¿Cómo impedir la ejecución de EMULE de manera efectiva?

Por lo que veo, la configuracion de tu firewall es: permitir todo y luego
denegar. Esta es una mala implementacion de las reglas de acceso, debes
realizarlo de la forma contraria, denegar todo y permitir lo necesario. Si
no lo haces de esta forma, nunca vas a tener un control y seguridad reales.
Hoy es el emule, mañana es el kazaa, al otro el bit torrent, ect, ect, etc
Si empiezas por permitir lo necesario y NUNCA todo el trafico en saliente,
lo unico que te queda por realizar es evitar que esas aplicaciones puedan
funcionar "tunelizadas" sobre HTTP.
Si se trata de ISA 2004:
http://www.microsoft.com/technet/pr...ering.mspx
http://www.microsoft.com/technet/pr...tures.mspx

En el caso de ISA 2000, realizar algo como esto:
http://support.microsoft.com/defaul...-us;891598

Independientemente de la version de ISA, deberias forzar autentificacion
para las peticiones web salientes y utilizar autentificaicon integrada.

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:%23ACSHRI%

Hola a todos.

Necesito impedir que mis usuarios no puedan salir por el ISA con Emule. Lo
he intentado cerrando los puertos que utiliza Emule, pero esta protección
se salta fácilmente.

Había pensado en comprobar las cabeceras que envía el cliente Emule, pero
no se si funcionará y tampoco sé como implementarlo.

¿Alguna sugerencia?

Gracias a todos.

Gracias Iván.

Ahora ya solo permito HTTP (80), y la gente sigue saliendo con emule por
ahí.

Un saludo.


"Ivan [MS MVP]" escribió en el mensaje
news:%23q5$GYI%

Por lo que veo, la configuracion de tu firewall es: permitir todo y luego
denegar. Esta es una mala implementacion de las reglas de acceso, debes
realizarlo de la forma contraria, denegar todo y permitir lo necesario. Si
no lo haces de esta forma, nunca vas a tener un control y seguridad
reales. Hoy es el emule, mañana es el kazaa, al otro el bit torrent, ect,
ect, etc
Si empiezas por permitir lo necesario y NUNCA todo el trafico en saliente,
lo unico que te queda por realizar es evitar que esas aplicaciones puedan
funcionar "tunelizadas" sobre HTTP.
Si se trata de ISA 2004:
http://www.microsoft.com/technet/pr...ering.mspx
http://www.microsoft.com/technet/pr...tures.mspx

En el caso de ISA 2000, realizar algo como esto:
http://support.microsoft.com/defaul...-us;891598

Independientemente de la version de ISA, deberias forzar autentificacion
para las peticiones web salientes y utilizar autentificaicon integrada.

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:%23ACSHRI%

Hola a todos.

Necesito impedir que mis usuarios no puedan salir por el ISA con Emule.
Lo he intentado cerrando los puertos que utiliza Emule, pero esta
protección se salta fácilmente.

Había pensado en comprobar las cabeceras que envía el cliente Emule, pero
no se si funcionará y tampoco sé como implementarlo.

¿Alguna sugerencia?

Gracias a todos.

Bueno, estos programas si no hay reglas de publicacion en el ISA no
funcionan ni medio bien, pero, aun asi, lo ideal es que no funcionen del
todo.
De todas formas, el emule es necesario configurarlo explicitamente para usar
proxy (o eso creo) y por lo tanto si estas forzando autentificacion para las
peticiones web salientes, dificilmente va a poder funcionar. Por lo tanto la
pregunta es: estas forzando autentificacion para las peticiones wbe
salientes y usas autentificacion integrada ?

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:%23LxXsqK%

Gracias Iván.

Ahora ya solo permito HTTP (80), y la gente sigue saliendo con emule por
ahí.

Un saludo.


"Ivan [MS MVP]" escribió en el mensaje
news:%23q5$GYI%

Por lo que veo, la configuracion de tu firewall es: permitir todo y luego
denegar. Esta es una mala implementacion de las reglas de acceso, debes
realizarlo de la forma contraria, denegar todo y permitir lo necesario.
Si no lo haces de esta forma, nunca vas a tener un control y seguridad
reales. Hoy es el emule, mañana es el kazaa, al otro el bit torrent, ect,
ect, etc
Si empiezas por permitir lo necesario y NUNCA todo el trafico en
saliente, lo unico que te queda por realizar es evitar que esas
aplicaciones puedan funcionar "tunelizadas" sobre HTTP.
Si se trata de ISA 2004:
http://www.microsoft.com/technet/pr...ering.mspx
http://www.microsoft.com/technet/pr...tures.mspx

En el caso de ISA 2000, realizar algo como esto:
http://support.microsoft.com/defaul...-us;891598

Independientemente de la version de ISA, deberias forzar autentificacion
para las peticiones web salientes y utilizar autentificaicon integrada.

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:%23ACSHRI%

Hola a todos.

Necesito impedir que mis usuarios no puedan salir por el ISA con Emule.
Lo he intentado cerrando los puertos que utiliza Emule, pero esta
protección se salta fácilmente.

Había pensado en comprobar las cabeceras que envía el cliente Emule,
pero no se si funcionará y tampoco sé como implementarlo.

¿Alguna sugerencia?

Gracias a todos.

Hola de nuevo.

No puedo autenticar a los clientes. Son particulares que acceden a Internet
a través de un acceso inalámbrico, y lo único que he hecho es montar un DHCP
para entregarles una dirección IP, una puerta de enlace predeterminada
(clientes SecureNat) y nada más. Los responsables de la red no quieren que
los usuarios tengan que autenticarse.

Un saludo


"Ivan [MS MVP]" escribió en el mensaje
news:e0YCtlL%

Bueno, estos programas si no hay reglas de publicacion en el ISA no
funcionan ni medio bien, pero, aun asi, lo ideal es que no funcionen del
todo.
De todas formas, el emule es necesario configurarlo explicitamente para
usar proxy (o eso creo) y por lo tanto si estas forzando autentificacion
para las peticiones web salientes, dificilmente va a poder funcionar. Por
lo tanto la pregunta es: estas forzando autentificacion para las
peticiones wbe salientes y usas autentificacion integrada ?

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:%23LxXsqK%

Gracias Iván.

Ahora ya solo permito HTTP (80), y la gente sigue saliendo con emule por
ahí.

Un saludo.


"Ivan [MS MVP]" escribió en el mensaje
news:%23q5$GYI%

Por lo que veo, la configuracion de tu firewall es: permitir todo y
luego denegar. Esta es una mala implementacion de las reglas de acceso,
debes realizarlo de la forma contraria, denegar todo y permitir lo
necesario. Si no lo haces de esta forma, nunca vas a tener un control y
seguridad reales. Hoy es el emule, mañana es el kazaa, al otro el bit
torrent, ect, ect, etc
Si empiezas por permitir lo necesario y NUNCA todo el trafico en
saliente, lo unico que te queda por realizar es evitar que esas
aplicaciones puedan funcionar "tunelizadas" sobre HTTP.
Si se trata de ISA 2004:
http://www.microsoft.com/technet/pr...ering.mspx
http://www.microsoft.com/technet/pr...tures.mspx

En el caso de ISA 2000, realizar algo como esto:
http://support.microsoft.com/defaul...-us;891598

Independientemente de la version de ISA, deberias forzar autentificacion
para las peticiones web salientes y utilizar autentificaicon integrada.

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:%23ACSHRI%

Hola a todos.

Necesito impedir que mis usuarios no puedan salir por el ISA con Emule.
Lo he intentado cerrando los puertos que utiliza Emule, pero esta
protección se salta fácilmente.

Había pensado en comprobar las cabeceras que envía el cliente Emule,
pero no se si funcionará y tampoco sé como implementarlo.

¿Alguna sugerencia?

Gracias a todos.

Que version de ISA utilizas ?

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:upXTrsL%

Hola de nuevo.

No puedo autenticar a los clientes. Son particulares que acceden a
Internet a través de un acceso inalámbrico, y lo único que he hecho es
montar un DHCP para entregarles una dirección IP, una puerta de enlace
predeterminada (clientes SecureNat) y nada más. Los responsables de la red
no quieren que los usuarios tengan que autenticarse.

Un saludo


"Ivan [MS MVP]" escribió en el mensaje
news:e0YCtlL%

Bueno, estos programas si no hay reglas de publicacion en el ISA no
funcionan ni medio bien, pero, aun asi, lo ideal es que no funcionen del
todo.
De todas formas, el emule es necesario configurarlo explicitamente para
usar proxy (o eso creo) y por lo tanto si estas forzando autentificacion
para las peticiones web salientes, dificilmente va a poder funcionar. Por
lo tanto la pregunta es: estas forzando autentificacion para las
peticiones wbe salientes y usas autentificacion integrada ?

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:%23LxXsqK%

Gracias Iván.

Ahora ya solo permito HTTP (80), y la gente sigue saliendo con emule por
ahí.

Un saludo.


"Ivan [MS MVP]" escribió en el mensaje
news:%23q5$GYI%

Por lo que veo, la configuracion de tu firewall es: permitir todo y
luego denegar. Esta es una mala implementacion de las reglas de acceso,
debes realizarlo de la forma contraria, denegar todo y permitir lo
necesario. Si no lo haces de esta forma, nunca vas a tener un control y
seguridad reales. Hoy es el emule, mañana es el kazaa, al otro el bit
torrent, ect, ect, etc
Si empiezas por permitir lo necesario y NUNCA todo el trafico en
saliente, lo unico que te queda por realizar es evitar que esas
aplicaciones puedan funcionar "tunelizadas" sobre HTTP.
Si se trata de ISA 2004:
http://www.microsoft.com/technet/pr...ering.mspx
http://www.microsoft.com/technet/pr...tures.mspx

En el caso de ISA 2000, realizar algo como esto:
http://support.microsoft.com/defaul...-us;891598

Independientemente de la version de ISA, deberias forzar
autentificacion para las peticiones web salientes y utilizar
autentificaicon integrada.

Un saludo.
Ivan
MS MVP ISA Server


"Luis Santos" escribió en el mensaje
news:%23ACSHRI%

Hola a todos.

Necesito impedir que mis usuarios no puedan salir por el ISA con
Emule. Lo he intentado cerrando los puertos que utiliza Emule, pero
esta protección se salta fácilmente.

Había pensado en comprobar las cabeceras que envía el cliente Emule,
pero no se si funcionará y tampoco sé como implementarlo.

¿Alguna sugerencia?

Gracias a todos.