Bloquear Messenger ISA 2004

Me da que las conexiones no van a traves del web proxy filter. Utilizando
los logs en tiempo real agrega la columna log record type. Inicia la query y
conectate desde el cliente. En la columna log record type deberia mostrar
web proxy filter, si muestra firewall, es normal que no filtre la firma
definida en el filtrado HTTP.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:

La historia es que acabo de montar el ISA 2004 (tambien tengo un isa 2000)
y
solo quiero que los usuarios utilicen(de momento) el ISA 2004 para acceso
a
Internet.
El web proxy está habilitado
El messenger no está configurado para utilizar proxy pero con el ISA 2000
me
funcionaba así hasta que yo lo corté nivel de server.
Las máquinas tienen instalado el cliente de Firewall y IE está utilizando
proxy
Las reglas están determinadas para All User, no he establecido de momento
grupos de usuarios

"Ivan [MS MVP]" wrote:

No estara deshabilitado el web proxy filter del protocolo HTTP ? si es
asi y
el messenger no esta configurado explicitamente para usar proxy es normal
que funcione, las peticiones de los clientes Firewall y SecureNAT no se
ven
afectadas por el filtrado HTTP.

Unas preguntas:
1- Porque motivo no quieres o no puedes forzar autentificacion para las
peticiones web salientes ?
2-El IE de los usuarios esta configurado para usar proxy?
3-Tienen instalado el Firewall Client o son clientes SecureNAT ?
4-Las reglas de acceso permiten a determinados usuarios o grupos o a
todos
los usuarios ?
5-El MSN Messenger esta explicitamente configurado para usar proxy?

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> Quiero bloquear MSN Messenger y no estoy forzando autenticación. De
> hecho
> cuando he aplicado la firma tras 5 intentos logro conectarme al
> messenger.
> El
> puerto destino es el 80, utiliza la regla de http/https que he creado y
> que
> se ubica en 1er lugar, no tengo más reglas configuradas salvo ftp, y
> vpn y
> la
> que viene por defecto de Deny AllTraffic
> "Ivan [MS MVP]" wrote:
>
>> Windows Messenger o MSN Messenger ? no es lo mismo, los headers son
>> distintos...
>> De todas formas, una pregunta, estas forzando autentificacion para las
>> peticiones web salientes ?
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > He hecho todo OK (aunque ya lo tenía así) he revisado los log y lo
>> > único
>> > que
>> > veo es que varía el HTTP Method y que en unos el puerto es 80 y en
>> > otros
>> > 443
>> > (me refiero a los sucesivos reintentos por conectar el messenger).
>> > Cuando
>> > va
>> > por el 80 el messenger funciona
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Sobre la regla que permite HTTP, clic derecho, selecciona Configure
>> >> HTTP,
>> >> pestaña signatures y agrega la entrada que te he mencionado antes ?
>> >> has
>> >> realizado esto ? yo diria que no porque este metodo funciona
>> >> perfectamente.
>> >> Asegurate que esta regla de acceso esta en primer lugar y se aplica
>> >> a
>> >> todos
>> >> los usuarios o al menos a los usuarios que quieras bloquear.
>> >> Por supuesto, ninguna regla debe permitir MSN Messenger ni todo el
>> >> trafico
>> >> en saliente
>> >> Utiliza los logs en tiempo real filtrandolos para ver solo las
>> >> peticiones
>> >> del cliente desde el que estas probando. Esto te indicara que
>> >> reglas y
>> >> protocolos se le estan aplicando. Quizas la regla que de filtrado
>> >> no
>> >> se
>> >> esta aplicando o esta utilizando el protocolo MSN messenger.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > No quiero ser pesado, pero no hay forma, si el usuario lo intenta
>> >> > 3
>> >> > veces
>> >> > consigue entrar. Solo tengo otra regla que permite FTP y
>> >> > salida/entrada
>> >> > VPN.
>> >> > Tengo que generar un content type con x-msn-messenger???
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Signatures, add:
>> >> >>
>> >> >> Name: MSN Messenger
>> >> >> Search in: Request Headers
>> >> >> HTTP header: application:
>> >> >> Signature: x-msn-messenger
>> >> >>
>> >> >> Por supuesto, de nada sirve esto, si hay otra regla que permite
>> >> >> HTTP y
>> >> >> no
>> >> >> esta aplicado este filtrado
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > Hola Ivan, he creado la firma pero no bloquea el messenger,
>> >> >> > despues
>> >> >> > de
>> >> >> > 3
>> >> >> > intentos los usuarios pueden entrar. Qué criterio debo seguir
>> >> >> > para
>> >> >> > filtrar
>> >> >> > la
>> >> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >> >
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> >> application/x-msn-messenger
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "Pedro" escribió en el
>> >> >> >> mensaje
>> >> >> >> news:
>> >> >> >> > Hola a todos,
>> >> >> >> >
>> >> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una regla
>> >> >> >> > de
>> >> >> >> > solo
>> >> >> >> > permitir
>> >> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> >> > 1- Crear una nueva regla que bloquee los protocolos de
>> >> >> >> > Mensajería
>> >> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No sucede
>> >> >> >> > nada
>> >> >> >> >
>> >> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el
>> >> >> >> > messenger
>> >> >> >> > pero
>> >> >> >> > de
>> >> >> >> > esa
>> >> >> >> > forma no accedo a ningua página de internet.
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > ¿Qué puedo hacer?
>> >> >> >> >
>> >> >> >> > Gracias.
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

Ya he solucionado el problema. En lugar de crear el header para la firma con
application: y x-msn-messenger, utilicé como resquest headers User:Agent: y
MSN Messenger como firma y asé funciona perfectamente. No se si será lo más
adecuado o si puedo tener problemas con otras reglas o filtros

De todas formas me fijé que firma que tú me indicabas no estaba entre los
Content Type y aunque la creé nueva tampoco funcionó

"Ivan [MS MVP]" wrote:

Me da que las conexiones no van a traves del web proxy filter. Utilizando
los logs en tiempo real agrega la columna log record type. Inicia la query y
conectate desde el cliente. En la columna log record type deberia mostrar
web proxy filter, si muestra firewall, es normal que no filtre la firma
definida en el filtrado HTTP.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> La historia es que acabo de montar el ISA 2004 (tambien tengo un isa 2000)
> y
> solo quiero que los usuarios utilicen(de momento) el ISA 2004 para acceso
> a
> Internet.
> El web proxy está habilitado
> El messenger no está configurado para utilizar proxy pero con el ISA 2000
> me
> funcionaba así hasta que yo lo corté nivel de server.
> Las máquinas tienen instalado el cliente de Firewall y IE está utilizando
> proxy
> Las reglas están determinadas para All User, no he establecido de momento
> grupos de usuarios
>
> "Ivan [MS MVP]" wrote:
>
>> No estara deshabilitado el web proxy filter del protocolo HTTP ? si es
>> asi y
>> el messenger no esta configurado explicitamente para usar proxy es normal
>> que funcione, las peticiones de los clientes Firewall y SecureNAT no se
>> ven
>> afectadas por el filtrado HTTP.
>>
>> Unas preguntas:
>> 1- Porque motivo no quieres o no puedes forzar autentificacion para las
>> peticiones web salientes ?
>> 2-El IE de los usuarios esta configurado para usar proxy?
>> 3-Tienen instalado el Firewall Client o son clientes SecureNAT ?
>> 4-Las reglas de acceso permiten a determinados usuarios o grupos o a
>> todos
>> los usuarios ?
>> 5-El MSN Messenger esta explicitamente configurado para usar proxy?
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > Quiero bloquear MSN Messenger y no estoy forzando autenticación. De
>> > hecho
>> > cuando he aplicado la firma tras 5 intentos logro conectarme al
>> > messenger.
>> > El
>> > puerto destino es el 80, utiliza la regla de http/https que he creado y
>> > que
>> > se ubica en 1er lugar, no tengo más reglas configuradas salvo ftp, y
>> > vpn y
>> > la
>> > que viene por defecto de Deny AllTraffic
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Windows Messenger o MSN Messenger ? no es lo mismo, los headers son
>> >> distintos...
>> >> De todas formas, una pregunta, estas forzando autentificacion para las
>> >> peticiones web salientes ?
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > He hecho todo OK (aunque ya lo tenía así) he revisado los log y lo
>> >> > único
>> >> > que
>> >> > veo es que varía el HTTP Method y que en unos el puerto es 80 y en
>> >> > otros
>> >> > 443
>> >> > (me refiero a los sucesivos reintentos por conectar el messenger).
>> >> > Cuando
>> >> > va
>> >> > por el 80 el messenger funciona
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Sobre la regla que permite HTTP, clic derecho, selecciona Configure
>> >> >> HTTP,
>> >> >> pestaña signatures y agrega la entrada que te he mencionado antes ?
>> >> >> has
>> >> >> realizado esto ? yo diria que no porque este metodo funciona
>> >> >> perfectamente.
>> >> >> Asegurate que esta regla de acceso esta en primer lugar y se aplica
>> >> >> a
>> >> >> todos
>> >> >> los usuarios o al menos a los usuarios que quieras bloquear.
>> >> >> Por supuesto, ninguna regla debe permitir MSN Messenger ni todo el
>> >> >> trafico
>> >> >> en saliente
>> >> >> Utiliza los logs en tiempo real filtrandolos para ver solo las
>> >> >> peticiones
>> >> >> del cliente desde el que estas probando. Esto te indicara que
>> >> >> reglas y
>> >> >> protocolos se le estan aplicando. Quizas la regla que de filtrado
>> >> >> no
>> >> >> se
>> >> >> esta aplicando o esta utilizando el protocolo MSN messenger.
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > No quiero ser pesado, pero no hay forma, si el usuario lo intenta
>> >> >> > 3
>> >> >> > veces
>> >> >> > consigue entrar. Solo tengo otra regla que permite FTP y
>> >> >> > salida/entrada
>> >> >> > VPN.
>> >> >> > Tengo que generar un content type con x-msn-messenger???
>> >> >> >
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Signatures, add:
>> >> >> >>
>> >> >> >> Name: MSN Messenger
>> >> >> >> Search in: Request Headers
>> >> >> >> HTTP header: application:
>> >> >> >> Signature: x-msn-messenger
>> >> >> >>
>> >> >> >> Por supuesto, de nada sirve esto, si hay otra regla que permite
>> >> >> >> HTTP y
>> >> >> >> no
>> >> >> >> esta aplicado este filtrado
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "Pedro" escribió en el mensaje
>> >> >> >> news:
>> >> >> >> > Hola Ivan, he creado la firma pero no bloquea el messenger,
>> >> >> >> > despues
>> >> >> >> > de
>> >> >> >> > 3
>> >> >> >> > intentos los usuarios pueden entrar. Qué criterio debo seguir
>> >> >> >> > para
>> >> >> >> > filtrar
>> >> >> >> > la
>> >> >> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >> >> >
>> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >
>> >> >> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> >> >> application/x-msn-messenger
>> >> >> >> >>
>> >> >> >> >> Un saludo.
>> >> >> >> >> Ivan
>> >> >> >> >> MS MVP ISA Server
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> "Pedro" escribió en el
>> >> >> >> >> mensaje
>> >> >> >> >> news:
>> >> >> >> >> > Hola a todos,
>> >> >> >> >> >
>> >> >> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una regla
>> >> >> >> >> > de
>> >> >> >> >> > solo
>> >> >> >> >> > permitir
>> >> >> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> >> >> > 1- Crear una nueva regla que bloquee los protocolos de
>> >> >> >> >> > Mensajería
>> >> >> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No sucede
>> >> >> >> >> > nada
>> >> >> >> >> >
>> >> >> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el
>> >> >> >> >> > messenger
>> >> >> >> >> > pero
>> >> >> >> >> > de
>> >> >> >> >> > esa
>> >> >> >> >> > forma no accedo a ningua página de internet.
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> > ¿Qué puedo hacer?
>> >> >> >> >> >
>> >> >> >> >> > Gracias.
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

Ahora mismo no te sabria decir, tendria que realizar una captura para ver
los headers. En un principio la documentacion de Microsoft indica bloquearlo
como tu apuntas. Hace algun tiempo, este metodo no funcionaba y analizando
trafico se veia claramente que el user agent no era MSN Messenger si no:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR
Sin poder comprobarlo, lo unico que se me ocurre es que estas usando la
version 6 en lugar de la 6.2 y los headers son distintos.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:

Ya he solucionado el problema. En lugar de crear el header para la firma
con
application: y x-msn-messenger, utilicé como resquest headers User:Agent:
y
MSN Messenger como firma y asé funciona perfectamente. No se si será lo
más
adecuado o si puedo tener problemas con otras reglas o filtros

De todas formas me fijé que firma que tú me indicabas no estaba entre los
Content Type y aunque la creé nueva tampoco funcionó

"Ivan [MS MVP]" wrote:

Me da que las conexiones no van a traves del web proxy filter. Utilizando
los logs en tiempo real agrega la columna log record type. Inicia la
query y
conectate desde el cliente. En la columna log record type deberia mostrar
web proxy filter, si muestra firewall, es normal que no filtre la firma
definida en el filtrado HTTP.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> La historia es que acabo de montar el ISA 2004 (tambien tengo un isa
> 2000)
> y
> solo quiero que los usuarios utilicen(de momento) el ISA 2004 para
> acceso
> a
> Internet.
> El web proxy está habilitado
> El messenger no está configurado para utilizar proxy pero con el ISA
> 2000
> me
> funcionaba así hasta que yo lo corté nivel de server.
> Las máquinas tienen instalado el cliente de Firewall y IE está
> utilizando
> proxy
> Las reglas están determinadas para All User, no he establecido de
> momento
> grupos de usuarios
>
> "Ivan [MS MVP]" wrote:
>
>> No estara deshabilitado el web proxy filter del protocolo HTTP ? si es
>> asi y
>> el messenger no esta configurado explicitamente para usar proxy es
>> normal
>> que funcione, las peticiones de los clientes Firewall y SecureNAT no
>> se
>> ven
>> afectadas por el filtrado HTTP.
>>
>> Unas preguntas:
>> 1- Porque motivo no quieres o no puedes forzar autentificacion para
>> las
>> peticiones web salientes ?
>> 2-El IE de los usuarios esta configurado para usar proxy?
>> 3-Tienen instalado el Firewall Client o son clientes SecureNAT ?
>> 4-Las reglas de acceso permiten a determinados usuarios o grupos o a
>> todos
>> los usuarios ?
>> 5-El MSN Messenger esta explicitamente configurado para usar proxy?
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > Quiero bloquear MSN Messenger y no estoy forzando autenticación. De
>> > hecho
>> > cuando he aplicado la firma tras 5 intentos logro conectarme al
>> > messenger.
>> > El
>> > puerto destino es el 80, utiliza la regla de http/https que he
>> > creado y
>> > que
>> > se ubica en 1er lugar, no tengo más reglas configuradas salvo ftp, y
>> > vpn y
>> > la
>> > que viene por defecto de Deny AllTraffic
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Windows Messenger o MSN Messenger ? no es lo mismo, los headers son
>> >> distintos...
>> >> De todas formas, una pregunta, estas forzando autentificacion para
>> >> las
>> >> peticiones web salientes ?
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > He hecho todo OK (aunque ya lo tenía así) he revisado los log y
>> >> > lo
>> >> > único
>> >> > que
>> >> > veo es que varía el HTTP Method y que en unos el puerto es 80 y
>> >> > en
>> >> > otros
>> >> > 443
>> >> > (me refiero a los sucesivos reintentos por conectar el
>> >> > messenger).
>> >> > Cuando
>> >> > va
>> >> > por el 80 el messenger funciona
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Sobre la regla que permite HTTP, clic derecho, selecciona
>> >> >> Configure
>> >> >> HTTP,
>> >> >> pestaña signatures y agrega la entrada que te he mencionado
>> >> >> antes ?
>> >> >> has
>> >> >> realizado esto ? yo diria que no porque este metodo funciona
>> >> >> perfectamente.
>> >> >> Asegurate que esta regla de acceso esta en primer lugar y se
>> >> >> aplica
>> >> >> a
>> >> >> todos
>> >> >> los usuarios o al menos a los usuarios que quieras bloquear.
>> >> >> Por supuesto, ninguna regla debe permitir MSN Messenger ni todo
>> >> >> el
>> >> >> trafico
>> >> >> en saliente
>> >> >> Utiliza los logs en tiempo real filtrandolos para ver solo las
>> >> >> peticiones
>> >> >> del cliente desde el que estas probando. Esto te indicara que
>> >> >> reglas y
>> >> >> protocolos se le estan aplicando. Quizas la regla que de
>> >> >> filtrado
>> >> >> no
>> >> >> se
>> >> >> esta aplicando o esta utilizando el protocolo MSN messenger.
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > No quiero ser pesado, pero no hay forma, si el usuario lo
>> >> >> > intenta
>> >> >> > 3
>> >> >> > veces
>> >> >> > consigue entrar. Solo tengo otra regla que permite FTP y
>> >> >> > salida/entrada
>> >> >> > VPN.
>> >> >> > Tengo que generar un content type con x-msn-messenger???
>> >> >> >
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Signatures, add:
>> >> >> >>
>> >> >> >> Name: MSN Messenger
>> >> >> >> Search in: Request Headers
>> >> >> >> HTTP header: application:
>> >> >> >> Signature: x-msn-messenger
>> >> >> >>
>> >> >> >> Por supuesto, de nada sirve esto, si hay otra regla que
>> >> >> >> permite
>> >> >> >> HTTP y
>> >> >> >> no
>> >> >> >> esta aplicado este filtrado
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "Pedro" escribió en el
>> >> >> >> mensaje
>> >> >> >> news:
>> >> >> >> > Hola Ivan, he creado la firma pero no bloquea el messenger,
>> >> >> >> > despues
>> >> >> >> > de
>> >> >> >> > 3
>> >> >> >> > intentos los usuarios pueden entrar. Qué criterio debo
>> >> >> >> > seguir
>> >> >> >> > para
>> >> >> >> > filtrar
>> >> >> >> > la
>> >> >> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >> >> >
>> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >
>> >> >> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> >> >> application/x-msn-messenger
>> >> >> >> >>
>> >> >> >> >> Un saludo.
>> >> >> >> >> Ivan
>> >> >> >> >> MS MVP ISA Server
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> "Pedro" escribió en el
>> >> >> >> >> mensaje
>> >> >> >> >> news:
>> >> >> >> >> > Hola a todos,
>> >> >> >> >> >
>> >> >> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una
>> >> >> >> >> > regla
>> >> >> >> >> > de
>> >> >> >> >> > solo
>> >> >> >> >> > permitir
>> >> >> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> >> >> > 1- Crear una nueva regla que bloquee los protocolos de
>> >> >> >> >> > Mensajería
>> >> >> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No
>> >> >> >> >> > sucede
>> >> >> >> >> > nada
>> >> >> >> >> >
>> >> >> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el
>> >> >> >> >> > messenger
>> >> >> >> >> > pero
>> >> >> >> >> > de
>> >> >> >> >> > esa
>> >> >> >> >> > forma no accedo a ningua página de internet.
>> >> >> >> >> >
>> >> >> >> >> >
>> >> >> >> >> > ¿Qué puedo hacer?
>> >> >> >> >> >
>> >> >> >> >> > Gracias.
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

Es curioso porque lo he probado con la 5, la 6 y la 6.2 y funciona en los 3
casos. También he realizado las pruebas de log añadiendo el campo Log Record
Type y me indica Web Proxy cuando intento iniciar sesion en Messenger. La
sesion Firewall queda establecida de mi máquina al ISA y del ISA al Router.
De mi máquina a External es Web Proxy. Es correcto este funcionamiento?

"Ivan [MS MVP]" wrote:

Ahora mismo no te sabria decir, tendria que realizar una captura para ver
los headers. En un principio la documentacion de Microsoft indica bloquearlo
como tu apuntas. Hace algun tiempo, este metodo no funcionaba y analizando
trafico se veia claramente que el user agent no era MSN Messenger si no:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR
Sin poder comprobarlo, lo unico que se me ocurre es que estas usando la
version 6 en lugar de la 6.2 y los headers son distintos.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> Ya he solucionado el problema. En lugar de crear el header para la firma
> con
> application: y x-msn-messenger, utilicé como resquest headers User:Agent:
> y
> MSN Messenger como firma y asé funciona perfectamente. No se si será lo
> más
> adecuado o si puedo tener problemas con otras reglas o filtros
>
> De todas formas me fijé que firma que tú me indicabas no estaba entre los
> Content Type y aunque la creé nueva tampoco funcionó
>
> "Ivan [MS MVP]" wrote:
>
>> Me da que las conexiones no van a traves del web proxy filter. Utilizando
>> los logs en tiempo real agrega la columna log record type. Inicia la
>> query y
>> conectate desde el cliente. En la columna log record type deberia mostrar
>> web proxy filter, si muestra firewall, es normal que no filtre la firma
>> definida en el filtrado HTTP.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > La historia es que acabo de montar el ISA 2004 (tambien tengo un isa
>> > 2000)
>> > y
>> > solo quiero que los usuarios utilicen(de momento) el ISA 2004 para
>> > acceso
>> > a
>> > Internet.
>> > El web proxy está habilitado
>> > El messenger no está configurado para utilizar proxy pero con el ISA
>> > 2000
>> > me
>> > funcionaba así hasta que yo lo corté nivel de server.
>> > Las máquinas tienen instalado el cliente de Firewall y IE está
>> > utilizando
>> > proxy
>> > Las reglas están determinadas para All User, no he establecido de
>> > momento
>> > grupos de usuarios
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> No estara deshabilitado el web proxy filter del protocolo HTTP ? si es
>> >> asi y
>> >> el messenger no esta configurado explicitamente para usar proxy es
>> >> normal
>> >> que funcione, las peticiones de los clientes Firewall y SecureNAT no
>> >> se
>> >> ven
>> >> afectadas por el filtrado HTTP.
>> >>
>> >> Unas preguntas:
>> >> 1- Porque motivo no quieres o no puedes forzar autentificacion para
>> >> las
>> >> peticiones web salientes ?
>> >> 2-El IE de los usuarios esta configurado para usar proxy?
>> >> 3-Tienen instalado el Firewall Client o son clientes SecureNAT ?
>> >> 4-Las reglas de acceso permiten a determinados usuarios o grupos o a
>> >> todos
>> >> los usuarios ?
>> >> 5-El MSN Messenger esta explicitamente configurado para usar proxy?
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > Quiero bloquear MSN Messenger y no estoy forzando autenticación. De
>> >> > hecho
>> >> > cuando he aplicado la firma tras 5 intentos logro conectarme al
>> >> > messenger.
>> >> > El
>> >> > puerto destino es el 80, utiliza la regla de http/https que he
>> >> > creado y
>> >> > que
>> >> > se ubica en 1er lugar, no tengo más reglas configuradas salvo ftp, y
>> >> > vpn y
>> >> > la
>> >> > que viene por defecto de Deny AllTraffic
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Windows Messenger o MSN Messenger ? no es lo mismo, los headers son
>> >> >> distintos...
>> >> >> De todas formas, una pregunta, estas forzando autentificacion para
>> >> >> las
>> >> >> peticiones web salientes ?
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > He hecho todo OK (aunque ya lo tenía así) he revisado los log y
>> >> >> > lo
>> >> >> > único
>> >> >> > que
>> >> >> > veo es que varía el HTTP Method y que en unos el puerto es 80 y
>> >> >> > en
>> >> >> > otros
>> >> >> > 443
>> >> >> > (me refiero a los sucesivos reintentos por conectar el
>> >> >> > messenger).
>> >> >> > Cuando
>> >> >> > va
>> >> >> > por el 80 el messenger funciona
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Sobre la regla que permite HTTP, clic derecho, selecciona
>> >> >> >> Configure
>> >> >> >> HTTP,
>> >> >> >> pestaña signatures y agrega la entrada que te he mencionado
>> >> >> >> antes ?
>> >> >> >> has
>> >> >> >> realizado esto ? yo diria que no porque este metodo funciona
>> >> >> >> perfectamente.
>> >> >> >> Asegurate que esta regla de acceso esta en primer lugar y se
>> >> >> >> aplica
>> >> >> >> a
>> >> >> >> todos
>> >> >> >> los usuarios o al menos a los usuarios que quieras bloquear.
>> >> >> >> Por supuesto, ninguna regla debe permitir MSN Messenger ni todo
>> >> >> >> el
>> >> >> >> trafico
>> >> >> >> en saliente
>> >> >> >> Utiliza los logs en tiempo real filtrandolos para ver solo las
>> >> >> >> peticiones
>> >> >> >> del cliente desde el que estas probando. Esto te indicara que
>> >> >> >> reglas y
>> >> >> >> protocolos se le estan aplicando. Quizas la regla que de
>> >> >> >> filtrado
>> >> >> >> no
>> >> >> >> se
>> >> >> >> esta aplicando o esta utilizando el protocolo MSN messenger.
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "Pedro" escribió en el mensaje
>> >> >> >> news:
>> >> >> >> > No quiero ser pesado, pero no hay forma, si el usuario lo
>> >> >> >> > intenta
>> >> >> >> > 3
>> >> >> >> > veces
>> >> >> >> > consigue entrar. Solo tengo otra regla que permite FTP y
>> >> >> >> > salida/entrada
>> >> >> >> > VPN.
>> >> >> >> > Tengo que generar un content type con x-msn-messenger???
>> >> >> >> >
>> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >
>> >> >> >> >> Signatures, add:
>> >> >> >> >>
>> >> >> >> >> Name: MSN Messenger
>> >> >> >> >> Search in: Request Headers
>> >> >> >> >> HTTP header: application:
>> >> >> >> >> Signature: x-msn-messenger
>> >> >> >> >>
>> >> >> >> >> Por supuesto, de nada sirve esto, si hay otra regla que
>> >> >> >> >> permite
>> >> >> >> >> HTTP y
>> >> >> >> >> no
>> >> >> >> >> esta aplicado este filtrado
>> >> >> >> >>
>> >> >> >> >> Un saludo.
>> >> >> >> >> Ivan
>> >> >> >> >> MS MVP ISA Server
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> "Pedro" escribió en el
>> >> >> >> >> mensaje
>> >> >> >> >> news:
>> >> >> >> >> > Hola Ivan, he creado la firma pero no bloquea el messenger,
>> >> >> >> >> > despues
>> >> >> >> >> > de
>> >> >> >> >> > 3
>> >> >> >> >> > intentos los usuarios pueden entrar. Qué criterio debo
>> >> >> >> >> > seguir
>> >> >> >> >> > para
>> >> >> >> >> > filtrar
>> >> >> >> >> > la
>> >> >> >> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >> >> >> >
>> >> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >> >
>> >> >> >> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> >> >> >> application/x-msn-messenger
>> >> >> >> >> >>
>> >> >> >> >> >> Un saludo.
>> >> >> >> >> >> Ivan
>> >> >> >> >> >> MS MVP ISA Server
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >> "Pedro" escribió en el
>> >> >> >> >> >> mensaje
>> >> >> >> >> >> news:
>> >> >> >> >> >> > Hola a todos,
>> >> >> >> >> >> >
>> >> >> >> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una
>> >> >> >> >> >> > regla
>> >> >> >> >> >> > de
>> >> >> >> >> >> > solo
>> >> >> >> >> >> > permitir
>> >> >> >> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> >> >> >> > 1- Crear una nueva regla que bloquee los protocolos de
>> >> >> >> >> >> > Mensajería
>> >> >> >> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No
>> >> >> >> >> >> > sucede
>> >> >> >> >> >> > nada
>> >> >> >> >> >> >
>> >> >> >> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el
>> >> >> >> >> >> > messenger
>> >> >> >> >> >> > pero
>> >> >> >> >> >> > de
>> >> >> >> >> >> > esa
>> >> >> >> >> >> > forma no accedo a ningua página de internet.
>> >> >> >> >> >> >
>> >> >> >> >> >> >
>> >> >> >> >> >> > ¿Qué puedo hacer?
>> >> >> >> >> >> >
>> >> >> >> >> >> > Gracias.
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

Si, si, es correcto. Si el web proxy filter esta enlazado al protocolo HTTP,
todas las peticiones HTTP de los clientes Firewall y SecureNAT las maneja el
servicio web proxy. Por supuesto, tambien tendras otro tipo de conexiones
que se mostraran como firewall.
Lo de los headers tendre que volver a mirarlo, porque no entiendo nada.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:

Es curioso porque lo he probado con la 5, la 6 y la 6.2 y funciona en los
3
casos. También he realizado las pruebas de log añadiendo el campo Log
Record
Type y me indica Web Proxy cuando intento iniciar sesion en Messenger. La
sesion Firewall queda establecida de mi máquina al ISA y del ISA al
Router.
De mi máquina a External es Web Proxy. Es correcto este funcionamiento?

"Ivan [MS MVP]" wrote:

Ahora mismo no te sabria decir, tendria que realizar una captura para ver
los headers. En un principio la documentacion de Microsoft indica
bloquearlo
como tu apuntas. Hace algun tiempo, este metodo no funcionaba y
analizando
trafico se veia claramente que el user agent no era MSN Messenger si no:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR
Sin poder comprobarlo, lo unico que se me ocurre es que estas usando la
version 6 en lugar de la 6.2 y los headers son distintos.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> Ya he solucionado el problema. En lugar de crear el header para la
> firma
> con
> application: y x-msn-messenger, utilicé como resquest headers
> User:Agent:
> y
> MSN Messenger como firma y asé funciona perfectamente. No se si será lo
> más
> adecuado o si puedo tener problemas con otras reglas o filtros
>
> De todas formas me fijé que firma que tú me indicabas no estaba entre
> los
> Content Type y aunque la creé nueva tampoco funcionó
>
> "Ivan [MS MVP]" wrote:
>
>> Me da que las conexiones no van a traves del web proxy filter.
>> Utilizando
>> los logs en tiempo real agrega la columna log record type. Inicia la
>> query y
>> conectate desde el cliente. En la columna log record type deberia
>> mostrar
>> web proxy filter, si muestra firewall, es normal que no filtre la
>> firma
>> definida en el filtrado HTTP.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > La historia es que acabo de montar el ISA 2004 (tambien tengo un isa
>> > 2000)
>> > y
>> > solo quiero que los usuarios utilicen(de momento) el ISA 2004 para
>> > acceso
>> > a
>> > Internet.
>> > El web proxy está habilitado
>> > El messenger no está configurado para utilizar proxy pero con el ISA
>> > 2000
>> > me
>> > funcionaba así hasta que yo lo corté nivel de server.
>> > Las máquinas tienen instalado el cliente de Firewall y IE está
>> > utilizando
>> > proxy
>> > Las reglas están determinadas para All User, no he establecido de
>> > momento
>> > grupos de usuarios
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> No estara deshabilitado el web proxy filter del protocolo HTTP ? si
>> >> es
>> >> asi y
>> >> el messenger no esta configurado explicitamente para usar proxy es
>> >> normal
>> >> que funcione, las peticiones de los clientes Firewall y SecureNAT
>> >> no
>> >> se
>> >> ven
>> >> afectadas por el filtrado HTTP.
>> >>
>> >> Unas preguntas:
>> >> 1- Porque motivo no quieres o no puedes forzar autentificacion para
>> >> las
>> >> peticiones web salientes ?
>> >> 2-El IE de los usuarios esta configurado para usar proxy?
>> >> 3-Tienen instalado el Firewall Client o son clientes SecureNAT ?
>> >> 4-Las reglas de acceso permiten a determinados usuarios o grupos o
>> >> a
>> >> todos
>> >> los usuarios ?
>> >> 5-El MSN Messenger esta explicitamente configurado para usar proxy?
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > Quiero bloquear MSN Messenger y no estoy forzando autenticación.
>> >> > De
>> >> > hecho
>> >> > cuando he aplicado la firma tras 5 intentos logro conectarme al
>> >> > messenger.
>> >> > El
>> >> > puerto destino es el 80, utiliza la regla de http/https que he
>> >> > creado y
>> >> > que
>> >> > se ubica en 1er lugar, no tengo más reglas configuradas salvo
>> >> > ftp, y
>> >> > vpn y
>> >> > la
>> >> > que viene por defecto de Deny AllTraffic
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Windows Messenger o MSN Messenger ? no es lo mismo, los headers
>> >> >> son
>> >> >> distintos...
>> >> >> De todas formas, una pregunta, estas forzando autentificacion
>> >> >> para
>> >> >> las
>> >> >> peticiones web salientes ?
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > He hecho todo OK (aunque ya lo tenía así) he revisado los log
>> >> >> > y
>> >> >> > lo
>> >> >> > único
>> >> >> > que
>> >> >> > veo es que varía el HTTP Method y que en unos el puerto es 80
>> >> >> > y
>> >> >> > en
>> >> >> > otros
>> >> >> > 443
>> >> >> > (me refiero a los sucesivos reintentos por conectar el
>> >> >> > messenger).
>> >> >> > Cuando
>> >> >> > va
>> >> >> > por el 80 el messenger funciona
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Sobre la regla que permite HTTP, clic derecho, selecciona
>> >> >> >> Configure
>> >> >> >> HTTP,
>> >> >> >> pestaña signatures y agrega la entrada que te he mencionado
>> >> >> >> antes ?
>> >> >> >> has
>> >> >> >> realizado esto ? yo diria que no porque este metodo funciona
>> >> >> >> perfectamente.
>> >> >> >> Asegurate que esta regla de acceso esta en primer lugar y se
>> >> >> >> aplica
>> >> >> >> a
>> >> >> >> todos
>> >> >> >> los usuarios o al menos a los usuarios que quieras bloquear.
>> >> >> >> Por supuesto, ninguna regla debe permitir MSN Messenger ni
>> >> >> >> todo
>> >> >> >> el
>> >> >> >> trafico
>> >> >> >> en saliente
>> >> >> >> Utiliza los logs en tiempo real filtrandolos para ver solo
>> >> >> >> las
>> >> >> >> peticiones
>> >> >> >> del cliente desde el que estas probando. Esto te indicara que
>> >> >> >> reglas y
>> >> >> >> protocolos se le estan aplicando. Quizas la regla que de
>> >> >> >> filtrado
>> >> >> >> no
>> >> >> >> se
>> >> >> >> esta aplicando o esta utilizando el protocolo MSN messenger.
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "Pedro" escribió en el
>> >> >> >> mensaje
>> >> >> >> news:
>> >> >> >> > No quiero ser pesado, pero no hay forma, si el usuario lo
>> >> >> >> > intenta
>> >> >> >> > 3
>> >> >> >> > veces
>> >> >> >> > consigue entrar. Solo tengo otra regla que permite FTP y
>> >> >> >> > salida/entrada
>> >> >> >> > VPN.
>> >> >> >> > Tengo que generar un content type con x-msn-messenger???
>> >> >> >> >
>> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >
>> >> >> >> >> Signatures, add:
>> >> >> >> >>
>> >> >> >> >> Name: MSN Messenger
>> >> >> >> >> Search in: Request Headers
>> >> >> >> >> HTTP header: application:
>> >> >> >> >> Signature: x-msn-messenger
>> >> >> >> >>
>> >> >> >> >> Por supuesto, de nada sirve esto, si hay otra regla que
>> >> >> >> >> permite
>> >> >> >> >> HTTP y
>> >> >> >> >> no
>> >> >> >> >> esta aplicado este filtrado
>> >> >> >> >>
>> >> >> >> >> Un saludo.
>> >> >> >> >> Ivan
>> >> >> >> >> MS MVP ISA Server
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> "Pedro" escribió en el
>> >> >> >> >> mensaje
>> >> >> >> >> news:
>> >> >> >> >> > Hola Ivan, he creado la firma pero no bloquea el
>> >> >> >> >> > messenger,
>> >> >> >> >> > despues
>> >> >> >> >> > de
>> >> >> >> >> > 3
>> >> >> >> >> > intentos los usuarios pueden entrar. Qué criterio debo
>> >> >> >> >> > seguir
>> >> >> >> >> > para
>> >> >> >> >> > filtrar
>> >> >> >> >> > la
>> >> >> >> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >> >> >> >
>> >> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >> >
>> >> >> >> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> >> >> >> application/x-msn-messenger
>> >> >> >> >> >>
>> >> >> >> >> >> Un saludo.
>> >> >> >> >> >> Ivan
>> >> >> >> >> >> MS MVP ISA Server
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >> "Pedro" escribió en
>> >> >> >> >> >> el
>> >> >> >> >> >> mensaje
>> >> >> >> >> >> news:
>> >> >> >> >> >> > Hola a todos,
>> >> >> >> >> >> >
>> >> >> >> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una
>> >> >> >> >> >> > regla
>> >> >> >> >> >> > de
>> >> >> >> >> >> > solo
>> >> >> >> >> >> > permitir
>> >> >> >> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> >> >> >> > 1- Crear una nueva regla que bloquee los protocolos
>> >> >> >> >> >> > de
>> >> >> >> >> >> > Mensajería
>> >> >> >> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No
>> >> >> >> >> >> > sucede
>> >> >> >> >> >> > nada
>> >> >> >> >> >> >
>> >> >> >> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el
>> >> >> >> >> >> > messenger
>> >> >> >> >> >> > pero
>> >> >> >> >> >> > de
>> >> >> >> >> >> > esa
>> >> >> >> >> >> > forma no accedo a ningua página de internet.
>> >> >> >> >> >> >
>> >> >> >> >> >> >
>> >> >> >> >> >> > ¿Qué puedo hacer?
>> >> >> >> >> >> >
>> >> >> >> >> >> > Gracias.
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>