Bloquear Messenger ISA 2004

He hecho todo OK (aunque ya lo tenía así) he revisado los log y lo único que
veo es que varía el HTTP Method y que en unos el puerto es 80 y en otros 443
(me refiero a los sucesivos reintentos por conectar el messenger). Cuando va
por el 80 el messenger funciona
"Ivan [MS MVP]" wrote:

Sobre la regla que permite HTTP, clic derecho, selecciona Configure HTTP,
pestaña signatures y agrega la entrada que te he mencionado antes ? has
realizado esto ? yo diria que no porque este metodo funciona perfectamente.
Asegurate que esta regla de acceso esta en primer lugar y se aplica a todos
los usuarios o al menos a los usuarios que quieras bloquear.
Por supuesto, ninguna regla debe permitir MSN Messenger ni todo el trafico
en saliente
Utiliza los logs en tiempo real filtrandolos para ver solo las peticiones
del cliente desde el que estas probando. Esto te indicara que reglas y
protocolos se le estan aplicando. Quizas la regla que de filtrado no se
esta aplicando o esta utilizando el protocolo MSN messenger.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> No quiero ser pesado, pero no hay forma, si el usuario lo intenta 3 veces
> consigue entrar. Solo tengo otra regla que permite FTP y salida/entrada
> VPN.
> Tengo que generar un content type con x-msn-messenger???
>
> "Ivan [MS MVP]" wrote:
>
>> Signatures, add:
>>
>> Name: MSN Messenger
>> Search in: Request Headers
>> HTTP header: application:
>> Signature: x-msn-messenger
>>
>> Por supuesto, de nada sirve esto, si hay otra regla que permite HTTP y no
>> esta aplicado este filtrado
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > Hola Ivan, he creado la firma pero no bloquea el messenger, despues de
>> > 3
>> > intentos los usuarios pueden entrar. Qué criterio debo seguir para
>> > filtrar
>> > la
>> > firma. header, URL, body... Quizá esté ahí el problema
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> application/x-msn-messenger
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > Hola a todos,
>> >> >
>> >> > Intento bloquear el Messenger en ISA 2004. Tengo una regla de solo
>> >> > permitir
>> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> > 1- Crear una nueva regla que bloquee los protocolos de Mensajería
>> >> > Instantánea y ubicarlos antes de la regla HTTP. No sucede nada
>> >> >
>> >> > 2- Crear filtros Headers- Signatures y se bloquea el messenger pero
>> >> > de
>> >> > esa
>> >> > forma no accedo a ningua página de internet.
>> >> >
>> >> >
>> >> > ¿Qué puedo hacer?
>> >> >
>> >> > Gracias.
>> >>
>> >>
>> >>
>>
>>
>>

Windows Messenger o MSN Messenger ? no es lo mismo, los headers son
distintos...
De todas formas, una pregunta, estas forzando autentificacion para las
peticiones web salientes ?

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:

He hecho todo OK (aunque ya lo tenía así) he revisado los log y lo único
que
veo es que varía el HTTP Method y que en unos el puerto es 80 y en otros
443
(me refiero a los sucesivos reintentos por conectar el messenger). Cuando
va
por el 80 el messenger funciona
"Ivan [MS MVP]" wrote:

Sobre la regla que permite HTTP, clic derecho, selecciona Configure HTTP,
pestaña signatures y agrega la entrada que te he mencionado antes ? has
realizado esto ? yo diria que no porque este metodo funciona
perfectamente.
Asegurate que esta regla de acceso esta en primer lugar y se aplica a
todos
los usuarios o al menos a los usuarios que quieras bloquear.
Por supuesto, ninguna regla debe permitir MSN Messenger ni todo el
trafico
en saliente
Utiliza los logs en tiempo real filtrandolos para ver solo las peticiones
del cliente desde el que estas probando. Esto te indicara que reglas y
protocolos se le estan aplicando. Quizas la regla que de filtrado no se
esta aplicando o esta utilizando el protocolo MSN messenger.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> No quiero ser pesado, pero no hay forma, si el usuario lo intenta 3
> veces
> consigue entrar. Solo tengo otra regla que permite FTP y salida/entrada
> VPN.
> Tengo que generar un content type con x-msn-messenger???
>
> "Ivan [MS MVP]" wrote:
>
>> Signatures, add:
>>
>> Name: MSN Messenger
>> Search in: Request Headers
>> HTTP header: application:
>> Signature: x-msn-messenger
>>
>> Por supuesto, de nada sirve esto, si hay otra regla que permite HTTP y
>> no
>> esta aplicado este filtrado
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > Hola Ivan, he creado la firma pero no bloquea el messenger, despues
>> > de
>> > 3
>> > intentos los usuarios pueden entrar. Qué criterio debo seguir para
>> > filtrar
>> > la
>> > firma. header, URL, body... Quizá esté ahí el problema
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> application/x-msn-messenger
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > Hola a todos,
>> >> >
>> >> > Intento bloquear el Messenger en ISA 2004. Tengo una regla de
>> >> > solo
>> >> > permitir
>> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> > 1- Crear una nueva regla que bloquee los protocolos de Mensajería
>> >> > Instantánea y ubicarlos antes de la regla HTTP. No sucede nada
>> >> >
>> >> > 2- Crear filtros Headers- Signatures y se bloquea el messenger
>> >> > pero
>> >> > de
>> >> > esa
>> >> > forma no accedo a ningua página de internet.
>> >> >
>> >> >
>> >> > ¿Qué puedo hacer?
>> >> >
>> >> > Gracias.
>> >>
>> >>
>> >>
>>
>>
>>

Quiero bloquear MSN Messenger y no estoy forzando autenticación. De hecho
cuando he aplicado la firma tras 5 intentos logro conectarme al messenger. El
puerto destino es el 80, utiliza la regla de http/https que he creado y que
se ubica en 1er lugar, no tengo más reglas configuradas salvo ftp, y vpn y la
que viene por defecto de Deny AllTraffic
"Ivan [MS MVP]" wrote:

Windows Messenger o MSN Messenger ? no es lo mismo, los headers son
distintos...
De todas formas, una pregunta, estas forzando autentificacion para las
peticiones web salientes ?

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> He hecho todo OK (aunque ya lo tenía así) he revisado los log y lo único
> que
> veo es que varía el HTTP Method y que en unos el puerto es 80 y en otros
> 443
> (me refiero a los sucesivos reintentos por conectar el messenger). Cuando
> va
> por el 80 el messenger funciona
> "Ivan [MS MVP]" wrote:
>
>> Sobre la regla que permite HTTP, clic derecho, selecciona Configure HTTP,
>> pestaña signatures y agrega la entrada que te he mencionado antes ? has
>> realizado esto ? yo diria que no porque este metodo funciona
>> perfectamente.
>> Asegurate que esta regla de acceso esta en primer lugar y se aplica a
>> todos
>> los usuarios o al menos a los usuarios que quieras bloquear.
>> Por supuesto, ninguna regla debe permitir MSN Messenger ni todo el
>> trafico
>> en saliente
>> Utiliza los logs en tiempo real filtrandolos para ver solo las peticiones
>> del cliente desde el que estas probando. Esto te indicara que reglas y
>> protocolos se le estan aplicando. Quizas la regla que de filtrado no se
>> esta aplicando o esta utilizando el protocolo MSN messenger.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > No quiero ser pesado, pero no hay forma, si el usuario lo intenta 3
>> > veces
>> > consigue entrar. Solo tengo otra regla que permite FTP y salida/entrada
>> > VPN.
>> > Tengo que generar un content type con x-msn-messenger???
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Signatures, add:
>> >>
>> >> Name: MSN Messenger
>> >> Search in: Request Headers
>> >> HTTP header: application:
>> >> Signature: x-msn-messenger
>> >>
>> >> Por supuesto, de nada sirve esto, si hay otra regla que permite HTTP y
>> >> no
>> >> esta aplicado este filtrado
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > Hola Ivan, he creado la firma pero no bloquea el messenger, despues
>> >> > de
>> >> > 3
>> >> > intentos los usuarios pueden entrar. Qué criterio debo seguir para
>> >> > filtrar
>> >> > la
>> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> application/x-msn-messenger
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > Hola a todos,
>> >> >> >
>> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una regla de
>> >> >> > solo
>> >> >> > permitir
>> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> > 1- Crear una nueva regla que bloquee los protocolos de Mensajería
>> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No sucede nada
>> >> >> >
>> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el messenger
>> >> >> > pero
>> >> >> > de
>> >> >> > esa
>> >> >> > forma no accedo a ningua página de internet.
>> >> >> >
>> >> >> >
>> >> >> > ¿Qué puedo hacer?
>> >> >> >
>> >> >> > Gracias.
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

No estara deshabilitado el web proxy filter del protocolo HTTP ? si es asi y
el messenger no esta configurado explicitamente para usar proxy es normal
que funcione, las peticiones de los clientes Firewall y SecureNAT no se ven
afectadas por el filtrado HTTP.

Unas preguntas:
1- Porque motivo no quieres o no puedes forzar autentificacion para las
peticiones web salientes ?
2-El IE de los usuarios esta configurado para usar proxy?
3-Tienen instalado el Firewall Client o son clientes SecureNAT ?
4-Las reglas de acceso permiten a determinados usuarios o grupos o a todos
los usuarios ?
5-El MSN Messenger esta explicitamente configurado para usar proxy?

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:

Quiero bloquear MSN Messenger y no estoy forzando autenticación. De hecho
cuando he aplicado la firma tras 5 intentos logro conectarme al messenger.
El
puerto destino es el 80, utiliza la regla de http/https que he creado y
que
se ubica en 1er lugar, no tengo más reglas configuradas salvo ftp, y vpn y
la
que viene por defecto de Deny AllTraffic
"Ivan [MS MVP]" wrote:

Windows Messenger o MSN Messenger ? no es lo mismo, los headers son
distintos...
De todas formas, una pregunta, estas forzando autentificacion para las
peticiones web salientes ?

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> He hecho todo OK (aunque ya lo tenía así) he revisado los log y lo
> único
> que
> veo es que varía el HTTP Method y que en unos el puerto es 80 y en
> otros
> 443
> (me refiero a los sucesivos reintentos por conectar el messenger).
> Cuando
> va
> por el 80 el messenger funciona
> "Ivan [MS MVP]" wrote:
>
>> Sobre la regla que permite HTTP, clic derecho, selecciona Configure
>> HTTP,
>> pestaña signatures y agrega la entrada que te he mencionado antes ?
>> has
>> realizado esto ? yo diria que no porque este metodo funciona
>> perfectamente.
>> Asegurate que esta regla de acceso esta en primer lugar y se aplica a
>> todos
>> los usuarios o al menos a los usuarios que quieras bloquear.
>> Por supuesto, ninguna regla debe permitir MSN Messenger ni todo el
>> trafico
>> en saliente
>> Utiliza los logs en tiempo real filtrandolos para ver solo las
>> peticiones
>> del cliente desde el que estas probando. Esto te indicara que reglas y
>> protocolos se le estan aplicando. Quizas la regla que de filtrado no
>> se
>> esta aplicando o esta utilizando el protocolo MSN messenger.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > No quiero ser pesado, pero no hay forma, si el usuario lo intenta 3
>> > veces
>> > consigue entrar. Solo tengo otra regla que permite FTP y
>> > salida/entrada
>> > VPN.
>> > Tengo que generar un content type con x-msn-messenger???
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Signatures, add:
>> >>
>> >> Name: MSN Messenger
>> >> Search in: Request Headers
>> >> HTTP header: application:
>> >> Signature: x-msn-messenger
>> >>
>> >> Por supuesto, de nada sirve esto, si hay otra regla que permite
>> >> HTTP y
>> >> no
>> >> esta aplicado este filtrado
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > Hola Ivan, he creado la firma pero no bloquea el messenger,
>> >> > despues
>> >> > de
>> >> > 3
>> >> > intentos los usuarios pueden entrar. Qué criterio debo seguir
>> >> > para
>> >> > filtrar
>> >> > la
>> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> application/x-msn-messenger
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > Hola a todos,
>> >> >> >
>> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una regla de
>> >> >> > solo
>> >> >> > permitir
>> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> > 1- Crear una nueva regla que bloquee los protocolos de
>> >> >> > Mensajería
>> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No sucede nada
>> >> >> >
>> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el messenger
>> >> >> > pero
>> >> >> > de
>> >> >> > esa
>> >> >> > forma no accedo a ningua página de internet.
>> >> >> >
>> >> >> >
>> >> >> > ¿Qué puedo hacer?
>> >> >> >
>> >> >> > Gracias.
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

La historia es que acabo de montar el ISA 2004 (tambien tengo un isa 2000) y
solo quiero que los usuarios utilicen(de momento) el ISA 2004 para acceso a
Internet.
El web proxy está habilitado
El messenger no está configurado para utilizar proxy pero con el ISA 2000 me
funcionaba así hasta que yo lo corté nivel de server.
Las máquinas tienen instalado el cliente de Firewall y IE está utilizando
proxy
Las reglas están determinadas para All User, no he establecido de momento
grupos de usuarios

"Ivan [MS MVP]" wrote:

No estara deshabilitado el web proxy filter del protocolo HTTP ? si es asi y
el messenger no esta configurado explicitamente para usar proxy es normal
que funcione, las peticiones de los clientes Firewall y SecureNAT no se ven
afectadas por el filtrado HTTP.

Unas preguntas:
1- Porque motivo no quieres o no puedes forzar autentificacion para las
peticiones web salientes ?
2-El IE de los usuarios esta configurado para usar proxy?
3-Tienen instalado el Firewall Client o son clientes SecureNAT ?
4-Las reglas de acceso permiten a determinados usuarios o grupos o a todos
los usuarios ?
5-El MSN Messenger esta explicitamente configurado para usar proxy?

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> Quiero bloquear MSN Messenger y no estoy forzando autenticación. De hecho
> cuando he aplicado la firma tras 5 intentos logro conectarme al messenger.
> El
> puerto destino es el 80, utiliza la regla de http/https que he creado y
> que
> se ubica en 1er lugar, no tengo más reglas configuradas salvo ftp, y vpn y
> la
> que viene por defecto de Deny AllTraffic
> "Ivan [MS MVP]" wrote:
>
>> Windows Messenger o MSN Messenger ? no es lo mismo, los headers son
>> distintos...
>> De todas formas, una pregunta, estas forzando autentificacion para las
>> peticiones web salientes ?
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > He hecho todo OK (aunque ya lo tenía así) he revisado los log y lo
>> > único
>> > que
>> > veo es que varía el HTTP Method y que en unos el puerto es 80 y en
>> > otros
>> > 443
>> > (me refiero a los sucesivos reintentos por conectar el messenger).
>> > Cuando
>> > va
>> > por el 80 el messenger funciona
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Sobre la regla que permite HTTP, clic derecho, selecciona Configure
>> >> HTTP,
>> >> pestaña signatures y agrega la entrada que te he mencionado antes ?
>> >> has
>> >> realizado esto ? yo diria que no porque este metodo funciona
>> >> perfectamente.
>> >> Asegurate que esta regla de acceso esta en primer lugar y se aplica a
>> >> todos
>> >> los usuarios o al menos a los usuarios que quieras bloquear.
>> >> Por supuesto, ninguna regla debe permitir MSN Messenger ni todo el
>> >> trafico
>> >> en saliente
>> >> Utiliza los logs en tiempo real filtrandolos para ver solo las
>> >> peticiones
>> >> del cliente desde el que estas probando. Esto te indicara que reglas y
>> >> protocolos se le estan aplicando. Quizas la regla que de filtrado no
>> >> se
>> >> esta aplicando o esta utilizando el protocolo MSN messenger.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > No quiero ser pesado, pero no hay forma, si el usuario lo intenta 3
>> >> > veces
>> >> > consigue entrar. Solo tengo otra regla que permite FTP y
>> >> > salida/entrada
>> >> > VPN.
>> >> > Tengo que generar un content type con x-msn-messenger???
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Signatures, add:
>> >> >>
>> >> >> Name: MSN Messenger
>> >> >> Search in: Request Headers
>> >> >> HTTP header: application:
>> >> >> Signature: x-msn-messenger
>> >> >>
>> >> >> Por supuesto, de nada sirve esto, si hay otra regla que permite
>> >> >> HTTP y
>> >> >> no
>> >> >> esta aplicado este filtrado
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > Hola Ivan, he creado la firma pero no bloquea el messenger,
>> >> >> > despues
>> >> >> > de
>> >> >> > 3
>> >> >> > intentos los usuarios pueden entrar. Qué criterio debo seguir
>> >> >> > para
>> >> >> > filtrar
>> >> >> > la
>> >> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >> >
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> >> application/x-msn-messenger
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "Pedro" escribió en el mensaje
>> >> >> >> news:
>> >> >> >> > Hola a todos,
>> >> >> >> >
>> >> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una regla de
>> >> >> >> > solo
>> >> >> >> > permitir
>> >> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> >> > 1- Crear una nueva regla que bloquee los protocolos de
>> >> >> >> > Mensajería
>> >> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No sucede nada
>> >> >> >> >
>> >> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el messenger
>> >> >> >> > pero
>> >> >> >> > de
>> >> >> >> > esa
>> >> >> >> > forma no accedo a ningua página de internet.
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > ¿Qué puedo hacer?
>> >> >> >> >
>> >> >> >> > Gracias.
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>