ejemplo) que tienen los clientes
del isa, ¿no?



En general a cualquier aplicacion que soporte configuracion de proxy, como por ejemeplo el navegador.


Si en las reglas de sitio y contenido o en las reglas de protocolo yo
aplico dichas reglas a un conjunto de direcciones concreto ¿ya estoy
haciendo uso de Secure Nat?



No, un cliente SecureNAT es uno de los tres tipos de clientes que soporta ISA. Las reglas pueden permitir (imagino que hablamos de ISA 2000) a client address set, usuarios o grupos, bien del ISA o bien del dominio o a cualquier peticion. Puedes usar clientes firewall y autorizar en las reglas por IP, no tendria mucho sentido pero es posible. Los client address set se utilizan en las reglas para controlar a los cleintes SecureNAT porque estos clientes no envian ningun tipo de informacion de autentificacion.
Para que puedas diferenciar la los tres tipos de clientes de manera muy rapida y sencilla:
1-Web proxy: el navegador esta configurado para usar proxy (o cualqueir aplicacion que soporte configuracion de proxy o tome la configuracion del proxy del IE)
2-Firewall: tienen instalado el cliente firewall
3-SecureNAT: su default gateway es la IP interna del ISA

Hay grandes diferancias entre estos clientes y en la propia ayuda de ISA tienes mucha informacion. Mira tambien estos articulos:
http://www.isaserver.org/tutorials/...ation.html
http://www.isaserver.org/tutorials/...lient.html
http://www.isaserver.org/tutorials/...lient.html


¿Por qué no se debe usar el cliente secure Nat si usas el cliente
firewall y proxy?



Un cliente puede ser las tres cosas a la vez, no hay problema. El problema radica en que los clientes SecureNAT pueden hacer uso de otros protocolos distintos de TCP y UDP (ICMP y GRE) y este control se realiza mediante filtros no mediante reglas. La instalacion de ISA por defecto permite realizar ping al ISA mediante un filtro y por lo tanto, los clientes internos tambien podrian realizar un ping. En resumen, les estas permitiendo mas de lo que necesitan. Que esto es importante o no ? pues depende de cada entorno
Lo recomendable es usar clientes firewall y web proxy, deja los cleintes SecureNAT para publicar servidores y clientes que no sena Windows.


¿Cómo puedo saber si un equipo ya tiene instalado el cliente Secure
Nat?



Creo que ya lo sabes ;-)


para tener un registro de los accesos a internet tengo que trabajar
con los clientes firewall y proxy ¿verdad?



Todo lo que pasa por el ISA queda registrado en los logs, independientemente del tipo de cliente. Lo bueno de usar unicamente clientes firewall y web proxy es que queda registrado el usuario que ha realizado la peticion. En un cliente SecureNAT solo tienes la IP.


El Isa que ya me encontré instalado tiene un montón de filtros que
desde mi poco conocimiento, en muchos casos parecen redundantes o
duplicados pero con nombres distintos.Las reglas (de protocolo y de
sitio y contenido) configuradas son de acceso anónimo.



Los filtros no sirven para controlar lo que pueden y no pueden hacer los clientes internos. es necesario usar reglas de acceso: sitio y contenido y protocolo. Los filtros unicamente se utilizan en estas tres situaciones:
1-Aplicaciones en el propio ISA. Es decir, si por ejemplo quieres usar un cliente de correo en el ISA debes crear los filtros necesarios. Esto por supuesto que no es nada recomendable, hay que evitar ejecutar cualquier servicio o aplicacion en el ISA, unicamente los imprescindibles para su funcionamiento como firewall.
2-Una configuracion trihomed DMZ
3-Permitir el uso de otros protocolos distintos de TCP y UDP, en este caso ICMP y GRE.

Miralo con calma y elimina cualquier filtro que consideres que no es necesario. Si realizas una instalacion de ISA 2000 en una maquina de pruebas, puedes ver los filtros por defecto que utiliza ISA. Miralo bien por que algunos son necesarios para el correcto funcionamiento de ISA (o pueden derlo...)

Controlar lo ue puede salir a traves del ISA es de suma importancia. Utilizar reglas que permiten todo a cualqueir peticion o acceso anonimo, es una pobre politica de seguridad (por decirlo suavemente).


En mi enpresa me piden un registro de accesos a internet de cada
usuario de la red.



Debes utilizar los logs. Como trabajar directamente con ellos es complicado, lo mas sencillo es importarles a una base de datos y una vez alli, lo tienes muy facil para realizar informes y consultas. Tambien tienes productos de terceros para generar informes.


Hasta ahora he hecho lo siguiente:

he creado una regla de sitio y contenido que permite a los usuarios
del grupo "internet" acceder a cualquier destino.

he creado una regla de protocolo que permita http, pop3, smtp, ftp,
https,dns a los usuarios del grupo "internet".



Este es el camino correcto, permitir lo que necesitan los usuarios, nada mas.


No tengo ni la más remoto idea de qué tipo de filtros poner.



Si has leido hasta aqui, ya sabras que los filtros, casi casi que te puedes olvidar de ellos ;-)


con esta configuración se me registran los accesos a internet de los
usuarios pero nadie puede enviar y recibir correo con outlook(tenemos
un proveedor de correo externo).



Creo que en en los clientes internos te falta instalar el cliente firewall. Lo puedes instalar desde \\ServidorISA\mspclnt
De todas formas, no estaria mal que mirases esta guia:
http://www.microsoft.com/technet/pr...2kqsg.mspx
Pra empezar y tener algunas ideas claras, te puede venir bien, luego en estas paginas tienes muchisimas informacion:
www.microsoft.com/isa
www.isaserver.org

Un saludo.
Ivan
MS MVP ISA Server

Preguntas similares