ISA y bloqueo por aplicacion

No, no es posible hacer eso que pides. ISA y ningun cortafuegos que se
precie funcionan asi.
Primero debes saber que protocolos utiliza el skype. Con esto, creas las
definiciones de protocolo necesarias y ya puedes crear reglas de acceso que
permitan esos protocolos a los usuarios que necesiten usarlo. En los
clientes internos necesitas instalar el firewall client para poder aplicar
en las reglas usuarios y grupos del dominio.

Un saludo.
Ivan
MS MVP ISA Server


"Miguel" escribió en el mensaje
news:%

Hola

Hasta ahora tenía un proxy 2.0 que para el caso era suficiente. Pero
ahora,
todos los de la empresa necesitan tener salida con el Skype, pero no de
internet. Lo que yo quiero saber es si puedo permitir con el ISA server
salir a internet a "ciertos" usuarios, solo y cuando la aplicacion sea el
skype ¿como hace el ISA para saber que es el skype que sale?. Me
refiero
a que si existe la forma de controlar la aplicacion que sale mediante
HASH,
para que nadie me pueda suplantar la aplicacion Skype.exe por un cliente
FTP
(por ejemplo).

Gracias

y un saludo.

Un momento.

En un post anterior, pregunté si era posible controlar el acceso al ISA por
aplicacion (además de por puerto) y se me ha dicho que si, y eso tengo
entendido por la documentacion del ISA. Es igual que el firewall del XP SP2,
en la que yo le permito "salir" a la aplicacion X, no a todo lo que vaya al
puerto X ¿Estás seguro que no puedo controlar el tráfico en capa de
aplicacion?

Mi problema está en que si yo abro el puerto X al usuario pepe para que lo
utilice con el Skype, pepe podría montar un servidor FTP, http, etc.. en su
casa que responda al puerto X.

Un saludo
Miguel


"Ivan [MS MVP]" escribió en el mensaje
news:

No, no es posible hacer eso que pides. ISA y ningun cortafuegos que se
precie funcionan asi.
Primero debes saber que protocolos utiliza el skype. Con esto, creas las
definiciones de protocolo necesarias y ya puedes crear reglas de acceso

que

permitan esos protocolos a los usuarios que necesiten usarlo. En los
clientes internos necesitas instalar el firewall client para poder aplicar
en las reglas usuarios y grupos del dominio.

Un saludo.
Ivan
MS MVP ISA Server


"Miguel" escribió en el mensaje
news:%
> Hola
>
> Hasta ahora tenía un proxy 2.0 que para el caso era suficiente. Pero
> ahora,
> todos los de la empresa necesitan tener salida con el Skype, pero no de
> internet. Lo que yo quiero saber es si puedo permitir con el ISA server
> salir a internet a "ciertos" usuarios, solo y cuando la aplicacion sea

el

> skype ¿como hace el ISA para saber que es el skype que sale?. Me
> refiero
> a que si existe la forma de controlar la aplicacion que sale mediante
> HASH,
> para que nadie me pueda suplantar la aplicacion Skype.exe por un cliente
> FTP
> (por ejemplo).
>
> Gracias
>
> y un saludo.
>
>

"Miguel" escribió en el mensaje
news:O$

Un momento.

En un post anterior, pregunté si era posible controlar el acceso al ISA
por
aplicacion (además de por puerto) y se me ha dicho que si,

Donde esta ese post ? dudo mucho que alguien te haya dicho eso, al menos
aqui.. En ISA puedes controlar el acceso utilizando direcciones IP o
usuarios y grupos del dominio o del propio ISA. Tu puedes decir que el
usuario1 puede usar FTP y HTTP y el usuario2 SMTP y HTTP, pero NO puedes
decir que el usuario1 puede usar el skype y el media player y el usuario2 el
skype y el real player basicamente puede ser lo mismo siempre y cuando
permitas los protocolos que usa cada aplicacion.
Insisto en que esto no lo vas a encontrar en nigun firewall: ISA,
CheckPoint, Pix, etc, etc, otra cosa es un firewall de host orientado mas al
usuario.

y eso tengo
entendido por la documentacion del ISA.

No has mirado bien la documentacion de ISA.

Es igual que el firewall del XP SP2,
en la que yo le permito "salir" a la aplicacion X, no a todo lo que vaya
al
puerto X ¿Estás seguro que no puedo controlar el tráfico en capa de
aplicacion?

Hombre... tu crees que se pueden comparar el firewall de XP con ISA Server ?
ISA Server es un firewall orientado a redes, no un firewall de host como es
el de XP.. entre otras muchisimas diferencias.
ISA si controla el trafico a nivel de aplicacion, pero no de la forma que tu
entiendes capa de aplicacion. Aqui estamos hablando de la capa de aplicacion
a nivel de protocolo, no de aplicaciones en si, como seria el skype.
Con ISA puedes filtrar comandos SMTP, adjuntos, remitentes, puedes filtrar
metodos HTTP, headers HTTP, extensiones y un largisimo etc. Eso es filtrado
a nivel de la capa de aplicacion. Son cosas totalmente distintas que nada
tienen que ver la una con la otra.

Mi problema está en que si yo abro el puerto X al usuario pepe para que lo
utilice con el Skype, pepe podría montar un servidor FTP, http, etc.. en
su
casa que responda al puerto X.

Creo que deberias primero documentarte un poco sobre como funciona ISA.
Si tu permites a un cliente interno realizar un FTP, ISA, para entendernos,
abre y cierra de forma dinamica los puertos necesarios. Por ejemplo, un
cliente interno establece una conexion FTP con un servidor de internet con
IP 100.100.100.1. El canal de control se establece en el puerto 21 pero, el
servidor FTP envia datos al cliente con puerto origen el 20 TCP (FTP port) y
puerto destino un puerto aleatorio que ha negociado con el cliente a traves
del canal de control, por ejemplo el 5324 TCP. En todo este proceso, ISA
sabe perfectamente que solo debe permitir las comunicaciones entrantes al
puerto 5324 al host con IP 100.100.100.1 y puerto origen 20. Por supuesto,
solo se permiten esas comunicaciones en esa sesion TCP, de nada sirve
establecer una sesion TCP contra el puerto 5324, ISA no lo permite.

Si necesitas que un servidor ftp interno, situado detras del ISA, sea
accesible desde internet, debes crear una regla de publicacion de servidor,
es decir, tu expresamnete debes permitirlo al crear dicha regla.

Un saludo.
Ivan
MS MVP ISA Server

Vaya, pues si que estaba despistado...

Entonces el ISa no me aporta nada que no me aporte el Proxy Server 2.0,
además de cuotas, etc... Me refiero a la seguridad en si.


"Ivan [MS MVP]" escribió en el mensaje
news:

"Miguel" escribió en el mensaje
news:O$
> Un momento.
>
> En un post anterior, pregunté si era posible controlar el acceso al ISA
> por
> aplicacion (además de por puerto) y se me ha dicho que si,

Donde esta ese post ? dudo mucho que alguien te haya dicho eso, al menos
aqui.. En ISA puedes controlar el acceso utilizando direcciones IP o
usuarios y grupos del dominio o del propio ISA. Tu puedes decir que el
usuario1 puede usar FTP y HTTP y el usuario2 SMTP y HTTP, pero NO puedes
decir que el usuario1 puede usar el skype y el media player y el usuario2

el

skype y el real player basicamente puede ser lo mismo siempre y cuando
permitas los protocolos que usa cada aplicacion.
Insisto en que esto no lo vas a encontrar en nigun firewall: ISA,
CheckPoint, Pix, etc, etc, otra cosa es un firewall de host orientado mas

al

usuario.

> y eso tengo
> entendido por la documentacion del ISA.

No has mirado bien la documentacion de ISA.

> Es igual que el firewall del XP SP2,
> en la que yo le permito "salir" a la aplicacion X, no a todo lo que vaya
> al
> puerto X ¿Estás seguro que no puedo controlar el tráfico en capa de
> aplicacion?

Hombre... tu crees que se pueden comparar el firewall de XP con ISA Server

?

ISA Server es un firewall orientado a redes, no un firewall de host como

es

el de XP.. entre otras muchisimas diferencias.
ISA si controla el trafico a nivel de aplicacion, pero no de la forma que

tu

entiendes capa de aplicacion. Aqui estamos hablando de la capa de

aplicacion

a nivel de protocolo, no de aplicaciones en si, como seria el skype.
Con ISA puedes filtrar comandos SMTP, adjuntos, remitentes, puedes filtrar
metodos HTTP, headers HTTP, extensiones y un largisimo etc. Eso es

filtrado

a nivel de la capa de aplicacion. Son cosas totalmente distintas que nada
tienen que ver la una con la otra.

>
> Mi problema está en que si yo abro el puerto X al usuario pepe para que

lo

> utilice con el Skype, pepe podría montar un servidor FTP, http, etc.. en
> su
> casa que responda al puerto X.

Creo que deberias primero documentarte un poco sobre como funciona ISA.
Si tu permites a un cliente interno realizar un FTP, ISA, para

entendernos,

abre y cierra de forma dinamica los puertos necesarios. Por ejemplo, un
cliente interno establece una conexion FTP con un servidor de internet con
IP 100.100.100.1. El canal de control se establece en el puerto 21 pero,

el

servidor FTP envia datos al cliente con puerto origen el 20 TCP (FTP port)

y

puerto destino un puerto aleatorio que ha negociado con el cliente a

traves

del canal de control, por ejemplo el 5324 TCP. En todo este proceso, ISA
sabe perfectamente que solo debe permitir las comunicaciones entrantes al
puerto 5324 al host con IP 100.100.100.1 y puerto origen 20. Por supuesto,
solo se permiten esas comunicaciones en esa sesion TCP, de nada sirve
establecer una sesion TCP contra el puerto 5324, ISA no lo permite.

Si necesitas que un servidor ftp interno, situado detras del ISA, sea
accesible desde internet, debes crear una regla de publicacion de

servidor,

es decir, tu expresamnete debes permitirlo al crear dicha regla.

Un saludo.
Ivan
MS MVP ISA Server

Que no te aporta nada ? ISA 2000 es infinitamente superior a proxy 2.0 en
todos, absolutamente todos los aspectos, incluida la seguridad, no hay
color, no se pueden casi ni comparar... y si ya hablamos de ISA 2004,
pues... es comparar un Seat 600 con un Ferrari. No se si es una
comparacion valida, al final el 600 tambien te lleva a donde quieres ir,
pero bueno, creo que se "pilla" la idea...

Solo piensa en que año se libero Proxy 2.0 y cuando ISA 2004. Este intervalo
de tiempo es muy elevado en este negocio.
Proxy 2.0 ademas, ha quedado sin soporte por parte de Microsoft. compruebalo
tu mismo:
http://support.microsoft.com/gp/lifeprodp

Es sumamente recomendable actualizar bien a ISA 2000 o ISA 2004,
preferiblemnte este ultimo. No seria logico adquirir licencias de ISA 2000
estando disponible 2004.

Un saludo.
Ivan
MS MVP ISA Server


"Miguel" escribió en el mensaje
news:

Vaya, pues si que estaba despistado...

Entonces el ISa no me aporta nada que no me aporte el Proxy Server 2.0,
además de cuotas, etc... Me refiero a la seguridad en si.


"Ivan [MS MVP]" escribió en el mensaje
news:

"Miguel" escribió en el mensaje
news:O$
> Un momento.
>
> En un post anterior, pregunté si era posible controlar el acceso al ISA
> por
> aplicacion (además de por puerto) y se me ha dicho que si,

Donde esta ese post ? dudo mucho que alguien te haya dicho eso, al menos
aqui.. En ISA puedes controlar el acceso utilizando direcciones IP o
usuarios y grupos del dominio o del propio ISA. Tu puedes decir que el
usuario1 puede usar FTP y HTTP y el usuario2 SMTP y HTTP, pero NO puedes
decir que el usuario1 puede usar el skype y el media player y el usuario2

el

skype y el real player basicamente puede ser lo mismo siempre y
cuando
permitas los protocolos que usa cada aplicacion.
Insisto en que esto no lo vas a encontrar en nigun firewall: ISA,
CheckPoint, Pix, etc, etc, otra cosa es un firewall de host orientado mas

al

usuario.

> y eso tengo
> entendido por la documentacion del ISA.

No has mirado bien la documentacion de ISA.

> Es igual que el firewall del XP SP2,
> en la que yo le permito "salir" a la aplicacion X, no a todo lo que
> vaya
> al
> puerto X ¿Estás seguro que no puedo controlar el tráfico en capa de
> aplicacion?

Hombre... tu crees que se pueden comparar el firewall de XP con ISA
Server

?

ISA Server es un firewall orientado a redes, no un firewall de host como

es

el de XP.. entre otras muchisimas diferencias.
ISA si controla el trafico a nivel de aplicacion, pero no de la forma que

tu

entiendes capa de aplicacion. Aqui estamos hablando de la capa de

aplicacion

a nivel de protocolo, no de aplicaciones en si, como seria el skype.
Con ISA puedes filtrar comandos SMTP, adjuntos, remitentes, puedes
filtrar
metodos HTTP, headers HTTP, extensiones y un largisimo etc. Eso es

filtrado

a nivel de la capa de aplicacion. Son cosas totalmente distintas que nada
tienen que ver la una con la otra.

>
> Mi problema está en que si yo abro el puerto X al usuario pepe para que

lo

> utilice con el Skype, pepe podría montar un servidor FTP, http, etc..
> en
> su
> casa que responda al puerto X.

Creo que deberias primero documentarte un poco sobre como funciona ISA.
Si tu permites a un cliente interno realizar un FTP, ISA, para

entendernos,

abre y cierra de forma dinamica los puertos necesarios. Por ejemplo, un
cliente interno establece una conexion FTP con un servidor de internet
con
IP 100.100.100.1. El canal de control se establece en el puerto 21 pero,

el

servidor FTP envia datos al cliente con puerto origen el 20 TCP (FTP
port)

y

puerto destino un puerto aleatorio que ha negociado con el cliente a

traves

del canal de control, por ejemplo el 5324 TCP. En todo este proceso, ISA
sabe perfectamente que solo debe permitir las comunicaciones entrantes al
puerto 5324 al host con IP 100.100.100.1 y puerto origen 20. Por
supuesto,
solo se permiten esas comunicaciones en esa sesion TCP, de nada sirve
establecer una sesion TCP contra el puerto 5324, ISA no lo permite.

Si necesitas que un servidor ftp interno, situado detras del ISA, sea
accesible desde internet, debes crear una regla de publicacion de

servidor,

es decir, tu expresamnete debes permitirlo al crear dicha regla.

Un saludo.
Ivan
MS MVP ISA Server