Embed Size (px)
DESCRIPTION
Capitulo 1 manual Isa server 2004
Citation preview
Unidad 1: Introducción a ISA 2004
Cap 1. Nuevas funcionalidadesa. Asistentes para configuraciones b. Asistentes de topología de redc. Mejoras en VPNd. Bloqueo de contenidoe. Mejoras en cachingf. Redirección de puertos en publicación de Serverg. Mejoras en Reportes y monitoreo
Cap 2. Requerimientosa. Evaluando entornob. Requisitos de Hardwarec. Requisitos de Software
Cap 3. Deploy de ISA 2004.a. Instalar ISA Server 2004b. Laboratorio Práactico Deploy ISA 2004
Cap 4. Configuración de acceso a internet para la red corporativa.a. Revisar la política de Sistemab. Configuración de Access Policyc. Laboratorio Practico Configurando Access Policy
ISA Server 2004 SE permite aumentar los niveles de seguridad de las aplicaciones Microsoft mediante una arquitectura de seguridad mejorada, con filtrado de nivel de aplicación, funcionalidades VPN totalmente integradas con la plataforma, y sistemas de autentificación completos y flexibles, como RSA SecurID y RADIUS.
Entre las nuevas características se encuentran: soporte para arquitecturas de red muy diversas, plantillas de red mejoradas y asistentes automatizados; un editor de políticas con interfaz gráfica robusto y un entorno amigable de funciones para la solución de problemas. ISA Server 2004 SE también aporta notables avances en el capítulo del rendimiento y permite una mejora sensible de velocidad en el uso de filtros de nivel de aplicación, para aquellos casos en que se pueda necesitar protección de nivel de aplicación adicional para Microsoft Exchange Server, IIS, SharePoint u otras aplicaciones.
ISA Server 2004 está optimizado para un amplio sector de clientes, desde pequeñas empresas que solamente requieren un producto sencillo pero integrado de seguridad perimetral, a grandes corporaciones que necesitan los máximos niveles de protección. Antes de comenzar, haremos algunas precisiones importantes:
Se trata de una versión Beta, no debe instalarse en un entorno de producción. ISA Server 2004 se puede instalar sobre Windows 2000 y Windows Server
2003 ISA Server 2004 aplica políticas de firewall sobre todos los interfaces, por lo
que su modo de trabajo es distinto a como era con ISA Server 2000 Tras instalar ISA Server 2004, conviene dedicar un rato a conocer la nueva
interfaz de usuario.
1. Nuevas funcionalidades
ISA Server 2004 incluye numerosas características y mejoras, particularmente cuando se instala en un sistema donde se ejecuta Windows Server 2003. Por ejemplo: Una interfaz de usuario nueva y simplificada Compatibilidad con varias redes Compatibilidad mejorada con VPN Capacidades de cuarentena VPN Capacidad para crear grupos de usuarios personalizados de servidor de seguridad Una mayor compatibilidad con protocolos Definiciones personalizadas de protocolos OWA Publishing Wizard Compatibilidad mejorada con la directiva para cargar y descargar en FTP Una publicación en Web mejorada Redirección de puertos con reglas de publicación en servidores Reglas de caché mejoradas para el almacenamiento centralizado de objetos Asignación de rutas para las reglas de publicación en Web Compatibilidad con RADIUS para la autenticación de clientes proxy Web Delegación de la autenticación básica Autenticación de identificadores seguros Formularios generados por los servidores de seguridad (autenticación basada en formularios) Un filtro de mensajes SMTP mejorado Un filtrado HTTP mejorado Traducción de vínculos Mayores capacidades de supervisión y elaboración de informes
a. Asistentes para configuraciones
ISA Server 2004 incorpora un nuevo conjunto de asistentes que hacen más fácil que nunca la creación de políticas de acceso. Las políticas de acceso saliente antes, en ISA Server 2000, necesitaban Filtros de paquetes IP, reglas asociadas a sitios, contenidos y protocolos. Las políticas de acceso de ISA Server 2004 pueden crearse mediante un asistente de creación de reglas de firewall avanzado que permite configurar cualquier elemento de política necesario sobre la marcha. No necesita salir del asistente de creación de reglas para crear un objeto de red, y cualquier objeto de red o relación puede crearse dentro del nuevo asistente.
b. Asistentes de topología de red
ISA Server 2004 proporciona cinco plantillas de red correspondientes a topologías de red comunes. Los administradores las pueden utilizar para configurar fácil y automáticamente las relaciones de enrutamiento y las políticas de firewall para el tráfico entre redes externas, internas, de VPN y de DMZ.
c. Mejoras en VPN
Administración VPN:ISA Server incluye mecanismos mucho más integrados de red privada virtual, basados en la funcionalidad de Windows Server 2003. Inspección dinámica del contenido en VPN:Los clientes de redes privadas virtuales (VPN) se configuran como una red independiente. Por consiguiente, se pueden crear políticas diferentes para ellos. El motor de reglas valida de forma distinta las peticiones de clientes VPN, inspeccionando el contenido de estas peticiones y abriendo dinámicamente las conexiones, a partir de la aplicación de las políticas de acceso. Soporte de cliente SecureNAT para clientes VPN conectados al servidor VPN de ISA Server 2004:En ISA Server 2000, únicamente los clientes VPN configurados como clientes de firewall podían acceder a Internet a través del servidor VPN ISA Server 2000. ISA Server 2004 amplía el soporte de cliente VPN permitiendo a clientes SecureNAT el acceso a Internet sin tener el cliente de firewall instalado en la máquina. Además se puede mejorar la seguridad de la red corporativa aplicando la política de firewall basada en usuarios/grupos a los clientes VPN SecureNAT. Filtrado e inspección dinámica de contenido para comunicaciones a través de un túnel VPN intersite:ISA Server 2004 introduce la inspección y filtrado de contenido para todas las comunicaciones que se establecen a través de una conexión VPN entre redes. Esto permite controlar a qué recursos pueden acceder qué máquinas o redes en el extremo opuesto del enlace. Las políticas de acceso basadas en usuario/grupo se
pueden aplicar para obtener un control granular sobre el uso de recursos a través del enlace. Cuarentena VPN:ISA Server 2004 potencia la funcionalidad de cuarentena VPN de Windows Server 2003. La cuarentena VPN permite ubicar los clientes VPN en una red separada hasta comprobar que cumplen una serie de requisitos de seguridad. Los clientes VPN que superan los test de seguridad quedan admitidos para acceder a la red de acuerdo con las políticas de cliente de firewall VPN. Los clientes VPN que no superan los test de seguridad solamente disponen de acceso limitado a los servidores que les permitirán cumplir con los requisitos de seguridad.
d. Bloqueo de contenido
Filtro HTTP basado en reglas:La política HTTP de ISA Server 2004 permite al firewall realizar una inspección profunda del contenido HTTP (filtro de nivel de aplicación). La amplitud de esta inspección se configura mediante reglas. Esto posibilita configurar restricciones específicas para el acceso HTTP entrante y saliente. Bloqueo de acceso a todo contenido ejecutable:Se puede configurar una política HTTP en ISA Server 2004 para bloquear todo intento de conexión para transferir contenido ejecutable bajo Windows, independientemente de la extensión del archivo utilizado en el recurso. Control de descargas HTTP mediante extensión de archivo:
La política HTTP de ISA Server 2004 posibilita permitir todas las extensiones de archivo excepto un grupo concreto de extensiones, o bloquear todas las extensiones excepto un grupo determinado.
El filtro HTTP se aplica a todas las conexiones cliente de ISA Server 2004:ISA Server 2000 podía bloquear el contenido para conexiones HTTP y FTP a sus clientes Web Proxy mediante MIME Enter (para HTTP) o por extensión de archivo (para FTP). La política de HTTP de ISA Server 2004 permite el control de acceso HTTP para todas las conexiones de cliente de ISA Server 2004. Control de acceso HTTP basado en “firmas HTTP” La inspección en profundidad de HTTP de ISA Server 2004 permite crear “firmas HTTP” que se pueden comparar contra la URL Solicitada, cabeceras solicitadas, cuerpo solicitado, cabeceras de respuestas y cuerpo de respuesta. Esto permite un control muy preciso de a qué contenido pueden acceder los usuarios internos y externos a través del firewall ISA Server 2004. Control de métodos HTTP permitidos:Se puede controlar cuáles métodos HTTP están permitidos a través del firewall mediante la aplicación de controles de acceso para restringir el acceso a usuarios a diversos métodos. Por ejemplo, se puede limitar el uso del método HTTP POST para impedir a los usuarios el envío de datos a sitios Web. Conexiones Exchange RPC seguras obligatorias desde clientes Outlook MAPI:Las reglas de publicación de Servidor Exchange Seguro que incluye ISA Server 2004 permiten a los usuarios remotos conectarse a Exchange utilizando plenamente las funcionalidades del cliente MAPI Outlook sobre Internet. Sin embargo, el cliente Outlook debe configurarse para utilizar RPC seguro, y forzar el cifrado de la conexión. La política RPC de ISA Server 2004 permite bloquear todas las conexiones no cifradas de cliente MAPI Outlook. Política FTP:La política FTP de ISA Server 2004 se puede configurar para admitir descargas desde o hacia la red corporativa utilizando FTP, o bien limitando el acceso de los usuarios a descargas FTP en sentido entrante. Traductor de enlaces:Algunos sitios Web publicados pueden incluir referencias a nombres de máquina internos. Puesto que solamente se admiten que el firewall ISA Server 2004 y el espacio de nombres externo, y nunca el espacio de nombres interno, queden disponibles para clientes externos, estas referencias aparecerán como enlaces rotos. ISA Server 2004 incorpora un traductor de vínculos que permite crear un diccionario de definiciones de nombres de máquinas internas mapeados a nombres públicos disponibles desde el exterior. Control granular sobre opciones IP:El sistema de prevención de ataques de ISA Server 2000 permitía el bloqueo de todas las opciones IP. Sin embargo, en algunas ocasiones puede ser necesario habilitar algunas opciones IP para tareas de gestión de la red y resolución de problemas. ISA Server 2004 permite configurar opciones IP de forma más granular y permitir únicamente aquellas opciones IP que se necesitan, bloqueando las demás.
e. Mejoras en caching
Cache de Web de alto rendimiento:Para los clientes internos que acceden a servidores Web de Internet, se acelera el rendimiento, así como el de los usuarios externos que acceden a contenidos de servidores Web corporativos. ISA Server 2004 realiza un cache en RAM rápido y un cache a disco optimizado para proporcionar el mejor rendimiento posible en la navegación Web. Cache inteligente: Los usuarios reciben el contenido Web más reciente gracias al proceso de cache proactivo de los objetos más frecuentemente accedidos. ISA Server 2004 determina de forma automática qué sitios Web son los más utilizados y con qué frecuencia debe refrescarse su contenido basándose en el tiempo que el objeto ha permanecido en la cache o el momento en el que el objeto se cargó por última vez. ISA Server 2004 puede precargar contenido Web en la cache en momentos de baja actividad, sin intervención del administrador de la red. Aparte esto, el cache Web de ISA Server 2004 puede precargar contenido offline almacenado en CD o DVD. Cache planificado: La cache se puede precargar con contenidos de sitios Web completos siguiendo una planificación temporal. Las descargas planificadas garantizan el acceso al contenido más actual para todos los usuarios, y les permite el acceso a contenido Web en sistemas fuera de servicio. Cache jerárquico: ISA Server 2004 amplía aún más los beneficios del cache Web permitiendo configurar una jerarquía de cache, encadenando matrices de máquinas basadas en ISA Server 2004, de modo que los clientes pueden acceder al cache más próximo. Este es un escenario bien conocido de configuración de redes de oficinas.
f. Redirección de puertos en publicación de Server
Redirección de puertos para reglas de publicación de servidores: Las reglas de publicación de servidores de ISA Server 2000 redirigían las conexiones entrantes a un servidor de publicación en el mismo puerto que el indicado en la petición original. ISA Server 2004 permite recibir una conexión en un número de puerto y redirigir la petición a un número de puerto distinto en el servidor publicado.Esta característica conocida también como PAT (Port Address Redirection) permite publicar varios servicios internos en diferentes puertos externos sin necesidad de modificar el puerto interno del sevicio. Por Ejemplo usted podria publicar dos Terminal Services en su puerto por defecto 3389 a la misma IP publica en dos puertos diferentes ej: 3389 y 3390.
g. Mejoras en Reportes y monitoreo
Monitorización e informes en tiempo real:ISA Server 2004 permite ver logs de firewall, Proxy Web y Delimitador de Mensajes SMTP en tiempo real. La consola de monitorización muestra las entradas del log a medida que se van grabando en el archivo de log del firewall. Facilidades de consulta al log incorporadas:Es posible lanzar consultas a los archivos de log utilizando las facilidades de consultas a log incorporadas. Pueden consultarse los logs para obtener información de cualquiera de los campos que contienen. Se puede limitar el alcance de las consultas a un marco temporal concreto. Los resultados aparecen en la consola de ISA Server 2004 y pueden copiarse al portapapeles y pegarse en otra aplicación para realizar análisis más detallados. Monitorización y filtrado en tiempo real de las sesiones de firewall:ISA Server 2004 permite ver todas las conexiones activas en el firewall. En la vista de una sesión se pueden ordenar o desconectar sesiones individuales o grupos de ellas. Además se pueden filtrar las entradas en la interfaz de sesión para centrarse en las sesiones de interés utilizando la facilidad de filtrado de sesiones incorporada. Verificadores de conexión:Se puede verificar la conectividad monitorizando regularmente las conexiones a máquinas o URL concretas desde una máquina ISA Server 2004 usando los Verificadores de Conexión. Se puede seleccionar el método a emplear para comprobar la conectividad: ping, TCP, conexión a un puerto o HTTP GET. Se puede
seleccionar la conexión a monitorizar especificando una dirección IP, un nombre de máquina o URL. Personalización de informes de ISA Server 2004:ISA Server 2000 permitía una personalización limitada de los informes generados por el firewall. ISA Server 2004 incorpora una funcionalidad mejorada de personalización de informes que permite incluir más información en los reports del firewall. Publicación de informes:Los trabajos de informes de ISA Server 2004 se pueden configurar para guardar automáticamente una copia del report en una carpeta local o compartida en otra máquina. Esta carpeta o recurso compartido se puede mapear a un directorio virtual de un sitio Web, de modo que otros usuarios pueden leer el informe. Se pueden publicar manualmente los informes que no se han configurado para su publicación automática después de generarse. Notificación por e-mail tras la creación de un informe:Se puede configurar un trabajo de informe para que envíe un mensaje por correo electrónico una vez completado el trabajo de generación del informe. Ventana de tiempo personalizable para la creación de resúmenes del log ISA Server 2000 incluía en su programación la creación de resúmenes de log a las 12:30 AM. Los informes se basaban en la información contenida en los resúmenes de log. ISA Server 2004 permite modificar fácilmente el momento de creación de estos resúmenes de log, ofreciendo una gran flexibilidad a la hora de definir el momento de creación de los informes. Log mejorado en SQL:Se pueden volcar los logs a una base de datos SQL emplazada en otra máquina dentro de la red interna. El log de ISA Server 2004 sobre SQL ha sido optimizado para obtener un rendimiento muy superior en comparación con el log a SQL que ofrecía ISA Server 2000. Log en una base de datos MSDE:Los logs se pueden almacenar ahora también en formato MSDE. La grabación de registros de log en una base de datos local mejora la velocidad de respuesta en las consultas y la flexibilidad.
2. Requerimientos a. Evaluando entorno
ISA Server 2004 resulta muy valioso para los administradores de tecnologías de la información, administradores de red y profesionales de seguridad de la información preocupados por la seguridad, el rendimiento, la facilidad de administración y los costos operativos de las redes de las que se ocupan. Resulta igualmente ventajoso para las organizaciones de tamaño pequeño, mediano o grande. En las secciones siguientes se describen algunos de los escenarios de red en los que se puede emplear ISA Server 2004.Consiga de forma segura y sencilla que el correo electrónico esté a disposición de los usuarios que trabajan fuera de la red
ISA Server 2004 ofrece un grado único de protección para los sitios Web OWA. Gracias a la interfaz de ISA Server 2004, fácil de utilizar, las organizaciones pueden configurar con rapidez una regla de publicación en Web que exija una autenticación segura basada en formularios. ISA Server 2004 también impide los ataques contra servidores de correo electrónico, ya sea a través del descifrado Secure Sockets Layer (SSL), que permite que el tráfico SSL sea inspeccionado en busca de código peligroso, o gracias al filtrado HTTP, que hace posible la inspección minuciosa del contenido de las aplicaciones. Además, ISA Server 2004 usa una autenticación previa para impedir los inicios de sesión de usuarios anónimos, que constituyen un método de ataque clave en servidores internos.ISA Server 2004 aprovecha la autenticación existente, en la que intervienen varios factores, y proporciona un sistema de autenticación tanto en el caso de que el correo remoto emplee RADIUS (Remote Authentication Dial-In User Service) como si utiliza RSA SecurID. De este modo, ISA Server 2004 le ayuda a impedir que las solicitudes anónimas, potencialmente peligrosas, lleguen a Microsoft Exchange Server. Una protección adicional se deriva de las capacidades de tiempo de espera de sesión y bloqueo de archivos adjuntos que ISA Server 2004 proporciona, con lo que se impide que las sesiones de correo electrónico de los usuarios se queden abiertas indefinidamente para que otros las usen.La figura 1 ilustra el modo en que ISA Server 2004 contribuye a proteger el acceso al correo electrónico para los usuarios que trabajan fuera de la red corporativa.
Figura 1. ISA Server 2004 permite poner el correo electrónico a disposición de usuarios fuera de la red corporativa de forma fácil y segura
Proporcione la información de la intranet a través de Internet de un modo sencillo y seguroGracias a la publicación en Web y en los servidores, ISA Server 2004 hace posible que las aplicaciones de una intranet publiquen información a través de Internet de una forma segura. Los asistentes integrados para publicación en servidores y en Web automatizan las operaciones comunes y reducen el riesgo de que se produzcan errores en la configuración. Además, la funcionalidad de traducción de vínculos de ISA Server 2004 permite la traducción inteligente de vínculos internos en sitios accesibles públicamente. ISA Server 2004 también puede inspeccionar el tráfico para comprobar su legitimidad, exigir el uso de direcciones URL válidas y realizar una autenticación previa de los usuarios a través de las estructuras de autenticación existentes, de modo que pueda impedir que las solicitudes anónimas potencialmente peligrosas lleguen a los servidores de publicación. La figura 2 ilustra el modo en que
ISA Server 2004 puede ayudarle a proteger la red corporativa al tiempo que consigue que la información de la intranet esté disponible a través de Internet.
Figura 2. ISA Server 2004 permite publicar la información de la intranet de forma segura y sencilla a través de Internet
Permita que sus partners tengan acceso a la información relevante de la red corporativa de un modo seguroGracias a la capacidad de VPN integrada en ISA Server 2004, puede conectar con seguridad a sus asociados comerciales (partners) a la red corporativa mientras limita su acceso a servidores y aplicaciones específicos. ISA Server 2004 cifra todo el tráfico entre el partner y la red corporativa, garantizando la confidencialidad e impidiendo que los datos sean modificados. Además, los servidores del extremo de la red privada virtual se autentican entre sí y, una vez autenticados, ISA Server 2004 aplica directivas de enrutamiento y acceso que limitan el modo en que los partners pueden recorrer la red corporativa. También puede usar ISA Server 2004 para aplicar reglas estrictas de filtrado de aplicaciones que ayudarán a proteger la red corporativa frente a ataques avanzados del nivel de aplicación. La figura 3 muestra la forma en que ISA Server puede proteger la red corporativa al tiempo que permite que la información relevante siga estando disponible para sus partners.
Figura 3. Con ISA Server 2004, puede proporcionar a sus partners un acceso seguro a la información corporativa relevante
Proporcione un acceso remoto seguro y flexible a los usuarios mientras contribuye a proteger la red corporativa del tráfico perjudicialA través del filtrado avanzado del nivel de aplicación, que permite inspeccionar y analizar el tráfico con el fin de impedir el paso de gusanos y virus, ISA Server 2004 puede ayudar a proteger una red corporativa de los equipos remotos no administrados que tienen acceso a ella a través de una VPN. También puede utilizar ISA Server para asignar directivas flexibles de red a los grupos y usuarios de VPN, permitiéndoles tener acceso únicamente a servidores y aplicaciones específicos. Para conseguir una seguridad avanzada, ISA Server 2004 puede poner en cuarentena a los clientes que no cumplan las directivas corporativas preconfiguradas en relación a la instalación de actualizaciones de software, software antivirus u otras configuraciones específicas para los equipos. La figura 4 muestra el modo en que ISA Server ayuda a proteger la red corporativa al tiempo que proporciona acceso remoto a los usuarios de la empresa.
Figura 4. ISA Server 2004 permite proporcionar a los usuarios un acceso remoto seguro y flexible a la red corporativa mientras contribuye a proteger la red del tráfico peligroso
Permita que las sucursales se comuniquen con la oficina principal a través de Internet con seguridad Una puerta de enlace VPN de ISA Server 2004 se usa para que los administradores unan redes enteras a través de vínculos entre sitios VPN, por ejemplo, conectando las sucursales y la oficina principal entre sí. La característica de enrutador VPN en el modo de túnel de Seguridad de Protocolo Internet (IPSec) incluida en ISA Server 2004 permite que los administradores del servidor de seguridad establezcan controles estrictos de acceso, por ejemplo, específicos del nivel de aplicación, usuario, grupo, sitio, equipo y protocolo sobre el tráfico que pasa por el vínculo entre los sitios. Con estos controles implantados, los usuarios de la red local pueden tener acceso únicamente al contenido permitido en la red remota y los usuarios de ésta sólo pueden tener acceso a los recursos designados de la red local. La figura 5 ilustra el modo en que ISA Server ayuda a proteger las conexiones entre las sucursales y la oficina principal.
Figura 5. ISA Server 2004 ayuda a proteger las conexiones entre las sucursales y la oficina principal
Controle el acceso a Internet y proteja a los clientes del tráfico peligroso en Internet Con ISA Server 2004, puede controlar y aplicar fácilmente directivas de acceso en Internet destinadas a grupos de usuarios, además de protegerles del tráfico peligroso de Internet. Las flexibles directivas de servidor de seguridad tienen en cuenta tanto el bloqueo de sitios Web como el filtrado de contenido, en ambos casos para mejorar la productividad de los usuarios y bloquear el contenido inapropiado. ISA Server 2004 también se puede integrar con Active Directory, con lo que se permite la creación de controles de acceso personalizados para diferentes funciones organizativas y tipos de trabajo.Además, el filtrado de aplicaciones en ISA Server 2004 posibilita la mejora de la confiabilidad del entorno al proteger los equipos de escritorio y los servidores de ataques avanzados. Por ejemplo, el filtrado HTTP avanzado puede impedir el uso de las aplicaciones incrustadas, por ejemplo, las aplicaciones comunes de mensajería instantánea y de elementos del mismo nivel. El filtrado del tráfico en ISA Server 2004 también frustra muchas formas comunes de ataque al impedir el acceso desde el exterior a los clientes internos, comprobar la validez del tráfico entrante de replicación y confirmar que los complementos de terceros no contienen gusanos ni virus. La figura 6 ilustra el modo en que ISA Server controla el acceso a Internet y ayuda a proteger a los clientes frente al tráfico peligroso en Internet.
Figura 6. ISA Server 2004 controla el tráfico en Internet y ayuda a proteger a los clientes del tráfico peligroso
Garantice un acceso rápido al contenido Web que más se usaLas capacidades de almacenamiento en caché de ISA Server 2004 garantizan un acceso rápido al contenido Web más usado. Con el almacenamiento en caché y la característica de recuperación previa, ISA Server 2004 puede aprender patrones de tráfico Web y descargar automáticamente los sitios Web que se suelen solicitar para que estén disponibles en seguida. ISA Server también puede enrutar las solicitudes específicas para los servidores de almacenamiento en caché que preceden en la cadena si la caché de los que siguen en la cadena está llena. Las figuras 7 y 8 muestran cómo usa ISA Server sus capacidades de almacenamiento en caché con
servidores estructurados en cadena para proporcionar un acceso rápido al contenido Web más utilizado.
Figura 7. El almacenamiento en caché en los servidores que siguen en la cadena proporciona un acceso rápido a contenido Web popular
Figura 8. El almacenamiento en caché en los servidores que preceden en la cadena está disponible cuando las cachés de los servidores que siguen en la cadena se llenan
b. Requisitos de Hardware
Para usar Internet Security and Acceleration (ISA) Server 2004 Standard Edition, necesita un sistema con la siguiente configuración, como mínimo:
Requisitos mínimos
Procesador Pentium III a 550 MHz o superior (ISA Server 2004 Standard Edition admite hasta cuatro CPU en un servidor)
Memoria 256 MB de RAM o más (se recomienda)
Disco duro Partición local con formato NTFS y 150 MB de espacio disponible en el disco duro; se requiere espacio adicional para el contenido de la caché Web
Otros dispositivos Adaptador de red compatible con el sistema operativo del equipo para comunicarse con la red interna; un adaptador de red adicional, módem o adaptador RDSI (ISDN) para cada red adicional conectada al equipo ISA Server
Unidad de CD-ROM o DVD-ROM
Monitor VGA o de resolución superior
Teclado y Microsoft Mouse o dispositivo señalador compatible
c. Requisitos de Software
Requisitos mínimos
Sistema operativo Microsoft Windows 2000 Server o Advanced Server con Service Pack 4 o una versión posterior; Windows 2000 Datacenter Server o Windows Server 2003 Standard Edition o Enterprise Edition
Notas: Si instala ISA Server 2004 Standard Edition en un sistema operativo Windows 2000 Server, debe instalar lo siguiente: Service Pack 4 de Windows 2000 o una versión posterior, e Internet Explorer 6 o una versión posterior. Si usa la versión Windows 2000 Server o Advanced Server con Service Pack 4, debe instalar el hotfix especificado en el artículo 821887 de Microsoft Knowledge Base.
3. Deploy de ISA 2004. a. Instalar ISA Server 2004
El siguiente paso consiste en instalar el software de ISA Server 2004. La instalación es un proceso relativamente simple, pero iremos siguiendo en detalle cada paso para asegurarnos de que entiende adecuadamente todo cuanto sucede.
Siga estos pasos para instalar el software de ISA Server 2004 en una máquina Windows Server 2003 con dos tarjetas de red: 1. Obtenga su CD-Rom de ISA Server 2004 Standard Edition, introduzca el CD, si su
PC no tiene Autoplay haga doble click sobre el archivo isaautorun.exe.2. En la página Microsoft Internet Security and Acceleration Server 2004
Setup haga click sobre el vínculo Review Release Notes y lea las notas de versión. Este documento no es muy largo y contiene información útil sobre las características que funcionan y las que no, así como consejos interesantes para saber cómo acceder a Internet desde la propia máquina del firewall ISA Server 2004. Una vez leídas las notas de versión, haga click sobre Read Setup and Feature Guide. No es preciso leerse toda la guía ahora, pero recomendamos que la imprima para leerla después. Finalmente, haga click sobre el vínculo Install ISA Server 2004.
3. Pulse Next en la página Welcome to the Installation Wizard for Microsoft ISA Server 2004 Beta 2.
4. Seleccione la opción I accept the terms in the license agreement en la página License Agreement y pulse Next.
5. En la página Customer Information, introduzca su nombre y el de su organización en los cuadros de texto User Name y Organization. El Product Serial Number se genera automáticamente. Pulse Next.
6. En la página Setup Type, seleccione la opción Custom. Si no quiere instalar el software de ISA Server 2004 en el disco C:, pulse el botón Change para modificar la ubicación de los archivos de programa en el disco duro. Pulse Next.
7. En la página Custom Setup puede elegir los componentes a instalar. Por defecto, se
instalan Firewall Services, ISA Server Management y Firewall Client Installation
Share. El componente Message Screener, utilizado para controlar el paso de spam y archivos adjuntos de correo desde o hacia Internet, no se instala por defecto. Necesitará instalar el servicio SMTP de IIS 6.0 en el firewall ISA Server 2004 antes de instalar el Message Screener. En el futuro editaré algunos artículos sobre cómo instalar el Message Screener en el firewall ISA Server 2004 para controlar el flujo entrante y saliente de spam y archivos adjuntos en mensajes de correo. Acepte los valores por defecto y pulse Next.
8. En la página Internal Network, pulse el botón Add. El concepto de red interna es
diferente a como ISA Server 2000 utilizaba la LAT. En el caso de ISA Server 2004, la red interna contiene servicios de red de confianza con los cuales el firewall ISA Server 2004 debe comunicarse. Por ejemplo, los controladores de dominio del Directorio Activo, DNS, DHCP, clientes de servicios de terminal y otros. La Política de Sistema del firewall se aplica automáticamente a la red interna.
9. En la página de configuración de Internal Network, pulse el botón Configure
Internal Network.
10. En el cuadro de diálogo Configure Internal Network, borre las marcas de selección de Add the following private ranges… Mantenga seleccionada la opción Add address ranges based on the Windows Routing Table. Marque en el cuadro de selección junto a la tarjeta de red conectada a la red interna y pulse OK.
11. Pulse OK en el cuadro de diálogo que informa de que se ha definido una red interna basándose en la tabla de rutas de Windows.
12. Pulse OK en la lista de rangos de direcciones de la red interna.
13. Pulse Next en la página Internal Network.
14. Pulse Install en la página Ready to Install the Program.15. En la página Installation Wizard Completed, marque la opción Invoke ISA Server
Management when Wizard closes y después, pulse Finish.
16. Se abre la consola de administración de Microsoft Internet Security and Acceleration
Server 2004. Por defecto el usuario es dirigido hacia el nodo superior en el panel de la izquierda. Nótese que la consola de ISA Server 2004 necesita algo más de espacio para visualizarse que la ISA Server 2000. Para sacar el máximo provecho de la interfaz gráfica, cambie su resolución a 1024x768 o superior. Yo he tenido que mantener la resolución de 640x480 para obtener las capturas de pantalla en un tamaño adecuado para visualizarse en páginas web. Por eso utilizaré el botón Show/Hide Console Tree en la barra de botones de la consola con cierta frecuencia.
4. Configuración de acceso a internet para la red corporativa. a. Revisar la Política de Sistema
Por defecto, ISA Server 2004 no permite el acceso de salida a Internet y no permite a los sistemas de Internet acceder al firewall. No obstante, se instala una Política de Sistema por defecto en el firewall que permite completar las tareas de administración de la red. Siga estos pasos para ver la Política de Sistema por defecto del firewall: En la consola de administración de Microsoft Internet Security and Acceleration Server 2004, extienda el nodo del servidor en el panel de búsqueda (panel izquierdo) y pulse sobre el nodo Firewall Policy. Pulse con el botón derecho sobre el nodo Firewall Policy, seleccione View y pulse en Show System Rules.
b. Configuración de Access Policy
1. Pulse el botón Show/Hide Console Tree y después, en la flecha Open/Close
Task Pane (la flechita azul en el borde izquierdo del panel de tareas en la parte derecha de la consola). Verá que la Política de Acceso de ISA Server 2004 aparece en una lista ordenada. Las políticas se procesan desde arriba a abajo, lo que es un cambio sustancial con respecto a como lo hacía ISA Server 2000. La Política de Sistema representa una lista de reglas que controlan el acceso al firewall ISA Server 2004 por defecto. Desplace la lista de System Policy Rules hacia abajo. Puede comprobar que las reglas se definen por:
Número de ordenNombreAcción (permitir o denegar)ProtocolosDesde (red o máquina de origen)Hacia (sistema o red de destino)
Condición (a quién o a qué se aplica la regla) Puede que le interese ampliar la columna Name para observar por encima las reglas. Verá que no todas están activadas. Las Reglas de Política de Sistema que están deshabilitadas por defecto tienen un puntito rojo en su esquina inferior derecha. Las reglas de Política de Sistema deshabilitadas se activarán automáticamente al hacer cambios de configuración en el firewall ISA Server 2004, como podrían ser el habilitar acceso VPN. Fíjese en que una de las reglas de Política de Sistema permite al firewall realizar consultas DNS a servidores DNS en todas las redes. 2. Compruebe las reglas de Política de Sistema y ocúltelas pulsando el botón
Show/Hide System Policy Rules en la barra de botones de la consola. Es el botón pulsado que se ve en la figura siguiente:
3.
Crear una Política de Acceso de tráfico de salida “Todo abierto” La primera cosa que prácticamente todos queremos hacer es comprobar si ISA Server está funcionando realmente. Se puede ver creando una política de acceso de tráfico de salida “todo abierto” que permite a los clientes SecurreNAT acceder a Internet. Conviene tener en cuenta que esta política “todo abierto” es solamente para fines de test. Las redes seguras no permiten que pase todo el tráfico hacia afuera, y a los usuarios solamente se les dará acceso a los protocolos que necesitan. Esta es la diferencia entre un firewall ISA Server 2004 y un firewall tradicional, basado en el filtrado de paquetes.
Siga estos pasos para crear una política de acceso de tráfico de salida “todo abierto”:1. En la consola de administración de Microsoft Internet Security and Acceleration
Server 2004, pulse el botón Show/Hide Console Tree para exponer el panel de visualización. Haga click con el botón derecho sobre el nodo Firewall Policy, seleccione New y pulse Access Rule.
2. En la página Welcome to the New Access Rule Wizard, introduzca el texto All Open Outbound en el cuadro de texto de Access policy rule name. Pulse OK.
3. En la página Rule Action, seleccione la opción Allow y pulse Next.
4. En la página Protocols, seleccione la opción All outbound protocols y pulse Next.
5. En la página Access Rule Sources, pulse el botón Add. En el cuadro de diálogo Add Network Entities, seleccione la carpeta Networks. Haga doble click en la red Internal, y luego pulse el botón Close en el diálogo Add Network Entities. Si lo desea, puede pulsar en cada una de las carpetas, para poder ver las Entidades de Red que vienen predefinidas en el firewall ISA Server 2004. Estas Entidades de Red le proporcionan un control muy bien ajustado sobre los accesos de entrada y salida. Pulse Next en el diálogo Access Rule Sources.
6. Pulse el botón Add en la página Access Rule Destinations. En el diálogo Add Network Entities, seleccione la carpeta Networks. Haga doble click sobre la entrada External y pulse Close en el diálogo Add Network Entities. Pulse Next en la página Access Rule Destinations.
7. En la página User Sets, acepte la configuración por defecto de All Users. ISA Server 2004 permite la creación de configuraciones de usuario personalizadas basadas en grupos del Directorio Activo o SAM local. Esto permite a los administradores del firewall crear grupos de usuarios particulares del firewall sin tener que acudir al Directorio Activo y crear los grupos aquí. Pulse Next.
8. Verifique los parámetros y pulse Finish en la página Completing the New
Access Rule Wizard.9. Pulse el botón Apply para guardar los cambios y actualizar la política del firewall.
Este botón está en la parte superior del panel de Detalles (panel central) de la consola. El botón Apply permite hacer múltiples cambios en la política del firewall antes de que se apliquen. Los cambios se producen de inmediato en cuanto se pulsa el botón Apply.
10. Pulse el botón Show/Hide Console Tree para poder visualizar toda la línea de la Política de Acceso en el panel de Detalles.
Los clientes de la red interna ahora tienen acceso libre a Internet. Los clientes Secure NAT tienen acceso a todos los protocolos enumerados en la lista de Protocols en la caja de herramientas de Firewall Policy. Siga los pasos indicados a continuación para ver la caja de herramientas de Firewall Policy: 1. En la consola de administración de Microsoft Internet Security and
Acceleration Server 2004, despliegue el panel de contenidos si no está visible, usando el botón Show/Hide Console Tree.
2. Si el panel de tareas no queda visible en la parte derecha de la consola, pulse el botón Open/Close Task Pane.
3. En el Panel de Tareas, pulse la solapa Toolbox. Haga click sobre la etiqueta Protocols. Verá los protocolos agrupados en grupos lógicos. Pulse en la carpeta All protocols. Aquí se visualiza una lista de protocolos predefinidos en el firewall ISA Server 2004. Puede crear sus propios protocolos, si lo desea, más adelante. Los clientes SecureNAT que quieren acceder a protocolos complejos necesitarán, además, un filtro de aplicación. Los clientes de firewall pueden acceder a todos los protocolos, incluso a aquellos no expresamente incluidos en la lista (también a los protocolos complejos).
La siguiente regla que tenemos que crear es una Política de Sistema que permita a los clientes de la red interna conectar al servidor DNS en el firewall ISA Server 2004. Recuerde que ISA Server 2004 es distinto de ISA Server 2000; la Política de Acceso se aplica a todos los interfaces, de modo que la interfaz de red interna está igual de protegida que el resto de interfaces. Siga estos pasos para crear una regla de DNS que permitirá a los usuarios de la red interna acceder al DNS: 1. Pulse el botón Show/Hide Console Tree para ampliar el panel de visualización.
Haga click con el botón derecho sobre el nodo Firewall Policy, seleccione New y pulse en Access Rule.
2. En la página Welcome to the New Access Rule Wizard, introduzca DNS from Internal Network en el cuadro de diálogo Access policy rule name. Pulse Next.
3. Elija Allow en la página Rule Action y pulse Next.4. En la página Protocols, seleccione la opción Selected protocols de la lista
This rule applies to. Pulse el botón Add.5. En el cuadro de diálogo Add Protocols, pulse en la carpeta Infrastructure.
Haga doble click sobre el protocolo DNS y pulse Close en el cuadro de diálogo Add Protocols. Pulse Next en la página Protocols.
6. En la página Access Rule Sources, pulse Add. Seleccione la carpeta Networks
y haga doble click en la red Internal. Pulse Close en el cuadro de diálogo Add Network Entities. Pulse Next en la página Access Rule Sources.
7. En la página Access Rule Destinations, pulse el botón Add. En el diálogo Add Network Entities, marque la carpeta Networks. Haga doble click en la entrada Local Host. Pulse Close en el diálogo Add Network Entities. Pulse Next en la página Access Rule Destinations.
8. Acepte el valor por defecto de All Users en la página User Sets. Pulse Next.9. Pulse Finish en la página Completing the New Access Rule Wizard.10. Pulse Apply para guardar los cambios y actualizar las políticas del firewall. Crear una política HTTP que impide descargas mediante HTTP La política HTTP de ISA Server permite un control muy exhaustivo sobre aquello a que los usuarios pueden acceder mediante el protocolo HTTP. La política HTTP puede utilizarse para impedir a los usuarios el acceso a un sitio cualquiera, cualquier tipo de contenido o cualquier protocolo que pueda tunelizarse dentro de una cabecera HTTP. En el futuro entraremos en los detalles de la política HTTP, pero en este artículo introductorio solamente veremos cómo se puede impedir de forma rápida y sencilla que los usuarios se descarguen archivos ejecutables usando HTTP. Conviene advertir que la política HTTP no puede examinar el interior de archivos .ZIP para saber si hay algún ejecutable de Windows dentro de él. Siga estos pasos para configurar una Política HTTP que impide el acceso a archivos ejecutables de Windows:
1. Haga click con el botón derecho en la Política de Acceso All Open Outbound y pulse en el comando Configure HTTP.
2. En la solapa General del diálogo Configure HTTP policy for rule, marque la casilla de Block responses with Windows executable content. Pulse Apply, y después, OK.
3. Pulse el botón Apply para guardar los cambios y actualizar las políticas de
firewall. Ahora podemos probar la política desde un cliente de la red interna. El cliente de la red interna es un cliente SecureNAT, lo que significa que no es un cliente de Web Proxy o de firewall. El gateway por defecto del cliente está apuntando a la dirección IP interna del firewall ISA Server 2004. El servidor DNS en el cliente también está configurado con la dirección IP interna del firewall ISA Server 2004. Realice estos pasos en el cliente SecureNAT detrás del firewall ISA Server 2004: 1. Abra Internet Explorer y visite un sitio Web. Bien! Se puede acceder a la
página web.
2. Ahora, visite el sitio Web http://www.microsoft.com/downloads/details.aspx?FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9&DisplayLang=en y mueva la barra de desplazamiento hacia el final de la página. Pulse sobre el vínculo isafp1.exe.
3. El firewall ISA Server 2004 bloquea la petición porque se ha configurado la política HTTP para impedir el acceso a archivos ejecutables de Windows.
