Hola, en mi anterior entrada les enseñe un poco de como utilizar la herramienta ISA Server 2006 y algunas de sus características, especialmente en Firewall y NAT, basándonos en esta procederemos a configurar un Proxy para filtrar equipos, dominios, URL's y tiempos, además les voy a mostrar como se configura de manera transparente para no configurarlo manualmente en todos los host.
Comenzaremos entonces con una infraestructura básica de Firewall como la mostrada en la primera parte.
Luego de tener todo esto configurado procederemos a editar entonces la regla de acceso a HTTP que ya tenemos creada, dándole clic derecho y luego propiedades.
Filtro Por Usuarios Del Sistema
Comenzaremos por utilizar un filtro por usuarios, para que así cualquier persona que intente ingresar a una pagina de internet pase primero por una autenticación, crearemos entonces de la siguiente manera un usuario o grupo de usuarios.
Elegimos el nombre.
Luego podemos elegir el lugar de donde se buscaran los usuarios, podemos hacerlo desde una base de datos LDAP, RADIUS o SecurID, en este caso lo haremos con usuarios o grupos del sistema.
Buscaremos el usuario con el que se autenticaran los clientes.
En mi caso y a manera de prueba lo haremos con el usuario Administrador.
Finalizamos la creación del usuario.
Ahora dejaremos solo a dicho usuario para que sea obligatoria la autenticación.
Filtro Por Horarios Y Días.
Ahora vamos a agregar un filtro por días y fechas que permitan solo el ingreso a internet al medio día.
Luego de crear la regla le daremos en aplicar y quedara filtrado por fechas.
Estas son las opciones mas relevantes que tenemos en este menú ahora observaremos las opciones del siguiente menú dándole clic derecho a la regla de filtro WEB y luego Configure HTTP.
Filtro Por Extensiones de Archivos.
Ahora nos dirigiremos a la pestaña extensiones y le daremos en bloquear extensiones especificas y especificaremos la extensión que queremos bloquear.
Filtro Por Palabras En La URL.
Ahora en la pestaña signatures elegiremos las palabras que no queremos que aparezcan cuando por ejemplo se realice una búsqueda en google.
En mi caso bloquee palabras de paginas para adultos y de Proxy.
Primeras Pruebas
Configuraremos en uno de los clientes el navegador y definiremos en este que el Proxy va a ser la IP del ISA Server, además el puerto es el 8080 (esto lo podremos cambiar mas adelante les mostrare como).
Cuando intentemos navegar observaremos que lo primero que va a funcionar es el filtro por usuarios.
Ahora probaremos el filtro por extensiones.
Ahora probaremos el filtro por palabras en la URL.
Si introducimos una de las palabras filtradas la búsqueda sera detenida por el Proxy.
Ahora vamos a observar como se realiza otro tipo de filtrado como por URL, Red, Conjunto de direcciones, Dominio, Equipo, entre otros.
En la parte derecha buscaremos la pestaña Toolbox y luego Objetos de Red, allí en la pestaña New observaremos las opciones que podemos utilizar.
Filtro por URL.
Denegaremos entonces una URL completa, en este caso podemos denegar http://www.elcolombiano.com/* así se denegara todo el acceso a esta URL, pero si por ejemplo queremos que las personas entren a toda la pagina del colombiano menos a los clasificados por ejemplo la ingresaremos así http://www.elcolombiano.com/clasificados/*
Filtro Por Dominio.
Ahora si queremos filtrar un dominio completo por ejemplo para que los usuarios no ingresen a nada relacionado con esto, por ejemplo un FTP o a una base de datos.
En este caso probaremos con twitter.com
Filtro Por Equipo.
Cuando ingresamos al filtro por Equipo podemos ingresar la IP de un equipo a denegar, no mostrare el filtro por subred o por conjunto de direcciones por que seria algo redundante ya que es igual de sencillo al filtro por equipo.
Ahora que creamos los objetos de red les mostrare como aplicar las reglas, estas son fáciles de aplicar y podrán observar que es muy parecido a crear reglas de Firewall.
Comenzaremos entonces a crear una regla de acceso.
Al igual que en el Firewall le damos un nombre.
Una acción la cual en este caso sera denegar.
Un protocolo que sera HTTP y HTTPS.
Un origen que en mi caso sera la LAN la que sera denegada.
Y la parte interesante es que en el destino podremos poner los objetos que hemos creado, por ejemplo el equipo, el dominio y la URL. Es algo fácil y muy dinámico además pueden jugar a crear diversas reglas para configurar.
Finalmente a quien sera aplicada la regla, que como podemos observar aplicara para todos los usuarios.
Lo ultimo que haremos sera poner las reglas de Proxy en la parte superior de las de Firewall y en la inferior de las de NAT con el botón de mover arriba o abajo.
Segunda Prueba.
Intentaremos desde un cliente ingresar al dominio twitter.com.
Intentaremos luego ingresar a la URL http://www.elcolombiano.com/*
Configurando Proxy Transparente.
Nos dirigimos entonces a la configuración de la red y elegimos la subred que sera afectada por el Proxy transparente dándole clic derecho y luego en propiedades.
Esta parte no esta relacionada con el Proxy transparente, solo quiero mostrarles donde cambian el puerto del Proxy normal, pueden ver que por defecto tiene el 8080 pueden cambiarlo por el que deseen, el mas común es el 3128.
En esta área SI se define el Proxy transparente, debemos habilitar esta opción por el puerto 80 para que los usuarios descubran automáticamente el Proxy.
Ahora algo sumamente importante es agregar un registro en nuestro servidor DNS con el nombre del servidor ISA Server.
Primero vamos a ver como se llama nuestro servidor.
En mi caso el servidor se llama "gnunick-gp0epsr" este sera el nombre que agregaremos en el registro DNS que vamos a crear.
Nos dirigiremos entonces al servidor DNS y agregaremos un registro, este registro se llama wpad y debera apuntar a la direccion IP del ISA Server o al gateway de nuestra LAN que es el mismo ISA Server.
WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automaticamente, es decir que cuando configuramos un navegador para que detecte automaticamente el proxy, el se dirigira al DNS buscando cual es la IP que responda al nombre de WPAD y con dicha respuesta sabra cual es el proxy al que debe conectarse.
Nota: Si quieren conocer un poco mas sobre el registro WPAD pueden visitar el siguiente blog.
Nota: Si no tienen conocimientos sobre servidores DNS pueden visitar el siguiente enlace.
Ahora procedemos a configurar el cliente para que busque automaticamente el proxy.
Primero configuramos las tarjetas de red para que cuando el navegador busque en el DNS la palabra wpad se le agregue el sufijo DNS de nuestro dominio, es decir gnunick.com
Ahora si hacemos una consulta DNS de la palabra wpad nos debe arrojar un resultado satisfactorio, de no ser así nunca podrá servir el Proxy transparente.
Ahora configuramos el navegador para que busque un proxy automaticamente.
Mi intento de conexión con Proxy transparente fue a las 12:07M y si lo recuerdan bien hace un rato en las reglas permitimos el acceso solo hasta las 12:00M
Luego de modificar las reglas de Firewall para que me permita conectar después de las 12:00M puede navegar con Proxy transparente.
Con esto quedara todo configurado, espero que les haya servido, cualquier inquietud no duden en twittear o en escribir al correo admgnunick@gmail.com.
Si has encontrado útil este artículo puedes compartirlo desde tu blog, página Web o foro.
1 comentarios:
Gracias por el manual, esta muy bueno, pero no me sale el filtro a una pc de la red interna, ni a un dominio, no se a que se debe.
Publicar un comentario