Como puedo restringir que mis usuarios no entren en www.megaupload.com o www.rapidshare.com

Primero que todo, tenemos que hacer una lista de las Web Prohibidas

En el panel derecho, dentro del contenedor "Objetos de Red", le damos botón derecho del mouse sobre Conjunto de Direcciones URL

Le damos un nombre por ejemplo "No aceptadas" y dentro de estas agregamos las direcciones web exactas o como se muesta ene l ejemplo

ej: http://www.tvn.cl/ o puede ser todos los objetos dentro del dominio Tvn.cl http://*.tvn.cl/*

Después crearemos una regla en el Firewall Isa server 2006 siguiendo los pasos del 1 al 5 del post anterior "Bloqueando Audio y Video..."

Solo que en la red de destino debemos seleccionar el conjunto de direcciones URLs recién creadas "No aceptas"

Aplicar Aceptar y Enjoy

mmm, al parecer los usuarios disfrutan mucho de www.youtube.com y de las radios en linea, peo esta practica nos consume una gran porción del ancho de banda en el "trabajo".

¿ se puede bloquear todo eso ? ¿ como ?

Con isa Server 2006 se puede generar una regla de este tipo

1) Abrimos la Consola de administración de Isa Server

2) Creamos una Nueva regla

 

3) Le ponemos algún nombre a la regla

4) Le decimos que es denegara el trafico

5) Seleccionamos los puertos que queremos filtrar audio y video (HTTP y MMS)

6) Seleccionamos las redes de origen y destino

7) Aceptamos y aplicamos la regla

8) Editamos la regla haciendo doble click sobre ella, vamos a la pestaña de Tipos de Contenido y seleccionamos audio y video

9) Aplicar - Aceptar

Y eso es todo

Un saludo

Atte

Pablo Campos S.

 
Hola a todos

Como parte del proceso de mi proyecto en ItproMomentum, es que me decidí a implementar una red con NAP (Network Acces Protecction).

Pero Primero que todo ¿que es NAP?

La Protección de Acceso a Red (NAP, Network Access Protection) es una plataforma de aplicación de políticas incorporada dentro del sistema operativo Microsoft Windows que permite a los profesionales de TI configurar políticas (por ejemplo, políticas de actualización de versión del sistema operativo o de antivirus), de forma que se pueda restringir el acceso a la red a los clientes hasta que puedan demostrar que cumplen las normativas indicadas).

Segundo ¿ por que implementar NAP ?
Los administradores de TI hacemos esfuerzos muy grandes para proteger las empresas, implementando:

Firewalls Isa Server 2006 para prevenir el acceso de intrusos a nuestros servidores y estaciones de trabajo
Windows Server Update Services para mantener nuestras estaciones de trabajo y servidores actualizadas
Antivirus y AntiSpyWare, para prevenir todo tipo de infecciones dentro de la empresa.

Pero que pasa si llega un usuario con un notebook infectado por un virus y el ni siquiera lo sabe, ya que su antivirus no esta actualizado o justo no tiene una actualización critica de seguridad. Conecta el cable de red a su portátil  y el DHCP le entrega una dirección ip de nuestra LAN o simplemente el se asigna una manualmente. Automáticamente el virus o programa maligno puede propagarse por nuestra red e incluso llegando a nuestra sala de servidores.

Con NAP podemos forzar a que cualquier computador que entre en la red compla con los requerimientos minimos de seguridad de nuestra empresa, como pueden ser:

Tener todas las actualizaciones criticas
Antivirus Instalado y Actualizado
Firewall Activado
Actualizaciones Automáticas Activadas

Que software se ocupara para implementar NAP?

Virtual Server R2 en hambiente Virtual
Windows Server 2008
XP Pro Service Pack 3 
Windows Server 2003 R2 Sp2 o 2008

Diagrama de la red de prueba

1. Primero que todo instalar el controlador de Dominio en Windows 2003 llamado prueba.cl usando el comando dcpromo y siguiendo el Wizard al pie de la letra, Ojo no olvidar instalar DNS
2. Instalar Windows Server 2008 por defecto
3. Unir Windows Server 2008 al dominio pueba.cl, siguiendo los siguientes pasos
   1. Inicio
   2. Panel de Control
   3. Sistema
   4. Cambiar Configuración
   5. Presionan el botón cambiar
   6. 
   7. Reiniciar la máquina
   8. Iniciar Sesión como miembro del dominio PRUEBA\Administrador
      
4. Instalar NPS en Windows Server 2008
   
   Ahora vamos a Inicio -> Administrador del Servidor, hacemos click en el menu de funciones y hacer click en el icono Agregar Funciones
   
   
   
   Seleccionamos Servidor de acceso y directiva de redes (Network Policy and Acces Services) 
   
   
    
   Reiniciar la máquina
   
5. Configurar SHVs ("System Health Validators")
   1. inicio ejecutar nps.msc
   2. En el nodo Validadores de mantenimiento del sistema, hacer doble click en "Validadores  de mantenimiento de seguridad de Windows
       
   3. Presione el botón configurar y habilite el firewall y las actualizaciones automáticas, tanto en la pestaña de Windows Vista como en la de XP
      
      
6. Configurar servidores que proporcionaran "sanción" a nuestros Desktops, estos pueden ser Wsus... En este Step by Step no tenemos Wsus :(
7. Configurar Directivas de Mantenimiento
   1. Dar click derecho del ratón sobre el nodo "Directivas de Mantenimiento" en el menú Nuevo y y le damos en nombre de Cumple
      Seleccionar "El cliente Supera todas las comprobaciones de SHV" y habilitar el checkbox del Validador de Seguridad
       
   2. Dar click derecho del ratón sobre el nodo "Directivas de Mantenimiento" en el menú Nuevo y y le damos en nombre de NO Cumple
      Seleccionar "El cliente no Supera todas las comprobaciones de SHV" y habilitar el checkbox del Validador de Seguridad
      
      
8. Configurar Políticas de Red
   1. Deshabilitar todas las políticas por defecto
   2. Con el botón derecho del mouse sobre el nodo "Directivas de red", presionar el menú nuevo
   3. Especificar el nombre de la Política como Cumple Acceso Completo
      
   4. En la pantalla de Especificar Condiciones, presionar el botón agregar y seleccionar Directivas de Mantenimiento
      
   5. Cuando nos pregunte por la directiva de mantenimiento, seleccionamos Cumple
      
   6. En la pantalla de especificar permisos de Acceso, seleccionar Acceso Concedido
   7. En la pantalla de configurar métodos de autenticación, solo dejamos Realizar solo comprobación de mantenimiento de quipos
   8. En la pantalla de configurar opciones, debemos configurar el cumplimiento NAP, para Permitir Acceso Completo a la red
   9. Finish
   10. Ahora realizaremos lo mismo que del paso 2 al nuevo, solo que en este caso
       1. En el paso 1 le damos el nombre de la politica como No Cumple
       2. En el paso 5 seleccionaremos la directiva de mantenimiento "No Cumple"  
       3. En el paso 8 seleccionamos Permitir Acceso Limitado
   11. Finish
       
9. Instalar DHCP en Windows Server 2008
   
   
   
   
   
   
10. Configurar los Alcances en el DHCP
    1. ejecutar el comando dhcpmgmt.msc
    2. En la consola Dhcp expanda el nodo IPV4
    3. Presione con el botón derecho del mouse sobre el alance("Scope") que realizo en el paso 9 ("Red Nap1") y seleccione propiedades
    4. En la pestaña de protección de acceso a la red, habilite la protección de acceso a la red como muestra la siguiente figura
       
    5. Expanda el alance("Scope") Red Nap1 y presione con el botón derecho del mouse sobre Opciones de Ámbito y seleccione Configurar Opciones
    6. Seleccione la pestaña Opciones Avanzadas
    7. En clase de Usuario, seleccione "Clase de Protección a la red predeterminada"
    8. Seleccione la opción 005 "Servidores DNS" y agrege el servidor 192.168.200.10
    9. Seleccione la opcion 015 "Nombre del Dominio DNS" y agregue restringido.prueba.cl
    10. Aplicar y  Aceptar
11. Unir Vista y XP al Dominio
    1. Primero que todo, asegúrese que la configuración ip de los clientes sea correcta por DHCP 
    2. Usar el mismo procedimiento que en el paso 3 para vista
12. Habilitar el Cumplimiento NAP en XP
    1. Inicio-> ejecutar->services.msc
    2. Dejar el servicio habilitado y automático
       
    3. Configurar el cliente por dhcp
       1. netsh nap client set enforcement id=79617 admin="ENABLE"
          1. DHCP = 79617
          2. RAS = 79618
          3. IPSec = 79619
          4. TS Gateway = 79621
          5. EAP = 79623
13. Habilitar el Cumplimiento NAP en Vista
    1. Inicio-> ejecutar->services.msc
    2. Dejar el servicio habilitado y automático
       
    3. Configurar el Cumplimiento nap por dhcp
    4. Ejecute napclcfg.msc
       
       
14. Lo mas importante Probar si las cosas funcionan
    1. Iniciamos Sesión En Windows XP Sp3
    2. En el panel de Control seleccionamos el icono Centro de Seguridad
    3. Desactivamos el Firewall
    4. Renovamos nuestra ip con el dhcp con el comando ipconfig /release y después el comando ipconfig /renew  y deberíamos ver algo así
       
        
       
       
15. Pero en unos segundos mas, deberíamos ver algo así
    
    

Eso es todo

Espero les sirva este paso a paso

Espero Modificarlo en un par de semanas, agregando el servidor Wsus y el Antivirus Kaspersky

Atte

Pablo Campos