Embed Size (px)
Citation preview
Block Gtalk
ISA Server 2006
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 2
Topología de red
Tabla de direccionamiento
Device Name Interface Name IP Address Subnet Mask Default
Gateway
FW01 Fa0/0 10.10.10.130 255.255.255.252 N/A
Fa0/1 10.10.10.62 255.255.255.192 N/A
SVR-DNS-DHCP-01
NIC 10.10.10.60 255.255.255.192 10.10.10.62
SVR-PROXY-01 NIC 10.10.10.61 255.255.255.192 10.10.10.62
Winxp1 NIC DHCP DHCP DHCP
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 3
Documentacion de dispositivos finales
Device Name
(Purpose)
Operating System/Ver
sion
IP Address / Suffix
Default Gateway Address
DNS Server
Address
WINS Serve
r Addre
ss
Network Applicati
ons
High Bandwidt
h Applicati
ons
SVR-DNS-DHCP-01 (DNS/DH
CP)
Windows Server 2003
SP2
10.10.10.60/26
10.10.10.62 10.10.10
.60
N/A DNS
DHCP
N/A
SVR-PROXY-01 (ISA Server)
Windows Server 2003
SP2
10.10.10.61/26
10.10.10.62/26
10.10.10.60
N/A Proxy (HTTP and HTTPS)
N/A
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 4
Bloquear Gtalk con ISA Server 2006
En un documento realizado anteriormente llamado Proxy ISA Server 2006, en el cual se explicaba
como bloquear web mail, IM. Se explico cómo bloquear Gtalk por medio de Signatures, se realizo
seguimiento y se encontró que lograban pasar ese filtro (no estaba funcionando).
Se realizo un análisis encontrando así la solución en bloquear los servidores de Gtalk por medio de
sus IPs, puertos 5222 y 443.
Porque los puertos 5222 y 443, la aplicación utiliza estos puertos aleatoriamente para comunicarse
en la capa de transporte TCP.
En esta captura observamos que al momento de utilizar el cliente Gtalk genera unas consultas DNS
hacia los hostname gtalkx.l.google.com y gtalk.google.com, obteniendo así unas direcciones IP de
dichas consultas.
Agregar los puertos a bloquear
En esta sección veremos cómo agregar los puertos que se bloquearan en la consola de
administración del ISA Server 2006.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 5
En el panel derecho de la pestaña Toolbox damos clic en New > Protocol.
Asignamos un nombre al nuevo protocolo y pulsamos en Next.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 6
Seleccionamos en Protocol type: TCP, Direction: Outbound, en Port Range 5222 y pulsamos en OK.
Agregado el puerto pulsamos en Next.
Seleccionamos en Next y Finish.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 7
Hacemos el mismo procedimiento para agregar el puerto 443, y podemos observarlos en la
carpeta User-Defined.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 8
Ahora crearemos el pool de direcciones que se bloquearan las cuales son la direcciones que
prestan el servicio de Gtalk, posicionándonos en la parte derecha de la sección Network Objects
damos clic en New > Computer Set y agregaremos las siguientes IPs.
Standard query A talkx.l.google.com
74.125.39.125
74.125.43.125
74.125.45.125
74.125.47.125
74.125.65.125
74.125.71.125
74.125.91.125
74.125.93.125
74.125.95.125
74.125.113.125
74.125.115.125
74.125.157.125
74.125.159.125
209.85.157.125
209.85.227.125
209.85.229.125
Standard query A talk.google.com
74.125.159.125
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 9
En este punto debemos tener presente que debemos estar alimentando estas listas de IPs.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 10
Finalizada la creación de los puertos y pool de IPs, crearemos una nueva regla.
Asignamos el nombre a la nueva regla y pulsamos en Next.
Seleccionamos Deny y pulsamos en Next.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 11
Y pulsamos en Next.
Agregamos la red Internal y pulsamos en Next.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 12
En la regla de destino seleccionamos los Pool de direcciones que creamos anteriormente buscando
en la carpeta Computer Set, damos clic en Next y Finish.
Aplicamos los cambios y observamos la nueva regla creada, con esto ya podemos bloquear el
cliente de IM Google Gtalk.
NOTA: esta regla nos funciona para el cliente tipo Clientes Firewall
de ISA Server (clientes que no tengan configurado el proxy en el
web browser).
Nota: es importante hacerle un seguimiento a esta política ya que el cliente de IM Gtalk puede
utilizar una dirección de servidor diferente a las listadas en los Pool, si se detecta otra dirección de
un servidor de Gtalk solo basta con agregarla a los Pool.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 13
En esta sección veremos cómo bloquear el cliente de IM Gtalk de Google.
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 14
NOTA: esta regla nos funciona para el cliente tipo Clientes Web
Proxy de ISA Server (clientes que tengan configurado el proxy en
el web browser).
Block Gtalk - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 15
Last Update 08 of March of the year 2011
Thanks,
Good Luck!
