none
Bloqueo Facebook x HTTPS RRS feed

  • Pregunta

  • Estimados,

    Quería hacerles una consulta sobre como abordar un bloqueo y un acceso

    Resulta que tengo un grupo que son los administrativos de la empresa que tienen permitido trafico HTTP-HTTPS Y FTP, yo el Facebook se los tengo bloqueado por una regla de categoría  pero solo me funciona cuando los usuarios ingresan a Facebook por http  los bloquea, pero si yo ingreso a Facebook por https ellos pueden entrar igual entonces no se como poder al mismo tiempo darle al grupo acceso https pero también restringirlo el https para el facebook…

    Alguna idea...

    Gracias.,


    atte fc

    martes, 21 de febrero de 2012 15:32

Respuestas

  • Ok entiendo... La prueba que yo te recomiendo es que uses el en lugar de RED el objeto Internal (solo para descartar) porque alguna condicion no se esta cumpliendo y por eso la regla se descarta... Ahora podriamos echarle mano al simulador trafico para ver que esta pasando;

    Ve a Troubleshooting > Traffic Simulator y configuralo así:

    Luego ve al View Log y revisa si la regla Deny si esta evaluando y sobre todo por que no cae en ella... Comentanos.

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 21 de febrero de 2012 21:56
    Moderador

Todas las respuestas

  • Hola Felipe

    Tienes ISA Server o TMG !? El grupo de Administrativos usa el cliente firewall ?

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 21 de febrero de 2012 15:40
    Moderador
  • tengo TMG el grupo administrativos no tiene cliente TMG..

    atte fc

    martes, 21 de febrero de 2012 15:55
  • Felipe y la regla en la que bloqueas Facebook aplica para http y https !?


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 21 de febrero de 2012 16:09
    Moderador
  • Estimado,

    la regla que tengo creada esta creada de la siguiente manera..

    Accion -- PermiteO

    Protocolos -- https-http y ftp

    From --RED 1.1.1.1/24 ejemplo

    TO -- External   --- Exceptions CHAT-MEDIA SHARING-P2P ETC

    Yo bloqueo el facebook para ese grupo de esa manera , poniendo categorias pero pasa que pot HTTP funciona a la perfeccion pero por HTTPS no..


    atte fc

    martes, 21 de febrero de 2012 16:20
  • Inicialmente todo se ve muy bien... En un rato voy a tratar de reproducir esa regla en  mi ambienta para ver el comportamiento y te comento mis resultado... Te propongo que vayas haciendo una prueba en tu ambiente... A algun cliente de los del grupo Administrativos instala el cliente firewall y comentanos si el sintoma se reproduce.

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 21 de febrero de 2012 16:30
    Moderador
  • buena indea instalare el cliente en el PC

    atte fc

    martes, 21 de febrero de 2012 16:35
  • Instale el cliente TMG  lo configure para que apuntara al TMG y pasa que igual deja pasar facebook por https..... pero http no.

    hice otra prueba activar el HTTPS Inspection, con eso me para el acceso pero no se si eso sea la solucion por que es un poco agresivo ese modulo y puedo emepzar a tener problemas con bloqueos de https o accesos inseguros..

    que opinas JIM.. como te fue en tu laboratorio..

    saludo,s


    atte fc

    martes, 21 de febrero de 2012 16:50
  • Hola Felipe ya creo saber cual es el problema y la posible solucion :)

    Mira cuando usamos el tab de Exceptions lo que decimos es lo siguiente: aplica esta regla segun las condiciones (permitir/denegar, para un origen y un destino y demas filtros) excepto las condiciones que sea...

    Entonces si miras una captura del trafico cuando vas hacia facebook.com la regla es omitida y creo que por ahi anda tu problema... Te recomiendo que hagas una nueva regla solo que en lugar en permitir selecciona denegar http https y ftp y destino pones las categorias que quieres y muy importante la regla debe quedar sobre la regla que permite.

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 21 de febrero de 2012 18:08
    Moderador
  • hola JIM,

    no te entendi muy bien, pero seria creo una regla que deniegue el trafico HTTP-HTTPS-FTP  con el mismo  (from) pero en el (to) pongo las categorias que quiero permitir ¡???? que quiero denegar ????  como seria y otra cosa eso lo pongo en el tab TO no en la parte Exceptions . ??

    por que yo pongo la external....

    gracias..


    atte fc

    martes, 21 de febrero de 2012 19:08
  • Seria algo asi:

    En el TO debes poner todas las categorias que quieras bloquear... Ojo no debes usar el tab Exceptions

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 21 de febrero de 2012 19:13
    Moderador
  • aaaa ok me queda claro.. voy a probar  y te cuento.. gracias...

    atte fc

    martes, 21 de febrero de 2012 20:02
  • JIM,

    asi deje configurada la regla mantube la anterior con el ALLOW  Y  sin las excepciones pero cree la que tu me recomendaste

    DENY pero igual me permite el facebook por https pero por http NO. es rarisimo es como que la regla de abajo tenga mas prioridad.

    hice un  scaner y efectivamente el acceso a facebook se va por al regla permisos_administrtivos ya que esa regla tiene

    el https permitido y como to la external..


    atte fc

    martes, 21 de febrero de 2012 20:50
  • Si Felipe, esta bastante extraño... Una consulta mas, el objeto al que llamas "RED" que representa !? En lugar de usar RED puedes usar el objeto que representa a la red interna (Internal)

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 21 de febrero de 2012 21:21
    Moderador
  • lo que pasa que red es solo la red de los administrativos es una Vlan si pongo internal serai para toda la red eso me generaria un problema... lo otro es que corte el acceso HTTPS y la otra opcion es activar el HTTP INSPECTION pero no tengo mucho concimiento de como funciona de  echo hoy lo active y tuve probllemas con cosas que me estaba bloqueando....


    atte fc

    martes, 21 de febrero de 2012 21:33
  • Ok entiendo... La prueba que yo te recomiendo es que uses el en lugar de RED el objeto Internal (solo para descartar) porque alguna condicion no se esta cumpliendo y por eso la regla se descarta... Ahora podriamos echarle mano al simulador trafico para ver que esta pasando;

    Ve a Troubleshooting > Traffic Simulator y configuralo así:

    Luego ve al View Log y revisa si la regla Deny si esta evaluando y sobre todo por que no cae en ella... Comentanos.

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 21 de febrero de 2012 21:56
    Moderador
  • Hola Jim,

    hice la prueba que me recomendaste hacer, poner como origen la Internal y como destino las categorias y tapoco, de echo la puse  en la primera regla como ORDER 1 para que tuviera mas prioridad y igual paso el facebok por https y se va por la regla que yo le permito https a los administrativos.

    Hice el traffic simulator y empieza a evaluar las reglas al final dice que hace match con la regla permisos administrtivos... no se por que se conporta de esa manera...  y   tambien puse el objeto internal tampoco hiso caso igual ingreso por https...

    no tendra que ver algo del las system policy.. ?

    miércoles, 22 de febrero de 2012 16:45
  • Hola Felipe

    Que pena que no haya podido darle seguimiento al tema pero se me ha venido un ola de cosas por hacer que me han dejado sin tiempo para casi nada :)

    Mira los system policy son reglas que se crean de forma predeterminada y controlan el comportamiento del Local Host, osea el propio servidor donde esta instalado TMG... Asi que no postaria por ahi hasta el momento...

    Tienes algun avance con el tema o estamos igual !?

    Saludos,


    Jimcesse
    Mi Blog: http://jimcesse.wordpress.com/
    

    martes, 28 de febrero de 2012 1:49
    Moderador
  • Hola Jim..

    sabes  lo que tuve que hacer es instalar el http inspection y con eso me lo bloquea,, pero me ha traido varios problemas ya que ese modulo es muy agresivo y bloquea mucho trafico https que es valido.. si tienes tiempo podemos retomar el tema y hacer mas pruebas... 


    quedo atento a tus comentarios..


    muchas gracias.
    martes, 28 de febrero de 2012 14:52
  • Buenas tardes, paseando un poco por estos foros de ISA observo que tenemos el mismo problema, solo que lo solvente con algo sencillo, ya que mis usuarios (o al menos los que necesitan ingresar a paginas HTTPS de bancos u organismos oficiales) no necesitan tener el internet tan abierto, por cuanto lo solvente colocando la siguiente politica:

    PERMITIR TODO EL TRAFICO, DE PROTOCOLOS ESPECIFICOS DNS, HTTP Y HTTPS, PERO SOLO A UNA LISTA ESPECIFICA DE URLs. El problema empieza cuando se coloca la red EXTERNA como destino....el solo hecho de tener HTTPS, ya se puede ingresar a youtube a mail.google, mail.yahoo, facebook, etc etc-.---

    espero sirva de algo y en caso de ubicar otra solución compartirla.  Actualmente manejo otro problema relacionado con maquinas de otras VLAN que no pueden navegar mediante ISASERVER, ya declare las IP, desde esas PC llego con ping, al ingresar al navegador me sale mi pagina personalizada del isaserver que indica que esta prohibida esa pagina....pero el dilema es que esta en una politica que permite absolutamente pero igual no navega.

    viernes, 8 de junio de 2012 18:26
  • gracias por responder... probare la solución que planteas, actualmente bloqueo el facebook por ips pero no es lo que quise hacer, te cuento como me va,  para que tus pcs que están en otras vlan o subredes debes declararlas en la internal y también crear la ruta estática en el isa o TMG para que salga por el default gateway. también puedes estar teniendo problemas con el orden de la regla, prueba ponerla de las primeras.... yo tengo muchas vlans con acceso a Internet y con bloqueos y nunca he tenido problemas...

    saludos.


    atte fc

    martes, 12 de junio de 2012 21:55