none
Orden de lectura de las reglas ISA RRS feed

  • Pregunta

  • Buenas noches, me estoy quebrando un poco la cabeza ya que quiero saber como es el orden de lectura que hace el ISA server en las reglas que se le configuran.

     

    y cuales son las recomendadas para una red local con acceso a internet.

     

    de antemano gracias

     

    miércoles, 13 de junio de 2007 3:44

Respuestas

  • Hola Garrobito:

                     ISA 2004 y 2006 aplican las politicas de arriba para abajo, siendo la última politica la que bloque todo y la que esta por default, el orden es el siguiente:

    1ro) Se plican la "System Policy" que incluyen una serie de reglas y cada una de las reglas se van aplicando de arriba para abajo.

    2do) Una vez que se aplicaron las politicas del sistema sigue la lista con la "Firewall Policy Rules" (reglas de acceso) y estas son las reglas que uno crea para poder filtrar, bloquear y permitir cosas, siempre de arriba para abajo, por lo que, si la primer regla bloquea el acceso a un sitio X a un usuario Z y, luego, la regla que sigue se lo permite, entonces lo que va a ocurrir es que ese usuario Z no va a poder acceder al sitio X, porque ya se le aplico la regla de arriba. Si el orden de las reglas es al reves, entonces el usuario Z va a poder salir al sitio X, porque ya se le aplico la regla de arriba.

     

    El analisis de reglas en ISA 2004 y 2006 para saber si se aplica la regla es así:

    ISA se fija en todo el request, usuario o cliente, origen, destino, protocolo, schedule y tipo de contenido, si todo coincide con lo definido en la regla, entonces la regla se aplica, y se Permite o Deniega ese trafico, de acuerdo a lo definido.

     

    Con respecto a que poner primero, esta es una práctica recomenda a la hora de aplicar reglas:

    1. Reglas que deniegan globalmente accesos.

    2. Reglas que permiten accesos gloabalmente.

    3. Reglas para equipos especificos.

    4. Reglas para usuarios especificos, URLs, publicaciones de sitios WEB o de servidores en general

    5. Y por último reglas que permiten trafico de manera indistinta o que no caen en las otras categorias.

     

    No hay mucho consejo más sobre que aplicar antes o después, pero es importante seguir el siguiente criterio: No permitas el acceso a algo que más abajo vas a denegar porque si no la regla de abajo no tiene sentido. No deniegues el acceso a algo que vas a permitir más abajo porque la regla de abajo no va a servir, en algunos caos un usuario pertenece a dos reglas, porque da la casualidad que pertence al grupo A que tiene permisos para salir y al grupo B que no los tiene, en esos casos, hay que ver si se puede cambiar al usuario de grupo y si no decidir entre lo más conveniente de acuerdo a lo que necesite el usuario.

     

    Más infoprmación tenes en estos links, como siempre, estoy acostumbrado a trabajar toda la documentación en ingles, queda el desafio de buscar todo en español:

     

    Firewall policy: best practices (Practicas recomendadas a la hora de aplicar reglas)

    http://www.microsoft.com/technet/isa/2004/help/SRSP2_FWPolBestPractice.mspx?mfr=true

     

    How firewall policy works (Como trabajan y se aplican las reglas de ISA)

    http://www.microsoft.com/technet/isa/2004/help/CMT_IncomingOrder.mspx?mfr=true

     

     

    Espero te sirva de ayuda el post. Recorda si te sirvio marca la respuesta en el foro.

     

    Saludos,

    Cristian.

    miércoles, 13 de junio de 2007 4:30