How To: Bloquear lista de Webs en ISA 2006

Estándar

En esta ocasión veremos lo difícil y complicado que resulta bloquear una lista de Webs a los usuarios de nuestro dominio con ISA Server 2006.

En primer lugar, accederemos al administrador del servidor ISA Server, tal y como aparece en la imagen

Administrador del Servidor

 

Una vez que accedamos a la consola de administración, nos situaremos en la pestaña directiva de firewall. Una vez que accedamos a dicha pestaña, nos debe de aparecer en la parte derecha de nuestra consola, tres pestañas más, las cuales son Herramientas, Tareas y Ayuda. Tipearemos sobre la pestaña Herramientas, buscaremos el folder Conjunto de direcciones URL, y con el botón derecho del ratón, marcaremos la opción Importar todos, tal y como se muestra en la imagen siguiente

 ImportUrlsISA

Acto seguido nos saldrá el asistente para importación que nos ofrece ISA Server. 

 Asistente Importación ISA Server

Para que vayáis probando, he modificado la lista de Webs que ofrece el artículo escrito por Greg Mulholland y publicado en la Web isaserver.org. El artículo original, escrito y diseñado para ser utilizado en ISA Server 2004 está aquí:

http://www.isaserver.org/articles/2004firewallblocklist.html

Este archivo XML está modificado para ser utilizado en ISA Server 2006

BlackList (Guardar destino como…)

Una vez importada nuestra lista maligna de URLS, procederemos a crear la regla pertinente. Para ello, nos dirigiremos nuevamente sobre directiva de firewall, y con el botón derecho del ratón pulsaremos Nuevo -> Regla de acceso

Regla de Acceso

El funcionamiento de una regla de acceso es muy sencillo, y podremos “complicarlo” tanto como queramos.

El primer paso del asistente es crear un nuevo nombre para esa regla de acceso. Yo por ejemplo la he llamado DenyUrlList.

La segunda acción de la regla nos permite elegir entre si queremos permitir o denegar dicha función. Como no queremos que estas Webs sean accesibles desde nuestro domain, pulsaremos en denegar.

Protolos seleccionados. Aquí cada maestrillo tiene su librillo :). Depende de lo que tengamos en esta lista de Webs, podremos elegir uno u otro. En esta regla he elegido tanto HTTP, como HTTPS como FTP. Tan solo tendremos que agregar los protocolos que consideremos necesarios y que afecten directamente a la lista de URLS que tengamos.

 Protocolos Seleccionados

La siguiente pregunta que nos formulará el asistente es cómo se va a aplicar la regla. La regla tiene un origen y un destino. Como no queremos que ningún usuario de nuestro domain pueda accesar lícita o ilícitamente a ninguna de estas direcciones, el origen de nuestra regla es Toda la red interna (englobando tanto el host local como la red VPN si tuviésemos alguna), así que nos quedaría de la siguiente forma:

 Origen de la regla

Y la regla la aplicamos cuando nuestras peticiones internas sean enviadas a las direcciones que tengamos en nuestra lista negra. Con lo que nos quedaría:

 BlackList

Para quién es válida esta regla? Depende de cómo tengamos configurado nuestro ISA pondremos una lista de usuarios, todos los usuarios, todos los autenticados, etc..

En mi caso, ya que mi ISA está bajo un dominio, y quiero que todos los usuarios del dominio no accedan a este tipo de URLS, he puesto, todos los usuarios autenticados.

Finalizaremos el asistente, actualizaremos nuestras reglas de acceso y acto seguido podréis comprobar y hacer las pruebas pertinentes con la regla de acceso.

Con este tip pretendo también que comprobéis lo fácil que le resultaría a un administrador de ISA 2004, migrar a ISA 2006. El funcionamiento es básicamente idéntico al anterior, como podréis comprobar leyendo el artículo de isaserver y este conjuntamente.

Y dicho lo dicho… Todavía os parece difícil securizar vuestra red? La tecnología está ahí.. Y ya no puedes decir que no sabes hacerlo… 🙂

1Saludo!

Anuncios

36 comentarios en “How To: Bloquear lista de Webs en ISA 2006

  1. Juan Labrador Egea

    Eres un fenomeno. Pero en el vínculo obtengo el mensaje de “No está autorizado a ver esta página (Error 403)”. Gracias por tu esfuerzo

  2. Juan Labrador Egea

    Asi si. Pero tengo otro problema. Tengo la versión Standard Edition y el fichero es para la Enterprise Edition (y no se puede importar de una a la otra).
    El mensaje al intertarlo es:
    Error en el objeto “URLSets” de la clase “Conjuntos de direcciones URL” en el ámbito de la matriz “NOMBRE_SERVIDOR_ISA”.
    ¿Algún consejo?. Gracias de todas formas.

  3. Ese error es común cuando la importación a un objeto de ISA no es válido. Puede ser que al exportar el archivo haya creado algún objeto de clase que sea diferente al que tú tienes.
    Solución chusquera: 🙂
    Créate un nuevo conjunto de direcciones URL y pon la url que quieras denegar. Acto seguido lo exportas.
    La exportación te generará un archivo XML que vamos a editar.
    En el archivo que te descargas de este blog (el que tiene todas las direcciones), edítalo y corta desde fpc4:URLStrings hasta el final, y lo pegas en el otro archivo que has exportado con tu ISA (Siguiendo el mismo procedimiento).
    Si tienes algún problema o no te funciona, haz la primera parte (Crear un nuevo conjunto de direcciones URL y exportarlo) y envíame el xml por correo. 🙂
    1Saludo!

  4. Puedes usar sin problemas los comodines como el asterísco (*), pero siempre siguiendo los patrones de bloqueo, es decir:

    UrlSet válido
    http://porno.com/*

    UrlSet inválido
    http://porno.com/*/contenido

    Tocayo, si te interesa tienes un foro estupendo sobre ISA Server aquí mismo y en el idioma de Cervantes 🙂

    http://forums.microsoft.com/Technet-ES/ShowForum.aspx?ForumID=600&SiteID=30

    Lleva poco tiempo, pero hay muchísimos expertos sobre ISA y otras tecnologías pululando por allí..

    Sobre UrlSets

    http://www.microsoft.com/technet/isa/2004/help/SRSP1_URLSet.mspx?mfr=true

    1Saludo!

  5. Pablo Farias

    acabo de instalar el isa server 2006 pero no se como cerrar algunos puertos para mi red interna, sabran de algun manual o ejemplo claro para poder hacer esto o administrarlo bien, se lo agradezco mucho… pablo F

  6. Isaac Yanez

    Saludos, tengo una duda,,, yo ya tengo varias reglas hechas una de ellas es dejar ver cualquier sitio web a los dueños de la empresa, otro es restringido para poder bajar cosas, y el otro es por hoario de 2pm a 4pm y de 6pm a 8am del dia siguiente… en si no hay una regla para impedir que accesen a este tipo de paginas, ya hice el ejercicio sin ningun resultado favorable…….me puedes decir como anexo esta lista de paginas blockeadas para que en mis reglas ya creadas no las puedan ver, a lo que me refiero no quiero quitar las reglas que ya tengo hechas lo que quiero es anexar esta dentro de las que tengo….tengo Isa 2004

  7. Isaac, tu problema en un principio puede venir por el orden de reglas. Si tienes una regla que lo permite todo, y otra después que lo bloquea, puede haber problemas. Revisa el orden de reglas.
    Tienes un foro estupendo sobre ISA Server en español. El enlace está en la parte derecha del blog.
    Saludetes!

  8. Omar Moreno

    Maestro, tengo un problema con ISA SERVER 2006, tengo una regla para que me bloquee todo el trafico, exepto algunas paginas que deseo que los usuarios tengan acceso, pero hay algunas paginas que deceo que los usuario tengan acceso, ya las di de alta para que isa server no me las bloquee, pero aun asi las bloquea, me puedes decir como le hago para que esas paginas no me las bloquee. gracias por tu ayuda.

    • Saludos
      Lo que tienes que hacer bloquear todos los trafico en el ISA Server 2006 y luego crear una regla que permita las paginas que quieres permitir.. me imagino que son menos paginas la que quieres permitir que la que quieres bloquear…
      y te recomiendo que en ToolBox luego User
      Crees una lista de usuario restringido(UserAccessRestrinct) a una lista de paginas y de usuario permitidos a todas las paginas.
      Luego cuando cree la regla de acceso en la propiedades de la Regla > Users
      elimina all user y luego auten.. y agrega en add la lista usuarios restringido (UserAccessRestrinct).

      Espero haber colaborado.

  9. Cesar Chavez

    Un favor me podrian enviar el archivo, para isa server 2006, no lo puedo descargar

    es un buen material, hace tiempo que buscaba una solucion asi, yo opte por usar el opendns, pero el problema es que no me permite filtrar acceso, como para un usuario vip.

    gracias

  10. RODOLFO

    SALUDOS, TENGO ISA SERVER 2006 QUIERO QUE LOS USUARIOS NAVEGUEN EN UN URLS SET DE PAGINAS PERMITIDAS QUE E CREADO. COMO HAGO PARA CREAR LA REGLA DE QUE LOS USUARIOS SON PUEDAN NAVEGAR EN LAS PAGINAS PERMITIDAS.

  11. Tengo ISA 2006 Standard y quiero solamente que mis usuarios naveguen por un URL Set creado pero tengo problemas al colocar páginas que para autenticarse invocan un formulario HTTPS he creado la regla que eprmite HTTPS hcia ese URL Set pero no funciona me ha tocado dehjarlo libre y bloquear páginas.

    pero la idea es solucionar esto saben como?

    Pasa por ejemplo cuando le digo que en esa lista le eprmito navegar por hotmail.com pero cuando se autentica la pagina se cae porque URL Set tengo entendido que solo funciona para trafico HTTP.

  12. jozeluiz

    Yo también estoy interesado en saber cómo hacer el proceso complementario:
    ¿Cómo Permitir el acceso sólo a determinadas webs específicas.?

    Debería ser igual de fácil, pero no me explico cómo no encuentro aún la forma !

    Muchas Gracias.

  13. jhonatha barrios

    Buenas Tardes

    yo aplique las politicas para bloqueo de paginas web en el server 2006 pero tengo un problema que agrego todos los usuarios autenticados y funciona perfecto sin embargo si agrego una lista de usuarios que son los que quiero bloquear no me aplica la regla ya que las paginas siguen abiertas. que puedo hacer al respecto agradesco de antemano su ayuda y quisiera saber si es que todos los usuarios deben tener el cliente isa en su maquina.

  14. PVazquez

    Hola Juanito, una preguntita sobre administracion de redes.
    En una pequeña red de no mas de 50 equipos y un 2003 Server con AD…
    Donde instalarías ISA, en este mismo Server o debería de montar un segundo servidor para esto??

  15. tengo una duda no sabes si se puede limitar el tamaño de descarga en en el ISA ó es necesario de una tercera herramienta como Web Sense o WebMonitor?

    Gracias de nuevo y felicitaciones Juanito, insisto buen aporte…

  16. saludos jozeluiz
    esta es tu respuesta..

    Si lo que deseas es agregar solo alguna webs, tiene que deny todos los traficos
    luego en URL sets crea las pagina que quieres permitir ejemplo Name gmail Url> http://gmail.com, etc.
    Crea en Computers un listado de los equipos que quieres que se conecten a esas paginas, si lo prefieres puedes agregarlo por lista de usuarios en Users> New Users sets o como prefieras,

    Luego en Tasks crea una regla en Create access rule

    Colocale el nombre ejemp. Trafico de Http y Https
    Luego

    Pestañas
    – General > Enable
    – Action > Marcar Allow y tambien Log requests…
    – Protocols > elegir “Selected Protocols”, Luego add desde webs “http” y “Https”
    -From > add Cada equipo dese Computer
    -To > Add cada paginas desde URLs Sets

    y Listo

    Nota: Si elegiste por equipo > es cuando desde un equipo especifico puedes conectarse a las urls especificadas.

    Si elegiste Internal y Local Host > es Cuando desde tu red o intranet pueda conectarse a las urls especificadas.

    espero haber ayudado cualquier duda estamos para ayudar…

  17. Jorge Santillán H.

    Holas a todos,
    Una consulta urgente.
    Tengo un DC win2003-R2, una ISA 2006 dentro del dominio que también tiene SURFCONTROL WEB FILTER, el problema que tengo es que puedo navegar casi a todo sin problemas porqué he dado acceso a los protocolos HTTP, HTTPS y FTP.
    Pero tengo problemas cuando quiero entrar a HOTMAIL a veces conecta bien y otras veces se queda buscando la pagina de autenticación, a veces me dice que la página no está disponible.
    Estuve probando directamente al Router osea salteando el ISA y si la conecta bien, entonces pienso que el problema se puede originar en el ISA pero me surge la duda porque no me da ninguna advertencia del ISA ni del Filtro. Y eso me pasa también con GMAIL.

    Cualquier respuesta al respecto los agradecería un montón.

    Jorge

  18. Oliver Suazo

    Que tal Juanito, estoy algo atrasado en esto y estoy instando un firewall con ISA Server 2006 y quiero bloquear la pornografía con lo que explicaste quede muy claro y también con lo de modificar el archivo xml ahora quisiera saber si tu tienes alguna lista actualizada de urls pornográficas o un lugar donde las pueda descargar ya que cada día salen nuevas paginas porno que no están especificadas en la lista de urls.

    De antemano Gracias Bro.

  19. Thanks for the guidelines shared on your own blog. Another thing I would like to say is that weight-loss is not exactly about going on a celebrity diet and trying to shed as much weight as possible in a few days. The most effective way to lose weight naturally is by having it slowly and right after some basic guidelines which can help you to make the most out of your attempt to lose weight. You may understand and be following some tips, although reinforcing awareness never affects.

  20. Jose

    En mi empresa hay una politica de no acceder a facebook en la oficina y por tanto el sitio lo tengo bloqueado en el ISA Server 2006 pero aun asi en las trazas de final de mes aparecen accesos al mismo aun cuando desde cualquier estacion de trabajo trato de entrar directamente y el FW me dice que esta prohibido. les agradeceria mucho la ayuda que puedan darme respecto a esto.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s