|
Una de las
más comunes consultas que se me realizan en
cuanto a Microsoft Internet Security and Aceleration Server (ISA
Server), pasa por su relación
con Windows Update Services. De buenas a primeras Windows Update
Services
deja
de
funcionar, la página de internet de Windows Update arroja
errores no documentados, etc. todo parece obra del demonio o de
una brujería que sin aviso cayo sobre la red del pobre administrador… pero
la realidad es muy distinta.
Para poder hablar de cómo hacer funcionar windows update
con ISA Server hay que saber como funcionan ambos, es decir tanto
ISA Server como Windows Update.
Escenario:
El escenario típico para la aparición del windows
update embrujado se da en redes pequeñas con 1 o más
ISA Servers, actuando como firewalls y cache y filtrando accesos
por usuarios o grupos.
ISA Server:
En primer término tenemos que tener claro que es ISA Server.
ISA Server es un complejo y muy funcional sistema que ejecuta los
roles de firewall y proxy, y lo hace a varios niveles y para varios
tipos de clientes. ISA Server permite proteger la red, a la vez
que permite la navegación por internet, el acceso a correo
y otros servicios y la aplicación de permisos en función
de direcciones IP, usuarios y grupos, rangos horarios, etc.
Cual es el problema?
Normalmente es problema está dado por un desconocimiento
de los tipos de clientes y su funcionamiento con ISA Server y una
mala interpretación de cómo se aplican las reglas
de Sitio y Contenido, Protocolo, filtros de Paquete y ruteo. Eso
hace que queriendo restringir el acceso a 1 o varios sitios utilizando
usuarios y grupos, se termine por bloquear otros sitios a los que
se quería otorgar acceso.
Comprendiendo los Clientes
No todos los equipos que acceden a internet a través de
ISA Server se comportan igual, y esto tiene que ver con el tipo
de cliente que estos sean. Para ISA Server pueden existir tres
tipos de clientes y/o una combinación de estos. Los equipos
que esten configurados con su default gateway a la dirección
IP interna del servidor ISA se consideran clientes SecureNAT, estos
clientes per se no incorporan en sus peticiones nombres de usuario
y por ende no podrán navegar si existe al menos 1 regla
con la opción permitir, que solicite autorización
por usuario o grupo (… si, si, no me equivoque es la opción
permitir y no denegar… luego lo explicaré). Los equipos
que tengan instalado el cliente Firewall de ISA Server, son clientes
Firewall y siempre incorporarán los datos del usuario a
sus peticiones y por último quedan los clientes proxy, es
decir aquellos cuyo navegador esta configurado para utilizar a
ISA Server como su servidor proxy, éstos también
pueden incorporar el nombre de usuario a sus peticiones http. Resumiendo,
si utilizamos reglas que filtran por usuarios y/o grupos, los únicos
clientes válidos que podemos utilizar son los clientes proxy
y los clientes Firewall.
Aclaración: ISA Server tiene una particularidad, cuando
se utiliza filtrado por usuarios o grupos, se debe incluir una
regla con la opción Permitir que filtre por usuario o grupos,
pues si solo se incorporan reglas de denegación, ISA Server
las ignorará y la navegación será permitida
aunque exista una regla aplicada a usuarios o grupos que la deniege.
WinComprendiendo las Reglas
Comprendiendo las Reglas
ISA Server provee varios tipos de reglas que pueden ser utilizados
para restringir la salida a través de ISA Server, las
más utilizadas son las reglas de Sitio y Contenido (Site
and Content Rules) y las reglas de protocolo (Protocol Rules).
Por defecto, al instalarse, no existen reglas de protocolo, por
lo que nadie podrá navegar hasta que las mismas sean creadas.
Las reglas utilizan los elementos de directiva para su configuración,
y es aquí donde normalmente se comenten errores.
Encontes, Como restringir la navegación por usuarios
y grupos y permitir el funcionamiento de Windows Update?
Para lograr restringir la navegación y a la vez permitir
el funcionamiento de windows update tendremos que configurar adecuadamente
las reglas actuales y/o crear nuevas reglas y elementos de directiva.
En primera instancia necesitaremos crear un elemento de directiva
del tipo “Conjunto de Destinos” o “Destination
Set”, este conjunto de destinos que denominaremos udfMicrosoftUpdate,
debe incluir las siguientes direcciones web que son las utilizadas
por windows update (ver imagen)
Debemos ahora, crear una regla
que permita que “anonimo” – “anonymous” acceda
al sitio de windows update, para ello crearemos una nueva regla
de sitio y contenido con estas características.
Nombre: udrMicrosoftLibre
Tipo de Accion: Permitir (Allow)
Configuracion: Permitir basado en destino – Allow
acces based on destination
Aplicar a -> Destino Específico -> udrMicrosoftUpdate
Lo demás será por defecto, es decir Agenda Completa,
Cualquier tipo de Solicitud y para cualquier tipo de Contenido,
y … lo que acabamos de crear no es ni mas ni menos que un
acceso anónimo para windows update, por lo que cumplimentado
esta paso, los servicios de windows update serán accesibles sin
necesidad que la solicitud contenga usuario y contraseña.
Pero aún no funciona !!!.... si, si, falta un pequeño paso.
Para que todo funcione, debemos excluir el destination set "udfMicrosoftUpdate"
de cualquier regla, ya sea de “Sitio y Contenido” o
bien de “Protocolo” que utilice grupos o usuarios para
delimitar el acceso, asi, por ejemplo si tenemos una regla de
acceso a todos los sitios (en el ejemplo udfTodosLosDestinos) en
la cual restringimos su aplicación solo a grupos o usuarios
autorizados, deberemos excluir de dicha regla al udfMicrosoftUpdate,
o sea al destino de sitios de windows update (Ver imagen).
Observese que la regla udfTodosLosDestinos, se aplica
a todos los destinos excepto al indicado, que es ni más ni menos
que udfMicrosoftUpdate. RESUMEN
En síntesis para que todo funcione debemos asegurarnos
que el conjunto de reglas que se van a aplicar a un equipo donde
queremos que ISA Server permita el funcionamiento de windows update
pero restrinja a un determinado grupo de usuarios cualquier otro
destino, tenemos que tener en claro que cualquier regla que tenga
asociado un grupo de usuarios debe tener excluido en su asignación
al udsMicrosoftUpdate, de lo contrario, al querer verificar ISA
Server la pertenencia a grupos de la solicitud de navegación
y no poder hacerlo porque la misma no tiene asociada la información
del usuario, la navegación se denegará.
|
|