Semana 5 (Noticia 3)

Isa Server Permitir todo

Recuerdo de niño, cuando iba a jugar al parque, que siempre te decía tu madre: No cruces la carretera solo.
Esta claro que tu madre te decía por algo eso.
- Es peligroso, pasan coches, etc...

Pero tus ojos veían otras cosas. Veían al heladero Ese heladero que lo mínimo que ponía eran 3 bolas de chocolate en el cucurucho


Entonces tenias varias opciones, o pasabas del helado, y esperabas a que algún día el heladero cambiara su chiringuito en tu cera, o te la jugabas y cruzabas a por ese helado.
Esta claro que tu madre lo sabia, jugaba con ventaja. Y siempre hacia dos cosas. O se quedaba ahí al lado, donde yo la veía para que así no cruzara (técnica de la intimidación), o se escondía, y en el momento de cruzar, zas!!!( técnica de te pillo y te castigo).

Han pasado los años, y todavía existe un heladero en cada cera, un niño que quiere ir donde el, y una madre que no lo permite. Solo que ahora, los elementos, y el escenario han cambiado. já!

Escenario
Oficina, con un Domain controller, , exchange , 10 usuarios, y una conexión a Internet

Problema
Usuarios aficionados, a hacer uso del Internet de manera discriminada.

Solución
Simplemente vamos a poner en funcionamiento un ISA server, y ver como permitir todo el trafico.
Creo que es el primer paso siempre de un cortafuegos, permitir, y luego según lo que detectemos ir negando servicios, accesos, etc... Si lo hacemos al revés, y negamos desde el principio, lo mas seguro es que tengamos problemas de puesta en punto, servicios que dejan de funcionar, y demás problemas que pueden hacer que nos volvamos locos.

Nada mas instalar el ISA server, el trafico web estará cortado, y desde el navegador nos aparecerá un mensaje (por defecto) tal como este:
nota: Esto pasara a todos los usuarios, incluido administradores.





- Lo primero que haremos, sera añadir el intervalo de nuestro rango de ip's , dentro de las propiedades de la red interna.

- Nada mas instalar el ISA, si entramos en la consola de administración, veremos que ha creado una regla que deniega todo.
- Esto lo hace, por que si nosotros no le decimos lo contrario , el resultado va a ser este. Si al final de todo el conjunto de reglas, no hemos definido lo que tiene que hacer, no va a permitirlo.
- Es decir, imaginaos que creamos una regla que permite el http, nos quedaría de la siguiente forma.
- http -> SI
- TODO - > NO
Si hacemos una petición smtp, la primera regla se la saltara, y la segunda se lo denegara.
Si hacemos una petición http, la primera regla se lo permitirá, y la segunda no le afectara.

Para crear una regla que permita todo, haremos lo siguiente
- Nos situamos en directiva de firewall.
- Damos a la tarea Crear regla de acceso.


- Esto nos iniciara el asistente para crear la regla. Lo primero sera darle el nombre.

- Le decimos que se va a aplicar a todo el trafico saliente.


- Que la red afectada va a ser Todas las redes (y host local)


- Que el destino también van a ser todas las redes.

- Y que se lo vamos a permitir a todos los usuarios.

- En el listado de reglas, vamos a ver que a situado, esta regla que permite todo delante de la que niega


Con esta configuración, todos los servicios debieran de funcionar sin problemas. Ahora queda lo mas difícil. monitorizar este escenario, ver que servicios, protocolos, se usan, que permitir, que no, que publicar , etc.
Es decir, mucho análisis, trabajo, y paciencia para conseguir exactamente lo que queramos, y que el resultado sea optimo.

Saludos



Link : http://daviddelprado.blogspot.com/2008/05/isa-server-permitir-todo.html