Serie «Básicos»
Este sitio Web está dedicado a la arquitectura informática y por lo tanto sus artículos son de nivel medio/alto, pero debido a mi colaboración en foros como la TechNet es común que me encuentre con algunas dudas «básicas».
La serie básicos pretende ayudar a los administradores noveles a solucionar situaciones que aunque sencillas pueden representar un problema para ellos.
Introducción
ISA Server 2004 y 2006 realizan todas las decisiones de que trafico está permitido y que trafico no lo está conforme a las reglas que tengan creadas.
Las reglas tienen un orden, dicho orden puede afectar a cómo reacciona ISA ante el trafico.
Adicionalmente ISA nos proporciona potentes herramientas para saber si las reglas están funcionando bien o no.
El orden de las reglas si afecta el producto
El orden general en el que tenemos que poner las reglas es:
1º las reglas que denieguen el trafico de forma general.
2º Reglas que permitan el trafico de forma general.
3º Reglas que sean para ordenadores específicos (IPs)
4º Reglas para usuarios, urls o contenidos específicos.
5º Reglas de publicación
6º Otras reglas que permitan tráfico.
Otras buenas prácticas:
http://www.microsoft.com/technet/isa/2004/plan/firewall_policy.mspx
Veamos la siguiente imagen para ver como se modifica el orden de las reglas:
Figura, 1. Orden de las reglas en la consola de ISA.
Como saber que regla debo crear o si una regla funciona bien o no.
Una de las cosas que más me gusta de ISA 2004 y 2006 es la posibilidad de ver en tiempo real el trafico del firewall.
De esta forma podemos averiguar cómo crear una regla que no sabemos qué puertos usa o adonde va o ver por qué no funciona una regla especifica.
Figura, 2. Monitorizando el trafico en tiempo real (1)
Figura, 3. Monitorizando el trafico en tiempo real (2)
Figura, 4. Monitorizando el trafico en tiempo real (3) Editando el filtro.
Figura, 5. Monitorizando el tráfico en tiempo real (4) Filtro ya creado.
Con este filtro veremos en tiempo real todo el tráfico que produzca la maquina 192.168.0.30.
Figura, 6. Monitorizando el trafico en tiempo real (5) Trafico generado por un ping lanzado en la maquina 192.168.0.30 hacia la ip 10.20.20.1
Viendo el resultado de la monitorización podremos averiguar que protocolos y destinos tendremos que poner en una regla para que funcione.
También será fácil ver por qué alguna regla no funciona y solucionarlo.
Lo se, lo se soy un pesao y un egocentrico, que se le va a hacer :-), pero es que me hace ilusión. Desde
Muchas gracias, esencial y básico, justo lo que necesitaba.
excelente guia, solo quisiera ver si me puedes decir donde encuentro un manual o como hacer para bloquear trafico de messengers, tengo instalado el Ethereal, pero no se como hacer para buscar la firma que utilizan los messengers y despues aplicarla en el ISA 2006.
Gracias.
buenas veo que a todos les va bien el isa server, tengo el 2006 y la verdad e probado todo no se que ando haciendo mal pero ninguno me funciona, tengo dos red una usb que da internet al servidor ip automatico y la otra red local con ip fijo instale los dns y dhcp en windows server 2003 y al instalar el isa server pierde el servidor la conexion de internet es decir pierde el ip y hasta la red local no se ve, no se si es por la reglas o es que ando haciendo algo mal, por cierto cuando lo instlao el rango de ip que coloco al principio es solo el de la red interna esta esto bien?
Hola tendras un imagen donde puedas mostrar tus reglas x defecto de tu ISA yo estoy trabajando pero algunas no trabajan como yo quiero en las paginas si hay bloqueos pero al gunos progrmas los bloquea y otros no, podrias darme un ejemplo de tus reglas, saludos.
JOhn
Tengo montado isa server 2004 en la oficina, claro yo no conozco en si a isa server, pero mi problema se refiere exclusivamente a una pagina que comenso a suceder cuando la otra persona que estaba a cargo del departamento lo instalo, la pagina es una web en donde se utiliza para cargar informacion de la empresa, en esa pagina deberia de aparecer un menu del lado izq u no aparece, realice las pruebas colocando ABA directo a un computador y funciona bien, pero cuando lo se hace con el isa serve activo no me la muestra ese menu, alguien me hablo de filtro de contenido pero quede igual no entendi, busque informacion pero no hay nada en concreto sobre ese tema, solo conceptos basicos, creacion de reglas y esas bobadas, pero no sobre casos reales que suceden en labores de trabajo, la regloa en cuestion tiene estos protocolos ftp,http,https,ftp server, y algunos otros, no estoy seguro pero creo que es esa la regla ya que las demas no se refieren al trafico en cuestion, ahora sobre esa pagina solo dos usuario lo neceitan, claro no importaria si todos accesan al final eso es lo que me importa si esxiste algun usuario avanzado de ISa SERVER 2004 por favor asesoreme.
gracias.
Nota: Por favor si no eres experto o no conoces de ISA server no comentes ideas sin base tecnica.
Como hago para crear una politia en la cual por medio de la direccion mac de la maquina tenga acceso a lo privilegios de la empresa.
Hola:
Me gustaria saber como hago para habilitar el ping en ISA Server asi como habilitar algunos puertos.
hola a todos bueno el problema es el siguiente: todas las reglas en isa como navegacion, autenticacion de usuarios con ad, bloqueo de direcciones, cache me funcionan de a 100% pero tengo un problema que necesito que las maquinas de mi empresa hagan ping a traves del isa necesito una url o asesoria de como poder hacerlo ate. esperando de sus respuestas
Bueno gracias por la informacion dada anteriormente.
yo no se mucho del tema pero estoy aprendiendo….
Como hago para bloquear el accesoa a p’aginas como hotmail, yahoo, faceboo etc si no solamente podemos acceder a estas escribiendo http://www.nombrepagina.com sino por ejemplo a traves de google lo podemos hacer y esas no quedan bloqueadas y escribir todas la URL’s es muy tedioso. Hay algun otro metodo,
Agradezco la colaboraci’on.
Por favor soy nuevo trabajando en el isa y tengo un problema todas su reglas estan creadas trabanado perfectamente pero hay una regla que no la he puesto en marcha que es la internet via telefonica que se conecten ami a traves de un modem…. por favor ayudarme en esto.
quisiera saber com puedo restringuir el msn y asceder a hotmail
gracias
Hola a todos, tengo un problema con el isa cada vez q creo una regla todos los usuarios pierden conextion al servidor tengo q mapearlo para q ingrese si seria unos 3o5 quisas no seria tedio pero cuadno tienes mas de 30 PCs hay si es un problema alguien me puede ayudar por favor mi mail es juancabg03@hotmail.com
Gracias de antemano. 🙂
si quieren saber sobre reglas de isa les dejo mi email… llamadas58@hotmail.com … asesoramos cabinas empresas etc…
Bueno hace 3 semanas instale un ISA Server Standard 2006 con SP1, el tema es que ya tengo mis reglas funcionando, bloqueando sin problemas y ademas tengo configurado el acceso de VPN hacia la empresa, pero no hay caso cada cierto tiempo se cae el servicio de ISA, y el unico indicio que encuentro es en el log del sistema con ID 4201, referente a como que la tarjeta de acaba de conectar, especificamente da log eso log con la interfaz WAN, pero no con la LAN, otro dato que puedo aportar es que la WAN va conectada directamente al router del ISP, un Cisco 1200 con 4 puertos ethernet.
¿como puedo bloquear el trafico p2p (ares, bit torrent, emule, kazaa……) con ISA 2006?
Tengo problemas para bloquear los usuarios en el isa server 2006. Cree un grupo de usuarios permitidos y otro de usuarios denegados, funciona bien con todos los usuarios pero cuando cambio a estos grupos no me conecta el internet. Que puedo hacer? por favor es Urgente…
Gracias
Veronica hola, a mi me pasaba lo mismo, lo que hice fue crear grupos de navegacion segun los usuarios, te preguntaras como es eso? bueno empece por crear un grupo de navegacion limitada el cual le permitia navegar hacia lo basico, paginas de banco, paginas del gobierno, noticias, luego navegacion intermedia, la cual le permitia descargar paquetes desde internet, y por ultimo navegacion full, luego de crear los grupos te poscicionas sobres los campos de las reglas y procedes a realizar las negaciones y autorizaciones pertinentes alli te dejo mi correo roddy_marinoh@hotmail.com
Bloquealo por dominio te funciona..
pero puedes también por directiva de dominio (claro si tienes dominio).
Buen aporte pero kiero saver como aplicar las reglas a un solo usuario en especifico osea,, lo que kiero es blokear las descargas pero solo a un usuario de los k tengo en mi pc me puedes ayudar? por favor si puedes enviame informacion a este coreo el_joel_22@hotmail.es espero k puedas ayudarme lo necesito mucho..buehh me retiro gracias por adelantado!
hola necesito montar isa server necesito a alguien que me pueda ayudar claro es pagado pero tiene que ser lo antes posible, montar y explicármelo como se usa.