No puedo bloquear puertos

Si tienes reglas que permiten todo el trafico IP y luego pretendes crear
reglas que deniegen, vas a tener muchisimo trabajo y nunca vas a tener un
verdadero control.
La forma corecta de configurar cualquier cortafuegos es denegar todo y
permitir lo necesario, y no al reves como parece es tu caso. En ISA 2000 la
forma de denegar todo y permitir lo necesario se traduce en crear reglas que
permitan unicamente aquello que los usuarios encesitan. Averigua las
necesidaddes de los usuarios, crea grupos de acuerdo a esas necesidades y
permite en las reglas lo que necesitan esos grupos de usuarios. Si un
usuario solo necesita HTTP y HTTPS, porque tienes que permitirle todo el
trafico IP ?

Un saludo.
Ivan
MS MVP ISA Server


"daniel" escribió en el mensaje
news:

Buenos dias:

Me podrían yudar en como puedo bloquear los puertos que utilizan los
siguientes programas:

Windows Media Player
Kazza
Emule
Winamp

Ya que mis usuarios consumen un considerable ancho de banda; o cómo puedo
detecatar los puertos que usan estos programas o similaes.

Les agradecería mucho la ayuda.

Gracias.

A proposito de esta forma de configurar el ISA2000 tengo una consulta.

Tengo un ISA2000 que como vos mencionas deniega todo y solo permito lo que
se necesita.
Ahora bien, si por ejemplo tengo una regla de HTTP/S esta habilita a los
usuarios para que utilicen este protocolo y "en teoria" en el puerto 80.
¿Hasta aca voy bien o no?
Ahora si yo navego un sitio Ej. http://www.destino.com ningun problema, pero
porque si yo pongo http://www.destino.com:3000 y del otro lado tengo un web
server en ese puerto, tambien me responde esta pagina.
No entiendo. No deberia solo responderme si yo pongo el puerto estandar 80 o
si lo omito?
Mirando los logs del ISA me dice que

Gracias
Dario

"Ivan [MS MVP]" wrote in message
news:#

Si tienes reglas que permiten todo el trafico IP y luego pretendes crear
reglas que deniegen, vas a tener muchisimo trabajo y nunca vas a tener un
verdadero control.
La forma corecta de configurar cualquier cortafuegos es denegar todo y
permitir lo necesario, y no al reves como parece es tu caso. En ISA 2000

la

forma de denegar todo y permitir lo necesario se traduce en crear reglas

que

permitan unicamente aquello que los usuarios encesitan. Averigua las
necesidaddes de los usuarios, crea grupos de acuerdo a esas necesidades y
permite en las reglas lo que necesitan esos grupos de usuarios. Si un
usuario solo necesita HTTP y HTTPS, porque tienes que permitirle todo el
trafico IP ?

Un saludo.
Ivan
MS MVP ISA Server


"daniel" escribió en el mensaje
news:
> Buenos dias:
>
> Me podrían yudar en como puedo bloquear los puertos que utilizan los
> siguientes programas:
>
> Windows Media Player
> Kazza
> Emule
> Winamp
>
> Ya que mis usuarios consumen un considerable ancho de banda; o cómo

puedo

> detecatar los puertos que usan estos programas o similaes.
>
> Les agradecería mucho la ayuda.
>
> Gracias.
>

No deja de ser HTTP... si serian puertos distintos, pero, para SSL, si es necesario habilitarlos, aunque no se controlan mediante reglas.
Un telnet al puerto 3000 no funciona verdad ?

Un saludo.
Ivan
MS MVP ISA Server


"Dario Moreno" escribió en el mensaje news:

A proposito de esta forma de configurar el ISA2000 tengo una consulta.

Tengo un ISA2000 que como vos mencionas deniega todo y solo permito lo que
se necesita.
Ahora bien, si por ejemplo tengo una regla de HTTP/S esta habilita a los
usuarios para que utilicen este protocolo y "en teoria" en el puerto 80.
¿Hasta aca voy bien o no?
Ahora si yo navego un sitio Ej. http://www.destino.com ningun problema, pero
porque si yo pongo http://www.destino.com:3000 y del otro lado tengo un web
server en ese puerto, tambien me responde esta pagina.
No entiendo. No deberia solo responderme si yo pongo el puerto estandar 80 o
si lo omito?
Mirando los logs del ISA me dice que

Gracias
Dario

"Ivan [MS MVP]" wrote in message
news:#
> Si tienes reglas que permiten todo el trafico IP y luego pretendes crear
> reglas que deniegen, vas a tener muchisimo trabajo y nunca vas a tener un
> verdadero control.
> La forma corecta de configurar cualquier cortafuegos es denegar todo y
> permitir lo necesario, y no al reves como parece es tu caso. En ISA 2000
la
> forma de denegar todo y permitir lo necesario se traduce en crear reglas
que
> permitan unicamente aquello que los usuarios encesitan. Averigua las
> necesidaddes de los usuarios, crea grupos de acuerdo a esas necesidades y
> permite en las reglas lo que necesitan esos grupos de usuarios. Si un
> usuario solo necesita HTTP y HTTPS, porque tienes que permitirle todo el
> trafico IP ?
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "daniel" escribió en el mensaje
> news:
> > Buenos dias:
> >
> > Me podrían yudar en como puedo bloquear los puertos que utilizan los
> > siguientes programas:
> >
> > Windows Media Player
> > Kazza
> > Emule
> > Winamp
> >
> > Ya que mis usuarios consumen un considerable ancho de banda; o cómo
puedo
> > detecatar los puertos que usan estos programas o similaes.
> >
> > Les agradecería mucho la ayuda.
> >
> > Gracias.
> >
>
>

Ya reconfiguré las reglas y los protocolos, dándo permiso solo a las
necesidades presentadas como son: HTTP,HTTPS.SMTP,POP3,MSN MESSENGER. Y
tambien reglas para bloquear los protocolos que no quiero: MSN MEDIA
PLAYER, MSN.

Pero aún así, no funcionó; los usuarios pueden entrar al media player y
winamp para escuchar música; no es porque tiene instalado el cliente del
ISA y en la configuración del explorador se quiten los parámetros del
servidor proxy, aún asi pueden entrar.

QUE ESTOY HACIENDO MAL.

Gracias.

Pero aún así, no funcionó; los usuarios pueden entrar al media player y
winamp

Y que protocolos utiliza el media player y el winamp ? si solo permites los protocolos que mencionas, es de toda logica que estan usando HTTP. Asegurate que estas forzando autentificacion para las peticiones web salientes y el filtro redirector HTTP esta configurado para enviar las peticiones al servicio web proxy (claro... esta configuracion puede impedir realizar un bypass del servicio web proxy, necesaria en algunas ocasiones).Si aun asi continua funcionando, la unica opcion pasa por utilizar reglas de sitio y contenido y bloquear ciertos contenidos o usar productos de terceros. Tambien puedes bloquear los destinos a los que se conectan.

Un saludo.
Ivan
MS MVP ISA Server


"daniel" escribió en el mensaje news:%

Ya reconfiguré las reglas y los protocolos, dándo permiso solo a las
necesidades presentadas como son: HTTP,HTTPS.SMTP,POP3,MSN MESSENGER. Y
tambien reglas para bloquear los protocolos que no quiero: MSN MEDIA
PLAYER, MSN.

para escuchar música; no es porque tiene instalado el cliente del

ISA y en la configuración del explorador se quiten los parámetros del
servidor proxy, aún asi pueden entrar.

QUE ESTOY HACIENDO MAL.

Gracias.