Bloquear Messenger ISA 2004

Ok, gracias por todo y por tu paciencia. Seguro que volveremos a tratar otro
tema en otra ocasión.

Un saludo

"Ivan [MS MVP]" wrote:

Si, si, es correcto. Si el web proxy filter esta enlazado al protocolo HTTP,
todas las peticiones HTTP de los clientes Firewall y SecureNAT las maneja el
servicio web proxy. Por supuesto, tambien tendras otro tipo de conexiones
que se mostraran como firewall.
Lo de los headers tendre que volver a mirarlo, porque no entiendo nada.

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> Es curioso porque lo he probado con la 5, la 6 y la 6.2 y funciona en los
> 3
> casos. También he realizado las pruebas de log añadiendo el campo Log
> Record
> Type y me indica Web Proxy cuando intento iniciar sesion en Messenger. La
> sesion Firewall queda establecida de mi máquina al ISA y del ISA al
> Router.
> De mi máquina a External es Web Proxy. Es correcto este funcionamiento?
>
> "Ivan [MS MVP]" wrote:
>
>> Ahora mismo no te sabria decir, tendria que realizar una captura para ver
>> los headers. En un principio la documentacion de Microsoft indica
>> bloquearlo
>> como tu apuntas. Hace algun tiempo, este metodo no funcionaba y
>> analizando
>> trafico se veia claramente que el user agent no era MSN Messenger si no:
>> Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR
>> Sin poder comprobarlo, lo unico que se me ocurre es que estas usando la
>> version 6 en lugar de la 6.2 y los headers son distintos.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Pedro" escribió en el mensaje
>> news:
>> > Ya he solucionado el problema. En lugar de crear el header para la
>> > firma
>> > con
>> > application: y x-msn-messenger, utilicé como resquest headers
>> > User:Agent:
>> > y
>> > MSN Messenger como firma y asé funciona perfectamente. No se si será lo
>> > más
>> > adecuado o si puedo tener problemas con otras reglas o filtros
>> >
>> > De todas formas me fijé que firma que tú me indicabas no estaba entre
>> > los
>> > Content Type y aunque la creé nueva tampoco funcionó
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Me da que las conexiones no van a traves del web proxy filter.
>> >> Utilizando
>> >> los logs en tiempo real agrega la columna log record type. Inicia la
>> >> query y
>> >> conectate desde el cliente. En la columna log record type deberia
>> >> mostrar
>> >> web proxy filter, si muestra firewall, es normal que no filtre la
>> >> firma
>> >> definida en el filtrado HTTP.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "Pedro" escribió en el mensaje
>> >> news:
>> >> > La historia es que acabo de montar el ISA 2004 (tambien tengo un isa
>> >> > 2000)
>> >> > y
>> >> > solo quiero que los usuarios utilicen(de momento) el ISA 2004 para
>> >> > acceso
>> >> > a
>> >> > Internet.
>> >> > El web proxy está habilitado
>> >> > El messenger no está configurado para utilizar proxy pero con el ISA
>> >> > 2000
>> >> > me
>> >> > funcionaba así hasta que yo lo corté nivel de server.
>> >> > Las máquinas tienen instalado el cliente de Firewall y IE está
>> >> > utilizando
>> >> > proxy
>> >> > Las reglas están determinadas para All User, no he establecido de
>> >> > momento
>> >> > grupos de usuarios
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> No estara deshabilitado el web proxy filter del protocolo HTTP ? si
>> >> >> es
>> >> >> asi y
>> >> >> el messenger no esta configurado explicitamente para usar proxy es
>> >> >> normal
>> >> >> que funcione, las peticiones de los clientes Firewall y SecureNAT
>> >> >> no
>> >> >> se
>> >> >> ven
>> >> >> afectadas por el filtrado HTTP.
>> >> >>
>> >> >> Unas preguntas:
>> >> >> 1- Porque motivo no quieres o no puedes forzar autentificacion para
>> >> >> las
>> >> >> peticiones web salientes ?
>> >> >> 2-El IE de los usuarios esta configurado para usar proxy?
>> >> >> 3-Tienen instalado el Firewall Client o son clientes SecureNAT ?
>> >> >> 4-Las reglas de acceso permiten a determinados usuarios o grupos o
>> >> >> a
>> >> >> todos
>> >> >> los usuarios ?
>> >> >> 5-El MSN Messenger esta explicitamente configurado para usar proxy?
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "Pedro" escribió en el mensaje
>> >> >> news:
>> >> >> > Quiero bloquear MSN Messenger y no estoy forzando autenticación.
>> >> >> > De
>> >> >> > hecho
>> >> >> > cuando he aplicado la firma tras 5 intentos logro conectarme al
>> >> >> > messenger.
>> >> >> > El
>> >> >> > puerto destino es el 80, utiliza la regla de http/https que he
>> >> >> > creado y
>> >> >> > que
>> >> >> > se ubica en 1er lugar, no tengo más reglas configuradas salvo
>> >> >> > ftp, y
>> >> >> > vpn y
>> >> >> > la
>> >> >> > que viene por defecto de Deny AllTraffic
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Windows Messenger o MSN Messenger ? no es lo mismo, los headers
>> >> >> >> son
>> >> >> >> distintos...
>> >> >> >> De todas formas, una pregunta, estas forzando autentificacion
>> >> >> >> para
>> >> >> >> las
>> >> >> >> peticiones web salientes ?
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "Pedro" escribió en el mensaje
>> >> >> >> news:
>> >> >> >> > He hecho todo OK (aunque ya lo tenía así) he revisado los log
>> >> >> >> > y
>> >> >> >> > lo
>> >> >> >> > único
>> >> >> >> > que
>> >> >> >> > veo es que varía el HTTP Method y que en unos el puerto es 80
>> >> >> >> > y
>> >> >> >> > en
>> >> >> >> > otros
>> >> >> >> > 443
>> >> >> >> > (me refiero a los sucesivos reintentos por conectar el
>> >> >> >> > messenger).
>> >> >> >> > Cuando
>> >> >> >> > va
>> >> >> >> > por el 80 el messenger funciona
>> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >
>> >> >> >> >> Sobre la regla que permite HTTP, clic derecho, selecciona
>> >> >> >> >> Configure
>> >> >> >> >> HTTP,
>> >> >> >> >> pestaña signatures y agrega la entrada que te he mencionado
>> >> >> >> >> antes ?
>> >> >> >> >> has
>> >> >> >> >> realizado esto ? yo diria que no porque este metodo funciona
>> >> >> >> >> perfectamente.
>> >> >> >> >> Asegurate que esta regla de acceso esta en primer lugar y se
>> >> >> >> >> aplica
>> >> >> >> >> a
>> >> >> >> >> todos
>> >> >> >> >> los usuarios o al menos a los usuarios que quieras bloquear.
>> >> >> >> >> Por supuesto, ninguna regla debe permitir MSN Messenger ni
>> >> >> >> >> todo
>> >> >> >> >> el
>> >> >> >> >> trafico
>> >> >> >> >> en saliente
>> >> >> >> >> Utiliza los logs en tiempo real filtrandolos para ver solo
>> >> >> >> >> las
>> >> >> >> >> peticiones
>> >> >> >> >> del cliente desde el que estas probando. Esto te indicara que
>> >> >> >> >> reglas y
>> >> >> >> >> protocolos se le estan aplicando. Quizas la regla que de
>> >> >> >> >> filtrado
>> >> >> >> >> no
>> >> >> >> >> se
>> >> >> >> >> esta aplicando o esta utilizando el protocolo MSN messenger.
>> >> >> >> >>
>> >> >> >> >> Un saludo.
>> >> >> >> >> Ivan
>> >> >> >> >> MS MVP ISA Server
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >> "Pedro" escribió en el
>> >> >> >> >> mensaje
>> >> >> >> >> news:
>> >> >> >> >> > No quiero ser pesado, pero no hay forma, si el usuario lo
>> >> >> >> >> > intenta
>> >> >> >> >> > 3
>> >> >> >> >> > veces
>> >> >> >> >> > consigue entrar. Solo tengo otra regla que permite FTP y
>> >> >> >> >> > salida/entrada
>> >> >> >> >> > VPN.
>> >> >> >> >> > Tengo que generar un content type con x-msn-messenger???
>> >> >> >> >> >
>> >> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >> >
>> >> >> >> >> >> Signatures, add:
>> >> >> >> >> >>
>> >> >> >> >> >> Name: MSN Messenger
>> >> >> >> >> >> Search in: Request Headers
>> >> >> >> >> >> HTTP header: application:
>> >> >> >> >> >> Signature: x-msn-messenger
>> >> >> >> >> >>
>> >> >> >> >> >> Por supuesto, de nada sirve esto, si hay otra regla que
>> >> >> >> >> >> permite
>> >> >> >> >> >> HTTP y
>> >> >> >> >> >> no
>> >> >> >> >> >> esta aplicado este filtrado
>> >> >> >> >> >>
>> >> >> >> >> >> Un saludo.
>> >> >> >> >> >> Ivan
>> >> >> >> >> >> MS MVP ISA Server
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >> "Pedro" escribió en el
>> >> >> >> >> >> mensaje
>> >> >> >> >> >> news:
>> >> >> >> >> >> > Hola Ivan, he creado la firma pero no bloquea el
>> >> >> >> >> >> > messenger,
>> >> >> >> >> >> > despues
>> >> >> >> >> >> > de
>> >> >> >> >> >> > 3
>> >> >> >> >> >> > intentos los usuarios pueden entrar. Qué criterio debo
>> >> >> >> >> >> > seguir
>> >> >> >> >> >> > para
>> >> >> >> >> >> > filtrar
>> >> >> >> >> >> > la
>> >> >> >> >> >> > firma. header, URL, body... Quizá esté ahí el problema
>> >> >> >> >> >> >
>> >> >> >> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >> >> >> >
>> >> >> >> >> >> >> Utiliza el filtrado HTTP y crea una firma que bloquea:
>> >> >> >> >> >> >> application/x-msn-messenger
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> Un saludo.
>> >> >> >> >> >> >> Ivan
>> >> >> >> >> >> >> MS MVP ISA Server
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >> "Pedro" escribió en
>> >> >> >> >> >> >> el
>> >> >> >> >> >> >> mensaje
>> >> >> >> >> >> >> news:
>> >> >> >> >> >> >> > Hola a todos,
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > Intento bloquear el Messenger en ISA 2004. Tengo una
>> >> >> >> >> >> >> > regla
>> >> >> >> >> >> >> > de
>> >> >> >> >> >> >> > solo
>> >> >> >> >> >> >> > permitir
>> >> >> >> >> >> >> > HTTP/HTTPS. He probado 2 soluciones:
>> >> >> >> >> >> >> > 1- Crear una nueva regla que bloquee los protocolos
>> >> >> >> >> >> >> > de
>> >> >> >> >> >> >> > Mensajería
>> >> >> >> >> >> >> > Instantánea y ubicarlos antes de la regla HTTP. No
>> >> >> >> >> >> >> > sucede
>> >> >> >> >> >> >> > nada
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > 2- Crear filtros Headers- Signatures y se bloquea el
>> >> >> >> >> >> >> > messenger
>> >> >> >> >> >> >> > pero
>> >> >> >> >> >> >> > de
>> >> >> >> >> >> >> > esa
>> >> >> >> >> >> >> > forma no accedo a ningua página de internet.
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > ¿Qué puedo hacer?
>> >> >> >> >> >> >> >
>> >> >> >> >> >> >> > Gracias.
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>

Pedro, no se si ya vas a mirar este post, pero bueno...
La verdad es que soy un zoquete... me acabo de dar cuenta ahora al contestar
otro post sobre esta tematica
El problema es que el HTTP header es Content-Type y no, como me he sacado de
la manga, Application, y al firma es application/x-msn-messenger y no
x-msn-messenger.

En fin... que se me fue la olla y no fui capaz de darme cuenta hasta
ahora.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan [MS MVP]" escribió en el mensaje
news:

Signatures, add:

Name: MSN Messenger
Search in: Request Headers
HTTP header: application:
Signature: x-msn-messenger

Por supuesto, de nada sirve esto, si hay otra regla que permite HTTP y no
esta aplicado este filtrado

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:

Hola Ivan, he creado la firma pero no bloquea el messenger, despues de 3
intentos los usuarios pueden entrar. Qué criterio debo seguir para
filtrar la
firma. header, URL, body... Quizá esté ahí el problema

"Ivan [MS MVP]" wrote:

Utiliza el filtrado HTTP y crea una firma que bloquea:
application/x-msn-messenger

Un saludo.
Ivan
MS MVP ISA Server


"Pedro" escribió en el mensaje
news:
> Hola a todos,
>
> Intento bloquear el Messenger en ISA 2004. Tengo una regla de solo
> permitir
> HTTP/HTTPS. He probado 2 soluciones:
> 1- Crear una nueva regla que bloquee los protocolos de Mensajería
> Instantánea y ubicarlos antes de la regla HTTP. No sucede nada
>
> 2- Crear filtros Headers- Signatures y se bloquea el messenger pero de
> esa
> forma no accedo a ningua página de internet.
>
>
> ¿Qué puedo hacer?
>
> Gracias.