none
Reglas TMG (Block MSN, Allow Skype) RRS feed

  • Pregunta

  • Hola a todos,

    Tengo dos inconvenietes en una implementacion de TMG 2010 Estandar, les cuento un poco mas:

    1. Necesito permitir el uso de Skype a un grupo determinado de usarios, el problema lo tengo cuando habilito el https Inspection, skype se queda colgado y no se conecta, por lo que he podido investigar el problema viene con dicha inspeccion, tambien lei que se pueden agregar un grupo determinado de maquinas para que no le realice la inspecion https, sin embargo no me gustaria hacerlo de esta forma ya que eso me deshabilitaria el escaneo para todas las https (como es obvio, me dejaria pasar al Skype), por otro lado (explorando un poco las opciones) me he encontrado que en el menu de "Configure Https Inspection" > "Destination Exception" > "Sites Exempt from HTTPS Inspection" ahi puedo agregar direcciones que no quiero que pasen por la inspection, lo que se me ha ocurrido es agregar ahi algunas direcciones o IP's para que no validen la inspeccion... Lo que no tengo claro es que cuales son esas direcciones o IP's!???

    2. Necesito crear una regla para bloquear el MSN, pero permitirlo para un grupo determinado, pero no tengo idea de por donde empezar...

    Gracias por sus comentarios...

    Saludos,


    Jimcesse
    miércoles, 14 de julio de 2010 2:37
    Moderador

Respuestas

  • Punto 1.

    Me encuentro con el mismo problema que tu. Cuando habilitas la inspección HTTPS la opción menos intrusiva consiste en NO inspeccionar el tráfico, pero sí validar los certificados usados en la comunicación https. Cuando Skype intenta establecer conexiones seguras con otros "iguales" (p2p) supongo que estará usando certificados SSL autofirmados (no interesa tanto validar la identidad del equipo remoto, como asegurar la comunicación privada y segura). Cualquier certificado autofirmado (no firmado por una autoridad de certificación de nivel superior reconocida) será bloqueado por la inspección HTTPS del TMG2010. La única via que he encontrado para que mis usuarios puedan usar Skype consiste en desactivar totalmente la inspección HTTPS. Aunque se pueden establecer excepciones de destino, para no validar los certificados, el problema es que Skype usa P2P, y no es posible conocer de antemano a qué red/equipo se va a intentar conectar porque varía con el tiempo. Puedes intentar con rangos más o menos amplios, en la misma subred de tu ISP, región o país, e ir ampliando el conjunto de equipos poco a poco hasta encontrar un compromiso, pero tampoco es una solución definitiva, ni segura ni elegante.

    Si alguien tiene alguna idea al respecto, que pueda servir de ayuda, también me gustaría oirla.

    Punto 2.

    Tienes que crearte (en el caso de que no lo tengas ya) un 'Tipo de contenido' que llamaremos 'Messenger' en el que incluirás el tipo 'application/x-msn-messenger'. Luego añades una regla, que llamaremos 'MSN Messenger HTTP' de tipo 'denegar' en la que metes el protocolo 'HTTP' y en la pestaña de 'Tipos de contenido' picas en el tipo que acabamos de crear 'Messenger'.

    Por otro lado creas otra regla 'denegar' llamada 'MSN Messenger' para el protocolo 'MSN Messenger' (si no lo tienes creado, lo creas con ese nombre y con conexión TCP 1863 de Salida.

    Un saludo

    jueves, 5 de agosto de 2010 10:21
  • Excelente !!!

    Mira tambien hay esta opcion para bloquear el trafico del MSN (es para ISA 2006, pero funciona para TMG)

    http://support.microsoft.com/kb/925120/es

    Con Skype efectivamente quedo igual que tu, con la inspeccion HTTPS deshabilitada, hasta encontrar alguna solucion razonable...

    Saludos,


    Jimcesse
    jueves, 5 de agosto de 2010 14:23
    Moderador

Todas las respuestas

  • Punto 1.

    Me encuentro con el mismo problema que tu. Cuando habilitas la inspección HTTPS la opción menos intrusiva consiste en NO inspeccionar el tráfico, pero sí validar los certificados usados en la comunicación https. Cuando Skype intenta establecer conexiones seguras con otros "iguales" (p2p) supongo que estará usando certificados SSL autofirmados (no interesa tanto validar la identidad del equipo remoto, como asegurar la comunicación privada y segura). Cualquier certificado autofirmado (no firmado por una autoridad de certificación de nivel superior reconocida) será bloqueado por la inspección HTTPS del TMG2010. La única via que he encontrado para que mis usuarios puedan usar Skype consiste en desactivar totalmente la inspección HTTPS. Aunque se pueden establecer excepciones de destino, para no validar los certificados, el problema es que Skype usa P2P, y no es posible conocer de antemano a qué red/equipo se va a intentar conectar porque varía con el tiempo. Puedes intentar con rangos más o menos amplios, en la misma subred de tu ISP, región o país, e ir ampliando el conjunto de equipos poco a poco hasta encontrar un compromiso, pero tampoco es una solución definitiva, ni segura ni elegante.

    Si alguien tiene alguna idea al respecto, que pueda servir de ayuda, también me gustaría oirla.

    Punto 2.

    Tienes que crearte (en el caso de que no lo tengas ya) un 'Tipo de contenido' que llamaremos 'Messenger' en el que incluirás el tipo 'application/x-msn-messenger'. Luego añades una regla, que llamaremos 'MSN Messenger HTTP' de tipo 'denegar' en la que metes el protocolo 'HTTP' y en la pestaña de 'Tipos de contenido' picas en el tipo que acabamos de crear 'Messenger'.

    Por otro lado creas otra regla 'denegar' llamada 'MSN Messenger' para el protocolo 'MSN Messenger' (si no lo tienes creado, lo creas con ese nombre y con conexión TCP 1863 de Salida.

    Un saludo

    jueves, 5 de agosto de 2010 10:21
  • Excelente !!!

    Mira tambien hay esta opcion para bloquear el trafico del MSN (es para ISA 2006, pero funciona para TMG)

    http://support.microsoft.com/kb/925120/es

    Con Skype efectivamente quedo igual que tu, con la inspeccion HTTPS deshabilitada, hasta encontrar alguna solucion razonable...

    Saludos,


    Jimcesse
    jueves, 5 de agosto de 2010 14:23
    Moderador