none
Bloquear una URL con TMG Forefront

    Question

  • Buenas, estoy haciendo una prueba para ver si anda el tmg, instale le  TMG e nun servidor y cree un par de reglas para ver si funcionaba. Bueno, no funciono. explico que hice a ver si me pueden ayudar.

    El tmg se instala con una regla basica que deniega todo tipo de trafico

    Luego, cree una regla que permite todo tipo de trafico, es decir de todas las redes a todas las redes, para todos los usuarios.

    Luego quize crear una regla que deniege la direccion de facebook, por lo que fue a Herramientas, y en "Conjunto de Direcciones URL" cree un conjunto que solo tiene la url http://www.Faceebook.com. Acto seguido fui a tareas y cree una "nueva regla"

    Le puse un nombre "Denegar Facebook", Accion "Denegar", Protocolos Http y https (deje como estaba por defecto), origenes "todas las redes y host local", en destino agregue el conjunto de direcciones que cree, es decir el que tiene la direccion de faceebook, tilde la opcion que dice "para el filtrado de URL aplicar a categorizaciones no principales", usuarios "todos los usuarios"...

    cree la regla y la aplico pero no pasa nada. Es decir, abro el explorador y sigue pudiendo acceder a la url.

    alguna recomendacion!? saludos y gracias por su respuesta

    Tuesday, April 17, 2012 11:35 PM

All replies

  • Hola Guacharaca

    La primera recomendación que te puedo hacer que explores las capacidades del Web Protection, especificamente el URL Filtering ya que puedes hacer reglas de denegación basado en categorias lo que es mas productivo y mas facil de administrar, aunque debes tener en cuenta que esta caracteristica no es gratis y se necesita un licenciamiento a parte del de TMG.

    Con respecto a la configuración que mencionas, creastes un URL Set o un Domain Name Set !? Te pregunto porque si creastes un URL Set y el trafico es https la regla va a hacer omitda... Para este caso especifico es mas recomendado trabajar con Domain Name Set donde solo debes declarar el dominio, por ejemplo; facebook.com te voy a dejar un link sobre un post que escribí acerca de este tema para que lo revises y nos comentes: http://blogs.itpro.es/jimcesse/2011/10/09/como-funcionan-los-url-sets/

    Otra cosa que aun que básica no se puede descartar :) fijate que en lo que mencionas anteriormente facebook esta mal escrito tiene una "e" demas

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    Wednesday, April 18, 2012 4:14 AM
  • Hola Guacharaca

    Tienes algún avance del caso !?

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    Wednesday, April 25, 2012 5:14 PM
  • Hola Jimcse, he visto por ahi que le pegaban las reglas en una imagen asi que me tome el atrevimiento y la pegue para que tu veas si estoy haciendo bien... 

    Wednesday, May 02, 2012 1:34 PM
  • Con respecto a que tipo de url cre, te comento que yo lo tengo en castellano, y hay 3 conjuntos que dicen algo de URL, y con mi pobre ingles deduje que se trataba de "Conjuntos de direcciones URL" lo que tu indicas como URL Set. Y si, en ese lugar cree la direccion.

    Por otra parte, cuando dices que no se va a palicar al trafico https, quieres decir que si yo pusiera http://www.facebook.com esta seria bloqueada, pero si yo MANUALMENTE pongo https://www.facebook.com la pagina abriria!? o tiene alguna otra implicacion?!

    Saludos y gracias por tus respuestas.

    Wednesday, May 02, 2012 1:48 PM
  • Hola Guacharaca

    Si mira con el tema del idioma de instalación, yo personalmente he preferido siempre el Ingles, ya que se hace mas fácil a la hora de la lectura de documentación y algunas otras cosas... Pero no te preocupes ahí si tienes alguna duda con la traducción no dudes en plantearla.

    Con respecto al http / https tienes razón, si pones http://www.facebook.com la regla debería hacer su bloqueo sin problemas... Pero si por el contrario pones https://www.facebook.com la regla será omitida y evaluará la siguiente según sea el orden.

    Por el lado de las reglas, no están mal, solo hay algo que me llama la atención en la primera "Destinos Web Bloqueados" veo que el destino es o la columna que se llama A tienes 3 objetos facebook.com, Facebook y infobae.com volviendo a lo que comentabamos anteriormente para que el bloqueo te funcione debes usar "Domain Name Set" justo el primero que tienes en la lista "facebook.com" por lo que yo eliminaria el segundo objeto el que llamas Facebook ya que no tiene peso dentro de la regla.

    Con la segunda regla veo que permites el trafico pero en el tab de excepciones tienes el URL Set al que llamas Facebook, yo lo quitaria, ya que recuerda que TMG es Top-Down osea, una vez que alguna regla permite o deniega el trafico las demas reglas no son evaluadas... Así que como en la primera regla estas bloqueando no tiene valor agregado la excepción en la segunda regla y mas bien lo que haces es crear reglas mas complicadas para la evaluación... Ahora no vas a notar ninguna diferencia en este ambiente que veo solo tienes 3 reglas... Pero es un buen "Tip" para ambientes mas grandes.

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    Wednesday, May 02, 2012 3:14 PM
  • Bueno, sobre el tema de las reglas "extras" que me indicaste, son resultado de ir probando diferentes opciones a ver si en algun momento esto bloquea el acceso, cosa que nunca ocurrio. 

    En definitiva, tu dices que las reglas estan bien, entonces porque no frena el trafico!? Recordemos que estoy trabajando sobre un w2008 server r2, éste esta virtualizado sobre un vmware, que ademas ese vmWare tiene varios servidores, todo el trafico sale a traves de un servidor virtualizado w2008 server que es el AD. Cuando ponga el servidor TMG en produccion, estara en el medio entre el AD y el router, pero por ahora no lo tengo asi, simplemente hago que el trafico salga hacia el AD mediante la puerta de enlace, y estoy intentando bloquear a un usuario local dentro del Servidor TMG... para probar estar seguro del tema de las reglas. Actualmente el servidor TMG tiene una sola placa de red.

    Mi pregunta es puede ser que haya algun fallo en al configuración de la red que haga que el TMG no bloquee como debe ser el trafico?

     

    Gracias por tu respuestas, saludos

    PD: Gracias por el tip sobre el lenguaje, no lo habia tenido en cuenta.

    • Edited by NioDeTark Thursday, May 03, 2012 2:00 PM
    Thursday, May 03, 2012 1:59 PM
  • Hola Guacharaca

    Aun tienes alguna duda sobre el tema?

    Gracias.

    Saludos.


    Eduardo Portescheller - LATAM Forum Support Engineer
    Microsoft Corporation

    Tuesday, July 31, 2012 4:50 PM
  • si... es que no se como superarlo, como mostre arriba, creo que hice todo correctamente, pero no logro filtrar el trafico, justamente hoy estaba por retomar el tema, pero surgio un problema y lo pospuse para mañana... 

    Tuesday, July 31, 2012 6:47 PM
  • Guacharaca... Comentanos como te fue luego de retomar las pruebas.

    Saludos,


    Jimcesse
    Principal: http://sysadmin-cr.com/
    Alterno: http://blogs.itpro.es/jimcesse
    

    Wednesday, August 01, 2012 6:12 PM