Informes IP & Users

Te refieres a usuarios anonimos ?
Que tipo de clientes empleas ? deberias suar clientes firewall y web proxy,
si tus usuarios tienen como default gateway la IP ienrtna del ISA tienes
clientes Secure NAT y este tipo de cliente no envia informacion de
autentificacion. Aun usando clientes web proxy y firewall siempre vas a
tener usuarios anonymos y es debido a la autentificacion NTLM, si miras los
logs del servicio web proxy veras que siempre hay tres tramas antes de
autorizar la peticion, las dos primeras muestran usuario anonimo. Otra causa
muy comun son virus y spyware en lso clientes inetrnos, sobre todo spyware..
Hay que mirar los logs, ver que clientes generan ese tipo de trafico y
centrarse en un cliente: que aplicaciones se ejecutan, que tipo de cliente
de ISA es, tiene spyware, ect


Un saludo.
Ivan
MS MVP ISA Server


"Jose Maria Navarro" escribió en el mensaje
news:uXYY%

A que es debido que en los informes estadisticos salgan las IP's de los
usuarios y en algunos casos los nombres de los usuarios. De esta manera es
dificil en muchos casos agrupar o controlar el volumen de trafico en la

red.

Jose Maria Navarro

Empleo clientes firewall y web proxy, y mis clientes no tienen default
gateway.

WEBD20040709.log este fichero muestra las ip, y luego los anonymous.

FWSD20040709.log este fichero si muestra los nombres de los usuarios.

Si detecto que solo se autentifica la sesion cuando se consulta el correo
electrónico.


Por lo que me indicas esto se puede hacer ?

Un saludo

Jose Maria




"Ivan [MS MVP]" escribió en el mensaje
news:uy$

Te refieres a usuarios anonimos ?
Que tipo de clientes empleas ? deberias suar clientes firewall y web

proxy,

si tus usuarios tienen como default gateway la IP ienrtna del ISA tienes
clientes Secure NAT y este tipo de cliente no envia informacion de
autentificacion. Aun usando clientes web proxy y firewall siempre vas a
tener usuarios anonymos y es debido a la autentificacion NTLM, si miras

los

logs del servicio web proxy veras que siempre hay tres tramas antes de
autorizar la peticion, las dos primeras muestran usuario anonimo. Otra

causa

muy comun son virus y spyware en lso clientes inetrnos, sobre todo

spyware..

Hay que mirar los logs, ver que clientes generan ese tipo de trafico y
centrarse en un cliente: que aplicaciones se ejecutan, que tipo de cliente
de ISA es, tiene spyware, ect


Un saludo.
Ivan
MS MVP ISA Server


"Jose Maria Navarro" escribió en el mensaje
news:uXYY%
> A que es debido que en los informes estadisticos salgan las IP's de los
> usuarios y en algunos casos los nombres de los usuarios. De esta manera

es

> dificil en muchos casos agrupar o controlar el volumen de trafico en la
red.
>
> Jose Maria Navarro
>
>

Si es en el log del servicio web proxy, imagino que tienes entradas como
estas:
IP_cliente, anonymous, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
IP_cliente, anonymous, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
IP_cliente, DOMINIO\USUARIO, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1)

Estas entradas son normales, es debido a la autentificacion NTLM (3 vias) y
no puedes hacer nada para evitarlo, es "by desing".
Si son otro tipo de entradas, spyware casi con total seguridad. Lo tienes
facil, mira una IP, acercate a esa maquina y pasale el ad-aware, spybot,
pest patrol, etc, seguro que tiene un monton de spyware.

Un saludo.
Ivan
MS MVP ISA Server


"Jose Maria Navarro" escribió en el mensaje
news:%23GLaT%

Empleo clientes firewall y web proxy, y mis clientes no tienen default
gateway.

WEBD20040709.log este fichero muestra las ip, y luego los anonymous.

FWSD20040709.log este fichero si muestra los nombres de los usuarios.

Si detecto que solo se autentifica la sesion cuando se consulta el correo
electrónico.


Por lo que me indicas esto se puede hacer ?

Un saludo

Jose Maria




"Ivan [MS MVP]" escribió en el mensaje
news:uy$
> Te refieres a usuarios anonimos ?
> Que tipo de clientes empleas ? deberias suar clientes firewall y web
proxy,
> si tus usuarios tienen como default gateway la IP ienrtna del ISA tienes
> clientes Secure NAT y este tipo de cliente no envia informacion de
> autentificacion. Aun usando clientes web proxy y firewall siempre vas a
> tener usuarios anonymos y es debido a la autentificacion NTLM, si miras
los
> logs del servicio web proxy veras que siempre hay tres tramas antes de
> autorizar la peticion, las dos primeras muestran usuario anonimo. Otra
causa
> muy comun son virus y spyware en lso clientes inetrnos, sobre todo
spyware..
> Hay que mirar los logs, ver que clientes generan ese tipo de trafico y
> centrarse en un cliente: que aplicaciones se ejecutan, que tipo de

cliente

> de ISA es, tiene spyware, ect
>
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Jose Maria Navarro" escribió en el mensaje
> news:uXYY%
> > A que es debido que en los informes estadisticos salgan las IP's de

los

> > usuarios y en algunos casos los nombres de los usuarios. De esta

manera

es
> > dificil en muchos casos agrupar o controlar el volumen de trafico en

la

> red.
> >
> > Jose Maria Navarro
> >
> >
>
>

GRacias por la información, he instalado el soft ad-aware en las maquinas
sospechosas y si me ha borrado todo aquello que ha identificado como
spyware. No obstante he comprobado esto luego en los informes estadisticos y
todavia sigue apareciendo el usuario anonimo y las graficas estadisticas en
muchas (la mayoria) trabaja con IP'S y no con nombres.

Un saludo


Jose Maria Navarro


"Ivan [MS MVP]" escribió en el mensaje
news:%

Si es en el log del servicio web proxy, imagino que tienes entradas como
estas:
IP_cliente, anonymous, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
IP_cliente, anonymous, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
IP_cliente, DOMINIO\USUARIO, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1)

Estas entradas son normales, es debido a la autentificacion NTLM (3 vias)

y

no puedes hacer nada para evitarlo, es "by desing".
Si son otro tipo de entradas, spyware casi con total seguridad. Lo tienes
facil, mira una IP, acercate a esa maquina y pasale el ad-aware, spybot,
pest patrol, etc, seguro que tiene un monton de spyware.

Un saludo.
Ivan
MS MVP ISA Server


"Jose Maria Navarro" escribió en el mensaje
news:%23GLaT%
> Empleo clientes firewall y web proxy, y mis clientes no tienen default
> gateway.
>
> WEBD20040709.log este fichero muestra las ip, y luego los anonymous.
>
> FWSD20040709.log este fichero si muestra los nombres de los usuarios.
>
> Si detecto que solo se autentifica la sesion cuando se consulta el

correo

> electrónico.
>
>
> Por lo que me indicas esto se puede hacer ?
>
> Un saludo
>
> Jose Maria
>
>
>
>
> "Ivan [MS MVP]" escribió en el mensaje
> news:uy$
> > Te refieres a usuarios anonimos ?
> > Que tipo de clientes empleas ? deberias suar clientes firewall y web
> proxy,
> > si tus usuarios tienen como default gateway la IP ienrtna del ISA

tienes

> > clientes Secure NAT y este tipo de cliente no envia informacion de
> > autentificacion. Aun usando clientes web proxy y firewall siempre vas

a

> > tener usuarios anonymos y es debido a la autentificacion NTLM, si

miras

> los
> > logs del servicio web proxy veras que siempre hay tres tramas antes de
> > autorizar la peticion, las dos primeras muestran usuario anonimo. Otra
> causa
> > muy comun son virus y spyware en lso clientes inetrnos, sobre todo
> spyware..
> > Hay que mirar los logs, ver que clientes generan ese tipo de trafico y
> > centrarse en un cliente: que aplicaciones se ejecutan, que tipo de
cliente
> > de ISA es, tiene spyware, ect
> >
> >
> > Un saludo.
> > Ivan
> > MS MVP ISA Server
> >
> >
> > "Jose Maria Navarro" escribió en el mensaje
> > news:uXYY%
> > > A que es debido que en los informes estadisticos salgan las IP's de
los
> > > usuarios y en algunos casos los nombres de los usuarios. De esta
manera
> es
> > > dificil en muchos casos agrupar o controlar el volumen de trafico en
la
> > red.
> > >
> > > Jose Maria Navarro
> > >
> > >
> >
> >
>
>

Estas forzando autentificacion para las peticiones web salientes ? Desde la MMC de ISA, servers and arrays, propiedades de tu servidor, pestaña outgoing web request, en la parte inferior esta marcada la opcion ask unauthenticated users for identification ?
Insisto de nuevo, estas entradas son normales:
IP_cliente, anonymous, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
IP_cliente, anonymous, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
IP_cliente, DOMINIO\USUARIO, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1)

Abre cualqueir pagina desde tu equipo, mira luego los logs del servicio web proxy y si esta forzada la autentificacion veras tres tramas como las anteriores con la IP de tu maquina y en la tercera Tu_Dominio\Tu_Usuario

Un saludo.
Ivan
MS MVP ISA Server


"Jose Maria Navarro" escribió en el mensaje news:

GRacias por la información, he instalado el soft ad-aware en las maquinas
sospechosas y si me ha borrado todo aquello que ha identificado como
spyware. No obstante he comprobado esto luego en los informes estadisticos y
todavia sigue apareciendo el usuario anonimo y las graficas estadisticas en
muchas (la mayoria) trabaja con IP'S y no con nombres.

Un saludo


Jose Maria Navarro


"Ivan [MS MVP]" escribió en el mensaje
news:%
> Si es en el log del servicio web proxy, imagino que tienes entradas como
> estas:
> IP_cliente, anonymous, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
> IP_cliente, anonymous, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
> IP_cliente, DOMINIO\USUARIO, Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
> 5.1)
>
> Estas entradas son normales, es debido a la autentificacion NTLM (3 vias)
y
> no puedes hacer nada para evitarlo, es "by desing".
> Si son otro tipo de entradas, spyware casi con total seguridad. Lo tienes
> facil, mira una IP, acercate a esa maquina y pasale el ad-aware, spybot,
> pest patrol, etc, seguro que tiene un monton de spyware.
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Jose Maria Navarro" escribió en el mensaje
> news:%23GLaT%
> > Empleo clientes firewall y web proxy, y mis clientes no tienen default
> > gateway.
> >
> > WEBD20040709.log este fichero muestra las ip, y luego los anonymous.
> >
> > FWSD20040709.log este fichero si muestra los nombres de los usuarios.
> >
> > Si detecto que solo se autentifica la sesion cuando se consulta el
correo
> > electrónico.
> >
> >
> > Por lo que me indicas esto se puede hacer ?
> >
> > Un saludo
> >
> > Jose Maria
> >
> >
> >
> >
> > "Ivan [MS MVP]" escribió en el mensaje
> > news:uy$
> > > Te refieres a usuarios anonimos ?
> > > Que tipo de clientes empleas ? deberias suar clientes firewall y web
> > proxy,
> > > si tus usuarios tienen como default gateway la IP ienrtna del ISA
tienes
> > > clientes Secure NAT y este tipo de cliente no envia informacion de
> > > autentificacion. Aun usando clientes web proxy y firewall siempre vas
a
> > > tener usuarios anonymos y es debido a la autentificacion NTLM, si
miras
> > los
> > > logs del servicio web proxy veras que siempre hay tres tramas antes de
> > > autorizar la peticion, las dos primeras muestran usuario anonimo. Otra
> > causa
> > > muy comun son virus y spyware en lso clientes inetrnos, sobre todo
> > spyware..
> > > Hay que mirar los logs, ver que clientes generan ese tipo de trafico y
> > > centrarse en un cliente: que aplicaciones se ejecutan, que tipo de
> cliente
> > > de ISA es, tiene spyware, ect
> > >
> > >
> > > Un saludo.
> > > Ivan
> > > MS MVP ISA Server
> > >
> > >
> > > "Jose Maria Navarro" escribió en el mensaje
> > > news:uXYY%
> > > > A que es debido que en los informes estadisticos salgan las IP's de
> los
> > > > usuarios y en algunos casos los nombres de los usuarios. De esta
> manera
> > es
> > > > dificil en muchos casos agrupar o controlar el volumen de trafico en
> la
> > > red.
> > > >
> > > > Jose Maria Navarro
> > > >
> > > >
> > >
> > >
> >
> >
>
>