Clientes Firewall

Lo mejor que puedes hacer es utilizar clientes firewall y web proxy. Que
sentido tienen instalar el cliente firewall y no configurar el IE para usar
proxy cuando ademas, al instalar el cliente firewall se configura el IE ?
Si necesitas usar solo clientes firewall y forzar autentificacion par las
peticiones web salientes, la unica opcion es configurar el HTTP redirector
filter para enviar las peticiones al sitio web solicitado, pero esto hace
que los clientes no utilicen la cache del ISA. Siempre que el navegador este
configurado para usar proxy, los clientes hacen uso de la cache del ISA
independientemente de la configuracion del filtro HTTP.

Un saludo.
Ivan
MS MVP ISA Server


"Raúl" escribió en el mensaje
news:

Saludos. Estoy montando un nuevo ISA en un windows 2000 Server con Service
Pack 4. El problema que tengo es que si habilito tanto en las peticiones
web
salientes como en las entrantes la solicitud de identificación de los
usuarios no autenticados, los clientes firewall no pueden navegar y me da
el
error: "403 Prohibido - El servidor ISA rechazó la dirección URL
especificada"
Me interesaria tener habilitada esta opción, porque sino en la sesión de
la
supervisión me sale el nombre de usuario como anonymus. Qué es lo que
puedo
hacer?
Gracias

Es que yo creia que si tenían instalado el cliente firewall y configurado el
ie, ese cliente no tenia la protección firewall y que sólo usaba la
configuracion web del isa. Entonces según deduzco de tu comentario es que si
están los dos habilitados aprovecha las virtudes de los dos no? por un lado
utiliza la caché de la configuración web y por otro lado está utilizando las
características del cliente firewall no?
Ahora entiendo porque al instalar el cliente firewall te configura
automáticamente tambien el ie.
Todo esto es asi?

Si el IE esta configurado para usar proxy, todas las peticiones de este se
envian al puerto 8080 del ISA y las peticiones las maneja el servicio web
proxy.
Si el IE no esta configurado para usar proxy, las peticiones HTTP las maneja
el cliente firewall y dependiendo de la configuracion del filtro HTTP, las
peticiones las maneja el servicio firewall o el servicio web proxy.
-Si el filtro HTTP tiene la configuracion por defecto, enviar las peticiones
al servicio web proxy, las peticiones HTTP de los clientes firewall y
SecureNAT se "pasan" al servicio web proxy y hacen uso de la cache. Que
ocurre si fuerzas autentificacion para las peticiones web salientes ? pues
que estos clientes no pueden usar HTTP ya que en el caso de los clientes
firewall, la informacion de autentificacion se pierde y los clientes
SecureNAT no envian informacion de autentificacion.
-Si el filtro HTTP esta configurado para enviar la speticiones al sitio web
solicitado, las peticiones HTTP de los clientes firewall y SecureNAT las
maneja el servicio firewall y funcionan porque se saltan la autentificacion
del servicio web proxy, por contra, no hacen uso de la cache del ISA.

La configuracion ideal es usar clientes web proxy y firewall.

Un saludo.
Ivan
MS MVP ISA Server


"Raúl" escribió en el mensaje
news:

Es que yo creia que si tenían instalado el cliente firewall y configurado
el
ie, ese cliente no tenia la protección firewall y que sólo usaba la
configuracion web del isa. Entonces según deduzco de tu comentario es que
si
están los dos habilitados aprovecha las virtudes de los dos no? por un
lado
utiliza la caché de la configuración web y por otro lado está utilizando
las
características del cliente firewall no?
Ahora entiendo porque al instalar el cliente firewall te configura
automáticamente tambien el ie.
Todo esto es asi?

Lo entiendo perfectamente. Ahora te pongo un caso concreto que tengo. Hay un
usuario que necesita ser sólo cliente firewall porque necesita utilizar unos
puertos dinámicos diferentes al 8080, pero a su vez también necesito saber su
identificación. Es posible hacer esto? Según entiendo de tus palabras el
cliente firewall se salta la autentificación. No se puede entonces saber la
identificación de un cliente firewall? Quiero decir, aparecera siempre en
sesiones como un usuario anonimo?
Te comento que está claro que por un usuario no me interesa redirigir el
filtro http al servidor web solicitado porque esto implica que los demás
usuarios no se beneficien de la caché, por eso quiero saber si hay alguna
solución posible o no.
Gracias

"Raúl" escribió en el mensaje
news:

Lo entiendo perfectamente. Ahora te pongo un caso concreto que tengo. Hay
un
usuario que necesita ser sólo cliente firewall porque necesita utilizar
unos
puertos dinámicos diferentes al 8080, pero a su vez también necesito saber
su
identificación.

Si necesita acceder a un sitio web sin que esas peticiones las maneje el
servicio web proxy, debes realizar un bypass del servicio web proxy para ese
sitio, que consiste en:
1-Excluir en el IE de usar proxy ese sitio.
2-Instalar en ese cliente el firewall client
3-En el ISA configurar el HTTP redirector filter para enviar las peticiones
al sitio web solicitado.

Con esto consigues que el cliente pueda usar proxy siempre, para todos los
sitios, menos los sitios que excluyas. Como la peticion la maneja el cliente
firewall, puedes ver la informacion de autentificacion, el nombre de
usuario

El servicio web proxy unicamente puede manejar HTTP, HTTPS y FTP sobre HTTP,
el puerto es lo de menos. ISA entiende de protocolos mas que de puertos. Si
un usuario se quiere conectar a un sitio web que utiliza el puerto 8000 en
lugar del puerto estandar 80 TCP, lo puede hacer sin problemas, ya que es
HTTP.
Si esa aplicacion que se jecuta en el IE utiliza otros protocolos distintos
de HTTP, puedes saber que puertos son de muchas formas. La mas sencilla
quizas sea establecer la conexion desde un PC directamente conectado a
Internet y con el comando netstat -na verificar que puertos utiliza. Otra
opcion es usar los logs de ISA.

Es posible hacer esto? Según entiendo de tus palabras el
cliente firewall se salta la autentificación.

No es correcto,siempre esta la autentificacion de las reglas. Si hay una
peticion que utiliza HTTP, primero el servicio web proxy (si la peticion la
maneja el servicio wbe proxy) le pide autentificarse y luego se evaluan las
reglas para ver si el usuario tiene permitida esa peticion. Una cosa es que
veas anonimos en los logs y otra muy distinta que no haya ningun tipo de
autentificacion. Si la peticion la maneja el servicio web proxy y no fuerzas
autentificacion para las peticiones web salientes, aunque en las reglas
permitas a usuarios y grupos del dominio, siempre veras anonimos en los
logs, pero esto es por el macanismo de autentificacion del servicio web
proxy...

No se puede entonces saber la
identificación de un cliente firewall? Quiero decir, aparecera siempre en
sesiones como un usuario anonimo?

No, los clientes firewall siempre envian informacion de autentificacion, por
lo tanto siempre veras el nombre de usuario.

Te comento que está claro que por un usuario no me interesa redirigir el
filtro http al servidor web solicitado porque esto implica que los demás
usuarios no se beneficien de la caché, por eso quiero saber si hay alguna
solución posible o no.

Siempre que los navegadores (y cualquier otra aplicacion que soporte
configuracion de proxy) estan configurados para usar proxy usaran la cache
independientemente de la configuracion del HTTP redirector filter. Si como
te decia antes, en el IE excluyes un sitio, solo para ese sitio no se usa
proxy.
En una situacion ideal deberias configurar los navegadores mediante GPO
para que usen el proxy y evitar que los usuarios tengan acceso a esa pestaña
y puedan modificar la configuracion. Si, ya se lo que estas pensando, un
usuario se instala el opera y listo... pues si, pero estas ya son
consideraciones que se escapan un poco de lo que hablamos... tendriamos que
entrar e valorar porque los usuarios pueden instalar lo que les de la
gana... esto no se deberia permitir nunca, pero... ya sabemos todos que en
ocasiones no es posible por decisiones totalmente erroneas que no dependen
de nosotros, si no del jefe de turno

Un saludo.
Ivan
MS MVP ISA Server