Principales respuestas
ISA Server 2006 me bloquea el acceso al MSDE

Pregunta
-
Respuestas
-
-
Hola Freddy, yo te hago un par de preguntas, si me tiras esa data te doy una mano:
1. ¿EL ISA lo instalaste con dos placas, una para internet y una para la red interna?
2. ¿El MSDE esta del lado interno?.
3. ¿Vos lo queres acceder del mismo lado interno o desde afuera del ISA?
Te tiro esta data a ver si te sirve:
Cuando queres acceder desde ISA sin el más minimo problema a un "servidor X" en la red interna, creas una regla que permita el trafico del "servidor X" y el "localhost" hacia el "localhost" y el "servidor X" para los protocolos que necesites, eso sería lo más seguro, pero podes empezar por probar si te funciona bien haciendo una regla que sea de "internal" y "localhost" a "internal" y "localhost" para todos los protocolos, si con eso te funciona, empeza a acotar la configuración hasta llegar a lo de arriba.
Tene en cuenta lo siguiente siempre: Tanto en ISA 2004 como ISA 2006 la red "interna" define a toda tu red pero no incluye al mismo ISA, justamente porque el ISA es el firewall y no un cliente más de la red. El ISA se denomina localhost, entonces podes arrancar asi:
Regla prueba: Permitir, Todo el Trafico:
De: A:
Localhost localhost
Internal internal
Y cuando eso te funcione te vas a:
Regla especifica: Permitir, Protocolos seleccionados:
De: A:
localhost localhost
servidor X servidor X
Lo de arriba también aplica en el caso que el servidor MSDE esta en el mismo ISA, ya que ahí vas a necesitar que los clientes de tu red interna lleguen a localhost o sea, al mismo ISA.
Por otro lado, si estas accediendo a tu MSDE desde el lado externo de tu ISA, entonces vas a tener que publicar el servidor MSDE en ISA.
Finalmente te tiro una recomendación más:
Nunca le des acceso full al localhost a la red externa, es una brecha de seguridad importante, la idea es que vos no uses el ISA para navegar o usar servicios de internet.
Con respecto al tema de las redes, esta nota esta muy buena, es de technet, no se como andas en ingles, pero si entendes leela, te puede ser muy util:
http://www.microsoft.com/technet/isa/2006/networks.mspx
Espero haberte sido de ayuda.
Te mando saludos y después contanos como te fue,
Cristian
Todas las respuestas
-
-
Y realmente esto es recomendable, abrir todos por puertos entre la interna a la interna???
Lo pregunto por que yo tengo tráfico que se esta denegando como consultas al DHCP o sin embargo a pesar de tener solo equipos con windows Xp y 2003 hay tráfico NETBIOS osea puerto 137 ó 138, no se que hacer para que esto no pase.
Gracias
-
-
Hola Freddy, yo te hago un par de preguntas, si me tiras esa data te doy una mano:
1. ¿EL ISA lo instalaste con dos placas, una para internet y una para la red interna?
2. ¿El MSDE esta del lado interno?.
3. ¿Vos lo queres acceder del mismo lado interno o desde afuera del ISA?
Te tiro esta data a ver si te sirve:
Cuando queres acceder desde ISA sin el más minimo problema a un "servidor X" en la red interna, creas una regla que permita el trafico del "servidor X" y el "localhost" hacia el "localhost" y el "servidor X" para los protocolos que necesites, eso sería lo más seguro, pero podes empezar por probar si te funciona bien haciendo una regla que sea de "internal" y "localhost" a "internal" y "localhost" para todos los protocolos, si con eso te funciona, empeza a acotar la configuración hasta llegar a lo de arriba.
Tene en cuenta lo siguiente siempre: Tanto en ISA 2004 como ISA 2006 la red "interna" define a toda tu red pero no incluye al mismo ISA, justamente porque el ISA es el firewall y no un cliente más de la red. El ISA se denomina localhost, entonces podes arrancar asi:
Regla prueba: Permitir, Todo el Trafico:
De: A:
Localhost localhost
Internal internal
Y cuando eso te funcione te vas a:
Regla especifica: Permitir, Protocolos seleccionados:
De: A:
localhost localhost
servidor X servidor X
Lo de arriba también aplica en el caso que el servidor MSDE esta en el mismo ISA, ya que ahí vas a necesitar que los clientes de tu red interna lleguen a localhost o sea, al mismo ISA.
Por otro lado, si estas accediendo a tu MSDE desde el lado externo de tu ISA, entonces vas a tener que publicar el servidor MSDE en ISA.
Finalmente te tiro una recomendación más:
Nunca le des acceso full al localhost a la red externa, es una brecha de seguridad importante, la idea es que vos no uses el ISA para navegar o usar servicios de internet.
Con respecto al tema de las redes, esta nota esta muy buena, es de technet, no se como andas en ingles, pero si entendes leela, te puede ser muy util:
http://www.microsoft.com/technet/isa/2006/networks.mspx
Espero haberte sido de ayuda.
Te mando saludos y después contanos como te fue,
Cristian
-
Gracias Cristian,
Si funcionó, ahora, si no es mucha molestia, yo soy nuevo en esto, podría proporcionarme alguna dirección donde pueda leer más o encontrar un manual sobre el ISA, estube leyendo algo en www.isaserver.org, pero me gustaría encontrar en documentación en español.
Gracias,
Freddy
-
Hola Freddy:
No hay problema. La verdad es que el mejor lugar para obtener información sobre ISA es en Microsoft Technet. ISASERVER.ORG es un excelente foro, es de lo más profesional y un aliado incondicional a la hora de implementar ISA, pero documentación sobre como funciona el producto, manuales y white papers, todo en español, entonces, yo recomiendo la fuente. Te paso algunos links de Technet:
Esta es la página principal de Technet en español de ISA 2004: Tiene información bastante interesante si nunca se uso ISA 2004, te recomiendo entres ahí porque explican paso a paso como configurar ISA desde el principio, publicar sitios web, sitios FTP, hacer reglas, permitir o bloquear cosas... etc. Ahh, me olvidaba, todo en SPANISH!!!!!
http://www.microsoft.com/latam/technet/productos/servers/isaserver/isaserver_04.mspx
Publicación de servidores Web con ISA Server 2004 Enterprise Edition: Microsoft Internet Security and Acceleration (ISA) Server 2004
Microsoft ISA Server Service Pack 3
http://www.microsoft.com/technet/downloads/isa/2004/servicepacks/default.mspx
Technet en español:
http://technet.microsoft.com/es-ar/default.aspx
Espero te sirva.
Saludos,
Cristian.
-
Gracias Cristian por la ayuda.
Disculpa que te siga molestando, pero tengo el siguiente problemita:
Cuando instalé el dominio y el dns del servidor, de alguna manera, les he dado acceso a internet a todos mis usuarios, estoy buscando por todas partes y no tengo idea donde he configurado los IPs de salida de mi proveedor de internet.
Intento restringir el acceso de mis usuarios con el ISA, pero como recien estoy a prendiendo a crear las reglas, todavia no logro restringir a mis usuarios.
Si me pudieras dar una manito te lo agradecería.
Saludos,
Freddy
-
Freddy.
Pues para configurar los dns de tu proveedor de internet lo debes hacer en la pestaña Reenviadores ( Forwarders).
la cual la encuentras en propiedades de tu servidor dns.
cualquier cosa me avisas.
Ricardo.
Te cuento que yo no es que conosca mucho pero en lo que sepa te puedo ayudar.