Documente Academic
Documente Profesional
Documente Cultură
Topología de red
Tabla de direccionamiento
Default
Device Name Interface Name IP Address Subnet Mask
Gateway
Fa0/0 10.10.10.130 255.255.255.252 N/A
FW01
Fa0/1 10.10.10.62 255.255.255.192 N/A
SVR-DNS-DHCP-
NIC 10.10.10.60 255.255.255.192 10.10.10.62
01
SVR-PROXY-01 NIC 10.10.10.61 255.255.255.192 10.10.10.62
Winxp1 NIC DHCP DHCP DHCP
Blog: http://jfherrera.wordpress.com 2
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
WINS High
Device
Operating Default DNS Serve Network Bandwidt
Name IP Address
System/Ver Gateway Server r Applicati h
(Purpose / Suffix
sion Address Address Addre ons Applicati
)
ss ons
SVR-DNS- N/A N/A
Windows
DHCP-01 10.10.10.60 10.10.10 DNS
Server 2003 10.10.10.62
(DNS/DH /26 .60 DHCP
SP2
CP)
SVR- 10.10.10.62 10.10.10 N/A Proxy N/A
Windows
PROXY- 10.10.10.61 /26 .60 (HTTP
Server 2003
01 (ISA /26 and
SP2
Server) HTTPS)
Blog: http://jfherrera.wordpress.com 3
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En un documento realizado anteriormente llamado Proxy ISA Server 2006, en el cual se explicaba
como bloquear web mail, IM. Se explico cómo bloquear Gtalk por medio de Signatures, se realizo
seguimiento y se encontró que lograban pasar ese filtro (no estaba funcionando).
Se realizo un análisis encontrando así la solución en bloquear los servidores de Gtalk por medio de
sus IPs, puertos 5222 y 443.
Porque los puertos 5222 y 443, la aplicación utiliza estos puertos aleatoriamente para comunicarse
en la capa de transporte TCP.
En esta captura observamos que al momento de utilizar el cliente Gtalk genera unas consultas DNS
hacia los hostname gtalkx.l.google.com y gtalk.google.com, obteniendo así unas direcciones IP de
dichas consultas.
En esta sección veremos cómo agregar los puertos que se bloquearan en la consola de
administración del ISA Server 2006.
Blog: http://jfherrera.wordpress.com 4
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 5
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Seleccionamos en Protocol type: TCP, Direction: Outbound, en Port Range 5222 y pulsamos en OK.
Blog: http://jfherrera.wordpress.com 6
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 7
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Ahora crearemos el pool de direcciones que se bloquearan las cuales son la direcciones que
prestan el servicio de Gtalk, posicionándonos en la parte derecha de la sección Network Objects
damos clic en New > Computer Set y agregaremos las siguientes IPs.
Blog: http://jfherrera.wordpress.com 8
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En este punto debemos tener presente que debemos estar alimentando estas listas de IPs.
Blog: http://jfherrera.wordpress.com 9
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Finalizada la creación de los puertos y pool de IPs, crearemos una nueva regla.
Blog: http://jfherrera.wordpress.com 10
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Y pulsamos en Next.
Blog: http://jfherrera.wordpress.com 11
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En la regla de destino seleccionamos los Pool de direcciones que creamos anteriormente buscando
en la carpeta Computer Set, damos clic en Next y Finish.
Aplicamos los cambios y observamos la nueva regla creada, con esto ya podemos bloquear el
cliente de IM Google Gtalk.
NOTA: esta regla nos funciona para el cliente tipo Clientes Firewall
de ISA Server (clientes que no tengan configurado el proxy en el
web browser).
Nota: es importante hacerle un seguimiento a esta política ya que el cliente de IM Gtalk puede
utilizar una dirección de servidor diferente a las listadas en los Pool, si se detecta otra dirección de
un servidor de Gtalk solo basta con agregarla a los Pool.
Blog: http://jfherrera.wordpress.com 12
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 13
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
NOTA: esta regla nos funciona para el cliente tipo Clientes Web
Proxy de ISA Server (clientes que tengan configurado el proxy en
el web browser).
Blog: http://jfherrera.wordpress.com 14
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Thanks,
Good Luck!
Blog: http://jfherrera.wordpress.com 15