Está en la página 1de 15

Block Gtalk

ISA Server 2006


Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Topología de red

Tabla de direccionamiento

Default
Device Name Interface Name IP Address Subnet Mask
Gateway
Fa0/0 10.10.10.130 255.255.255.252 N/A
FW01
Fa0/1 10.10.10.62 255.255.255.192 N/A
SVR-DNS-DHCP-
NIC 10.10.10.60 255.255.255.192 10.10.10.62
01
SVR-PROXY-01 NIC 10.10.10.61 255.255.255.192 10.10.10.62
Winxp1 NIC DHCP DHCP DHCP

Blog: http://jfherrera.wordpress.com 2
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Documentacion de dispositivos finales

WINS High
Device
Operating Default DNS Serve Network Bandwidt
Name IP Address
System/Ver Gateway Server r Applicati h
(Purpose / Suffix
sion Address Address Addre ons Applicati
)
ss ons
SVR-DNS- N/A N/A
Windows
DHCP-01 10.10.10.60 10.10.10 DNS
Server 2003 10.10.10.62
(DNS/DH /26 .60 DHCP
SP2
CP)
SVR- 10.10.10.62 10.10.10 N/A Proxy N/A
Windows
PROXY- 10.10.10.61 /26 .60 (HTTP
Server 2003
01 (ISA /26 and
SP2
Server) HTTPS)

Blog: http://jfherrera.wordpress.com 3
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Bloquear Gtalk con ISA Server 2006

En un documento realizado anteriormente llamado Proxy ISA Server 2006, en el cual se explicaba
como bloquear web mail, IM. Se explico cómo bloquear Gtalk por medio de Signatures, se realizo
seguimiento y se encontró que lograban pasar ese filtro (no estaba funcionando).

Se realizo un análisis encontrando así la solución en bloquear los servidores de Gtalk por medio de
sus IPs, puertos 5222 y 443.

Porque los puertos 5222 y 443, la aplicación utiliza estos puertos aleatoriamente para comunicarse
en la capa de transporte TCP.

En esta captura observamos que al momento de utilizar el cliente Gtalk genera unas consultas DNS
hacia los hostname gtalkx.l.google.com y gtalk.google.com, obteniendo así unas direcciones IP de
dichas consultas.

Agregar los puertos a bloquear

En esta sección veremos cómo agregar los puertos que se bloquearan en la consola de
administración del ISA Server 2006.

Blog: http://jfherrera.wordpress.com 4
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

En el panel derecho de la pestaña Toolbox damos clic en New > Protocol.

Asignamos un nombre al nuevo protocolo y pulsamos en Next.

Blog: http://jfherrera.wordpress.com 5
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Seleccionamos en Protocol type: TCP, Direction: Outbound, en Port Range 5222 y pulsamos en OK.

Agregado el puerto pulsamos en Next.

Seleccionamos en Next y Finish.

Blog: http://jfherrera.wordpress.com 6
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Hacemos el mismo procedimiento para agregar el puerto 443, y podemos observarlos en la


carpeta User-Defined.

Blog: http://jfherrera.wordpress.com 7
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Ahora crearemos el pool de direcciones que se bloquearan las cuales son la direcciones que
prestan el servicio de Gtalk, posicionándonos en la parte derecha de la sección Network Objects
damos clic en New > Computer Set y agregaremos las siguientes IPs.

Standard query A talkx.l.google.com


74.125.39.125
74.125.43.125
74.125.45.125
74.125.47.125
74.125.65.125
74.125.71.125
74.125.91.125
74.125.93.125
74.125.95.125
74.125.113.125
74.125.115.125
74.125.157.125
74.125.159.125
209.85.157.125
209.85.227.125
209.85.229.125

Standard query A talk.google.com


74.125.159.125

Blog: http://jfherrera.wordpress.com 8
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

En este punto debemos tener presente que debemos estar alimentando estas listas de IPs.

Blog: http://jfherrera.wordpress.com 9
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Finalizada la creación de los puertos y pool de IPs, crearemos una nueva regla.

Asignamos el nombre a la nueva regla y pulsamos en Next.

Seleccionamos Deny y pulsamos en Next.

Blog: http://jfherrera.wordpress.com 10
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Y pulsamos en Next.

Agregamos la red Internal y pulsamos en Next.

Blog: http://jfherrera.wordpress.com 11
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

En la regla de destino seleccionamos los Pool de direcciones que creamos anteriormente buscando
en la carpeta Computer Set, damos clic en Next y Finish.

Aplicamos los cambios y observamos la nueva regla creada, con esto ya podemos bloquear el
cliente de IM Google Gtalk.

NOTA: esta regla nos funciona para el cliente tipo Clientes Firewall
de ISA Server (clientes que no tengan configurado el proxy en el
web browser).
Nota: es importante hacerle un seguimiento a esta política ya que el cliente de IM Gtalk puede
utilizar una dirección de servidor diferente a las listadas en los Pool, si se detecta otra dirección de
un servidor de Gtalk solo basta con agregarla a los Pool.

Blog: http://jfherrera.wordpress.com 12
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

En esta sección veremos cómo bloquear el cliente de IM Gtalk de Google.

Blog: http://jfherrera.wordpress.com 13
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

NOTA: esta regla nos funciona para el cliente tipo Clientes Web
Proxy de ISA Server (clientes que tengan configurado el proxy en
el web browser).

Blog: http://jfherrera.wordpress.com 14
Block Gtalk - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006

Last Update 08 of March of the year 2011

Thanks,
Good Luck!

Blog: http://jfherrera.wordpress.com 15