Archivo de la categoría: ISA Server 2006

SSL Sobre un Puerto no Estándar

https-background

Un problema muy común que nos encontramos los administradores de ISA Server / Forefront TMG es la apertura de puertos no estándares para el uso de SSL a través del Web Proxy, esto ya que por defecto los únicos puertos permitidos son 443 para SSL y 593 para NNTP.

 

Síntomas:

Cuando estamos frente a una denegación de SSL ya que intentamos salir por un puerto diferente al 443, veremos en los log algo similar a estos eventos: “The specified Secure Sockets Layer (SSL) port is not allowed. Forefront TMG is not configured to allow SSL requests from this port.

 ssl1

Solución:

Bueno como dice mi amigo daemonRoot: “como todos sabemos en el mundo de la informática hay mil y una formas de solucionar un problema… o hacerlo más grande” veremos dos métodos para solucionar este inconveniente.

Método 1:

Este es mi método favorito ya que tendremos que utilizar la línea de comandos, se basa en el uso de un script llamado ISA Tunnel Port Tool básicamente estos serian los pasos:

1. Descargar el script ISA Tunnel Port tool.

2. Desde la consola ejecutamos el siguiente comando: script isa_tpr.js /add Port4443 4443 

3. Reiniciamos el servicio de Firewall.

Acá dejo un PRTSC con la lista de parámetros que podemos usar en isa_tpr.js

isa_tpr_help

 

Método 2:

El segundo método que quisiera compartir con ustedes se basa en una Interface Grafica (GUI) llamado LISSA 2004 desarrollado por la gente de Informática64 acá les dejo un excelente paso a paso de como usar la aplicación escrito por el equipo de Seguros con Forefront: http://www.forefront-es.com/?tag=/lissa

Bueno como hemos visto hay varios métodos para abrir puertos a través del Web Proxy, solo me queda compartir con ustedes unos links con información adicional acerca de estos procedimientos:

http://support.microsoft.com/kb/283284

http://technet.microsoft.com/en-us/library/cc302450.aspx

 

Hasta la próxima !!!

Anuncios
Etiquetado , , ,

Tipos de Reglas en ISA Server / Forefront TMG

FWPolicy1

Un tema que muchas veces causa confusión entre las personas que se inician en Forefront TMG o sus predecesores es cuales tipos de reglas existen, como puedo crearlas y sobre todo, sobre que escenario debo usar una u otra.

Para aclarar un poco este tema, voy a escribir un poco acerca de las opciones que tenemos disponibles para administrar la configuración o políticas de nuestra red.

Inicialmente quisiera aclarar que tanto ISA Server como Forefront TMG son Firewall de tipo Top-Down lo que significa que se evalúan las reglas de arriba hacia abajo (por eso es importante el orden en que se encuentren las reglas ) y una vez que se encuentre alguna regla que permita o deniegue el trafico las demás reglas no son evaluadas.

Básicamente vamos a tener cuatro tipos de reglas con las que podremos interactuar en nuestro ambiente: Reglas de Acceso, Reglas de Publicación, Reglas del Sistema y Reglas de Red.

1. Reglas de Acceso: estas reglas controlan el acceso entre las redes que tengamos definidas en el servidor Forefront TMG / ISA Server y en conjunto con las reglas de red, definirán que y como compartimos los recursos entre las mismas.

2. Reglas de Publicación: estas reglas controlan el acceso de trafico entrante (Inbound) a los servidores que tengamos publicados detrás de ISA Server / Forefront TMG en esta clasificación tenemos varios sub-tipos de reglas como son: publicaciones web, publicaciones Exchange, publicaciones SharePoint o publicaciones de servidores no web como FTP o DNS.

3. Reglas del Sistema: estas son un conjunto de reglas predeterminadas que controlan el acceso desde y hacia la red Local Host (ósea el propio servidor ISA Server / Forefront TMG) además habilitan la infraestructura necesaria para administrar la conectividad y la seguridad de la red.

4. Reglas de Red: acá básicamente se define la relación entre dos redes que pertenezcan a ISA Server / Forefront TMG, estas relaciones pueden ser de tipo Ruta o Traducción (NAT).

Mas Información:

http://technet.microsoft.com/es-ar/library/dd897107.aspx

http://technet.microsoft.com/es-es/library/dd440991.aspx

http://technet.microsoft.com/es-ar/library/bb794729.aspx

 

Hasta la próxima !!!

Etiquetado , ,

Clientes Forefront TMG 2010

user-group-icon

Una de las preguntas mas frecuentes a la que nos enfrentamos cuando diseñamos un ambiente TMG / ISA Server, es de que forma vamos a conectar / integrar a nuestros usuarios (clientes) al servicio que estamos diseñando.

Bueno en este punto la respuesta dependerá de nuestro ambiente, que tan sencillo o complejo sea, cuales sistemas operativos usemos, entre otras variables.

Básicamente tenemos tres posibles escenarios: SecureNat, WebProxy y Firewall Client según sus definiciones:

1. SecureNat: es una computadora que ejecuta cualquier sistema operativo (Microsoft o no) y como puerta de enlace (Gateway) usa la IP de TMG / ISA Server que se encuentre en la misma red (generalmente la red Interna). En ambientes mas complejos donde hay Routers y Sub-Redes entre los clientes y TMG / ISA Server estos podrían usar como puerta de enlace el Router mas cercano a TMG / ISA Server.

Este escenario tenemos una limitación que se deben considerar: los clientes SecureNat no autentican sus conexiones, por lo que la regla que permitirá el acceso a Internet de estos clientes debe aplicarse para todos los usuarios en el tab usuarios.

IERule

 

2. WebProxy: son aplicaciones que realizan solicitudes de descarga HTTP, HTTPS o FTP a través de HTTP al puerto TCP en el que TMG / ISA Server escucha las solicitudes web salientes de la red (generalmente en el puerto 8080).

Este escenario tenemos una limitación que se deben considerar: los clientes WebProxy solo soportan los protocolos HTTP, HTTPS o FTP a través de HTTP y la regla que permite el acceso a Internet debe aplicarse para un grupo determinado de usuarios, si deseamos autenticación de lo contrario debería de aplicar para todos los usuarios  en el tab usuarios.

IERule2

 

3. Firewall Client: es una computadora que ejecuta algún sistema operativo Microsoft y además tiene instalado el cliente firewall para TMG o ISA Server para automatizar la detección del Proxy en los exploradores y aplicaciones compatibles.

Para este escenario cabe destacar que es el mas recomendado ya que proporciona seguridad mejorada, mejor compatibilidad con aplicaciones y ofrece control de acceso para los clientes.

TMG Client

 

Como hemos visto estos son los tres posibles escenarios que nos podríamos encontrar a la hora de planear nuestra infraestructura TMG / ISA Server, solo me queda compartirles un link donde pueden encontrar información adicional.

http://technet.microsoft.com/es-ar/library/cc441532.aspx

 

Hasta la próxima !!!

Etiquetado , , , ,

Respaldo Automático TMG 2010

Drive-Backup-icon

Una de las practicas mas recomendadas cuando trabajamos con ISA Server o Forefront TMG es realizar una respaldo de la configuración antes y después de cualquier cambio que hagamos ya que de esta forma siempre podremos revertir el cambio que hicimos sin mayor problema.

Pero que sucede si por política de la compañía nos solicitan un respaldo diario haya cambiado la configuración o no bueno hay una forma de automatizarlo con un viejo y conocido Script llamado ImportExport.vbs

Este script lo podemos obtener de un par formas:

1. Descargando el SDK: http://www.microsoft.com/download/en/details.aspx?id=11183

2. Copiándolo de acá: http://msdn.microsoft.com/en-us/library/ms812627.aspx

Una vez con el script en mano tenemos dos escenarios:

1. Exporta la configuración: cscript ImportExport.vbs e C:\BackupConfigTMG.xml

2. Importar la configuración: cscript ImportExport.vbs i C:\BackupConfigTMG.xml

Como ven el uso del script es bastante simple y lo podemos automatizar en un .bat para correrlo en una tarea programada.

 

Hasta la próxima !!!

Etiquetado , ,