Manual ISA Server 2004

7/29/2019 Manual ISA Server 2004

1/101

SERVIDOR ISA SERVER

POR:

DEYSSY ARICAPA ARAQUE

CESAR PINEDA GONZALEZ

ANDRS FELIPE DEOSSA

INSTRUCTOR

FERNANDO QUINTERO

ADMINISTRACION DE REDES DE COMPUTADORES

REGIONAL ANTIOQUIA

SENA

2009

1


2/101

CONTENIDO

1. Licencia

4

2. introduccin

.5

3. justificacin

..6

4. Objetivo

general

.7

5. Objetivos

especficos....................

......7

6. Isa Server

2006.......................

....8

Caractersticas........................................8

7. Tabla comparativa de la ED: Estndar y

Enterprise......................9

8. Soluciones Isa

Server.................................................................................

....10

Hardware........................................................................

..........................10

Software.........................................................................

..........................10

9. Precio de licencia de

software.........................................................................11

2


3/101

10.Requisitos mnimos del

sistema.....................................................................12

11.Instalacin Isa

Server.....................................................................................13

Actualizando nuestro

sistema..................................................................13

12.Poltica por defecto

DROP.............................................................................31

Para tener en

cuenta............................................................................

....31

Dar acceso a Internet a nuestro host

local...............................................31

Generando

reglas.............................................................................

........3213. Escenario a

desarrollar..........................................................................

........45

Recursos.........................................................................

.........................45

Requisitos.......................................................................

.........................45

14.Aceptando ping desde la red LAN hacia el

Firewall.......................................46

3


4/101

Haciendo

pruebas..........................................................................

...........53

15.Accediendo a nuestro servidor SSh desde la redWAN..................................55

Haciendo

pruebas..........................................................................

...........62

15. Accediendo a nuestro servidor de correo desde la red

WAN.........................64

Haciendo

pruebas..........................................................................

............68

16.Accediendo a nuestro servidor Web Mail seguro desde la

red WAN...............70

Para tener en

cuenta..................................................................................73

17.Permitir a los usuarios administradores acceso a

Internet...............................74

18.Configurando Proxy Web en Isa

Server...........................................................83

19.Conclusiones......................................................................

..............................90

4


5/101

LICENCIA

Esta obra est bajo una licenciaReconocimiento-No comercial-Compartir

Bajo la misma licencia 2.5 Colombia de CreativeCommons. Para ver una

Copia de esta licencia, visite

http://creativecommons.org/licenses/by-ncsa/2.5/co/ o envie una carta a Creative Commons,

171 Second Street, Suite300, San Francisco, California 94105, USA.

5


6/101

INTRODUCCION

El siguiente manual estar orientado a la implementacin

de una herramienta bajo licenciamiento privado de

Microsoft, con el fin de proveer seguridad a una red interna

de x o y empresa.

Se contara con la instalacin de la herramienta de Firewall

de Microsoft, la cual adquirimos desde la pagina oficial con

un licenciamiento libre de 180 das, estamos hablando de

ISA Server en su mas nuevas edicin la 2006, por lo tanto sidesea utilizar esta herramienta en entorno de empresa

tendr que pagar un licenciamiento a la compaa de

Microsoft.

Especificaremos los costos de las diferentes clases de

licenciamiento, ediciones del producto y lo que se debe

tener en cuenta al momento de la implementacin del ISA

Server.

6


7/101

JUSTIFICACION

El presente manual se realizo con el fin de tener

documentado el proceso de implementacin de una

herramienta Firewall de Microsoft en un escenario muy

comn, as lograr familiarizarnos con herramientas de un

coste elevado de implementacin y poder reconocer susdesventajas y ventajas ante los dems productos con fines

similares a la de Microsoft y otras compaas en el

mercado.

Para la gran mayora de multinacionales en el mundo el

poseer herramientas que tengan valor econmico en el

mundo de la informtica, representa mayor confiabilidad

para quien la este implementando, en el caso de la

seguridad de los datos, el trabajar con productos

licenciados significara tener mas seguridad en el escenario

donde este corriendo, ya que se tendra mas soporte en

cuanto a posibles problemas de seguridad.

Hay que tener en cuenta que no todo en la vida es gratis y

por ende las soluciones a nuestros problemas no siempre

llegaran desde el camino de lo no licenciado, para ello

debemos estar con capacidad de tomar una buena decisina la hora de escoger un producto e implementarlo en

7


8/101

nuestra red, teniendo en cuenta nuestras necesidades

bsicas.

OBJECTIVO GENERAL:

La implementacin de herramientas de Firewall a nivel de

licenciamiento privado, que cubran las necesidades bsicas

de nuestra red local.

OBJETIVOS ESPECIFICOS:

Permitir conexiones seguras entre la red LAN hacia la

red WAN y viceversa.

Implementar reglas bsicas que permitan la

comunicacin de la red local con la red externa.

Proteger equipos vitales de comunicacin de nuestra

LAN ante amenazas del exterior.

8


9/101

Controlar las conexiones de los usuarios de nuestra

LAN.

Monitorear las peticiones de los usuarios, permitiendo

o denegando las mismas.

Concebir prioridades a los usuarios administradores.

ISA SERVER 2006

Es un Gateway integrado de seguridad perimetral que

contribuye a la proteccin de amenazas procedentes deInternet, y adems ofrece a sus usuarios un acceso remoto

rpido y seguro a sus aplicaciones y datos corporativos.

Internet Acceleration and Security (ISA) Server 2006 se

basa en la anterior versin de ISA Server, as como en la

tecnologa Microsoft Windows Server para ofrecer un

firewall potente, robusto y eficiente, y de gran facilidad de

uso. Hay dos ediciones de ISA Server 2006 disponibles: laEdicin Estndar y la Enterprise.

9


10/101

Caractersticas:

Publicacin segura de aplicaciones

Acceso remoto seguro a las aplicaciones, datos y

documentos desde cualquier ordenador o dispositivo.

Pre-autentica al usuario antes de que tenga acceso a

cualquier servidor, autenticacin avanzada

(smartcards).

Capacidad para generar logs y emisin de reportes, de

esta manera los intrusos son ms fciles de detectar.

Gateway de interconexin para redes locales.

Proteccin del acceso a Internet.

TABLA COMPARATIVA DE LA ED: ESTANDAR Y

ENTERPRISE

Caractersticas ED. Estndar Vd. Enterprise

Redes Sin limitacin Sin limitacin

10


11/101

Escalabilidad Hasta 4 PCUS,

2-GB de RAM

Sin limitacin (la

que determine

el S.O)

EscalabilidadHorizontal

Un solo servidor Hasta 32 nodosmediante NLB

Cache Almacenamient

o de servidor

nico

Sin lmite

(utilizando

CARP)

Soporte NLB No soportado SI (integrado)

Polticas Locales Gestin de Arra

de servidores y

directivas

corporativas

mediante ADAM

Redes de oficinas Importacin y

exportacin

manual de

polticas

Polticas de nivel

corporativo y de

Array de

servidores

Monitorizacin y

alertas

Consola de

monitorizacin

de un nico

servidor

MOM

Consola de

monitorizacin

multiservidor

MOM

Mltiples redes Mediante

plantillas

Mediante

plantillas

11


12/101

Soluciones ISA Server:

Isa Server provee soluciones tanto en hardware como en

software.

Hardware: Integrado en un hardware preconfigurado que

incluye un servidor con una versin reducida de Microsoft

Windows Server y una edicin Isa Server 2006

preinstalados.

PRECIO: Se puede obtener una solucin basada en

hardware a partir de 2.500 USD unos 650000 pesos

colombianos en promedio

Software: Este paquete se adquiere gracias a licencias

que el usuario compra directamente a Microsoft, listo para

su instalacin sobre sus servidores actuales, esta opcin

permitir: Implantar, dar mantenimiento y optimizar la

configuracin e incluso desarrollar cdigo que puede

ejecutarse sobre el mismo servidor ISA Server para

maximizar el beneficio.

12


13/101

PRECIOS DE LICENCIA DE SOFTWARE.

Licencia de

entorno en

produccin

Descripcin Precio

USD

Precio $

ISA Server

2006 Ed.

Estndar

Gateway integrado

para la seguridad

perimetral,

protegiendo contra

amenazas

procedentes de

Internet, permitiendo

acceso remoto deusuario rpida y

segura

1499

USD por

procesad

or

380.000$

por

procesad

or

ISA Server

2006 Ed.Enterprise

Diseado para

grandes

organizaciones que

necesitenimplementacin

flexible, capacidad de

gestin y

escalabilidad.

5.999

USD por

procesad

or

1.500.00

0$ por

procesad

or

ISA Server

2006 Ed.

Este paquete se

ofrece con un

75.000

USD para

19.000.0

00$ para

13


14/101

Enterprise

paquete de 25

procesadores

descuento del 50%

para aquellos clientes

que necesiten Server

en escenarios de

implantacin. Ejemplo

sucursales.

25

procesad

ores

25

procesad

ores

Requisitos mnimos del sistema.

14

Procesador PC con un Pentium III 733 Mhz o superior.

Sistema Operativo Microsoft Server 2003 de 32 bits (SP1) o (SP2).

Memoria 512 megabytes de RAM o mas es recomendado

Disco duro Con formato NTFS local con 150 MB de espacio libre.

Otros Dispositivos Adaptador de red para la comunicacin con la red

interna. Un adaptador de red adicional.

CD-ROM o DVD-ROM.

VGA o monitor de mayor resolucin.


15/101

INSTALACION DE ISA SERVER

Despus de haber repasado un poco de lo que era ISA

Server, sus caractersticas, precios, ediciones, etc.

Procederemos a hacer la respectiva instalacin, para esto

descargaremos la versin de prueba de 180 das desde la

siguiente URL:http://www.microsoft.com/downloadS/details.aspx?

familyid=95AC1610-C232-4644-B828-

C55EEC605D55&displaylang=es

NOTA: Como ya se menciono anteriormente nuestro

Windows Server 2003 debe tener instalado el SP1 o SP2,

respectivamente, si por algn motivo no tenemos

actualizado nuestro sistema, lo primero que debemos hacerantes de proceder a instalar ISA Server es dejar nuestro

equipo con los requerimientos antes mencionados.

Actualizando nuestro Sistema:

Como nuestro sistema no tiene instalado el service pack 2,

procederemos a instalarlo, para poder ejecutar el ISA

Server.

15


16/101

Para esto descargaremos el paquete de SP2 desde la

siguiente URL:

Despus de descargado procederemos a ejecutarlo:

Despus de extraer todos los archivos, nos aparecer el

siguiente cuadro de dialogo:

16


17/101

Aqu nos estn recomendando hacer backup de nuestro

sistema como tal, para mayor seguridad. Le damos

siguiente.

Nos especifican la licencia del producto el cual deberemos

estar de acuerdo para poder proseguir con nuestra

17


18/101

actualizacin del sistema. Despus de aceptar la licencia

damos siguiente.

En este cuadro de dialogo, nos muestra la ruta donde

quedaran guardados los archivos del SP2 despus de

instalados, si queremos lo dejamos por defecto, de lo

contrario le podemos cambiar la ruta y especificarle la que

nosotros queramos.

Damos siguiente terminada la especificacin de la ruta

donde quedaran los archivos de actualizacin del sistema.

18


19/101

Esperamos a que el asistente compruebe la configuracin

actual de nuestro sistema, e instale los archivos nuevos.

Terminada la actualizacin damos clic en finalizar y

esperamos a que se reinicie nuestro equipo para que los

cambios hechos hagan efecto.

19


20/101

Instalacin ISA Server:

Terminada la actualizacin de nuestro sistema, podemos

ahora si proceder a instalar el Servidor ISA Server, para

esto ejecutamos el instalador del ISA Server, descargado

anteriormente desde la pgina oficial de Microsoft.

Si por algn motivo no has descargado el instalador de isa

Server, lo pueden descargar desde la siguiente URL:

http://www.microsoft.com/downloads/details.aspx?

familyid=84504cad-893b-4212-9ab2-

999ad1d8fe68&displaylang=es&Hash=ODLJiWmcFsEXPxvO

dPC1gstrCQweGgVA%2bqFg8aXyeI%2bq

%2b3GRi9Kd5hEBJMX7kN29aJPMWbWP4HwAd%2fB

%2bV06YgQ%3d%3d

Esperamos a que se extraiga todos los archivos del

ejecutable.

20


21/101

Despus de terminado de extraer todos los archivos

necesarios para la instalacin, nos deber aparecer el

siguiente cuadro de dialogo:

21


22/101

Como se puede apreciar, tenemos la posibilidad leer un

poco sobre las caractersticas del producto antes de

instalarlo. Es importante tener en cuenta que la versin queestamos utilizando es una versin de prueba de 180 das.

Damos clic en instalar ISA Server.

Empezaremos por instalar los componentes principales,

despus los componente adicionales y finalmente iniciamosel asistente de administracin del servidor.

22


23/101

En este pantallazo nos da a conocer el producto que vamos

a instalar en nuestro equipo, damos clic en siguiente para

continuar.

Despus de haber ledo y aceptado los trminos de la

licencia damos clic en siguiente para continuar.

23


24/101

En el siguiente cuadro de dialogo nos pedir informacin

bsica del cliente como lo es el respectivo nombre y la

organizacin a la que esta vinculado.

NOTA: Como es un producto de prueba el numero de la

serial ya viene especificado por defecto, de lo contrario ledebemos copiar la que el proveedor nos de a la hora de

adquirir la licencia. Damos clic en siguiente para continuar.

24


25/101

El paso a seguir es escoger el tipo de instalacin, en

nuestro caso ser la tercera opcin, la cual incluira el

servidor administrador y el de almacenamiento de

configuracin.

25


26/101

Como podemos observar, se instalara las caractersticas de

servidor, administrador de ISA Server y servidor de

almacenamiento de configuracin. Tambin

especificaremos la ruta en donde quedaran guardados los

archivos de nuestro ISA Server. En este caso se deja pordefecto, clic en siguiente para continuar.

En el cuadro de dialogo especificamos si deseamos crear

un nuevo servidor de almacenamiento, o si ya tenemos uno

podemos replicarlo y crear una copia.

26


27/101

Antes de continuar, leeremos atentamente la advertencia y

si cumplimos las especificaciones que all nos dice, daremos

clic en siguiente para continuar con la instalacin.

27


28/101

Especificamos ahora la red interna (LAN) la cual va a estar

asociada a una interfaz fsica de nuestro equipo.

NOTA: Como se menciono anteriormente nuestro equipo

debe estar dotado con dos interfaces fsicas, una paraasociar la red interna (LAN) y la otra para asociar la red

externa (WAN).

Damos clic en agregar, para especificar el intervalo de red a

utilizar en nuestra LAN

Como vemos, nos el asistente nos permite, agregar de una

vez el adaptador fsico de nuestra interfaz, o un

direccionamiento privado ya especificado por el asistente, o

por ultimo agregar nosotros manualmente el intervalo de

red a utilizar. Por comodidad decidimos agregar el intervalo

de red manualmente, para esto le damos clic en Agregar

intervalo.

28


29/101

En el siguiente cuadro especificaremos el rango de red de

nuestra LAN, damos clic en aceptar para continuar.

Nos deber quedar as, damos clic en aceptar para

continuar.

NOTA: Podemos agregar cuantos intervalos de red

queramos, de acuerdo a nuestras necesidades.

29


30/101

En este cuadro de dialogo nos permite decidir si queremos

que nuestro firewall utilice cifrado para las conexiones de

nuestros clientes, es opcional el marcar o dejar desmarcado

el cuadrito blanco. Damos clic en siguiente para continuar,

30


31/101

Aqu nos estn advirtiendo los servicios que se reiniciaran y

los que se deshabilitaran durante la instalacin del ISA

Server. Clic en siguiente para continuar.

Listo damos clic en instalar para proceder a tener el

servidor ISA Server corriendo en nuestra maquina.

31


32/101

Esperamos a que se termine de instalar todos los archivos y

componentes adicionales.

32


33/101

Terminada la instalacin podemos proceder a ejecutar el

asistente de administracin de nuestro servidor. Para esto

chuleamos el cuadrito como se muestra en la imagen.

Damos clic en finalizar.

33


34/101

Si todo salio bien nos deber aparecer el asistente de

configuracin como se muestra en el pantallazo.

34


35/101

POLITICA POR DEFECTO DENEGAR (DROP)

PARA TENER EN CUENTA:

Terminada la instalacin de nuestro Firewall, este empezar

a aplicar la regla por defecto establecida en el producto, en

este caso del ISA Server es denegar todo el trafico de red,

por lo que nuestra maquina estar totalmente bloqueada.

DAR ACCESO A INTERNET A NUESTRO HOST LOCAL:

Entendiendo como host local, al equipo donde estar

corriendo nuestro Firewall.

Despus de instalado el Firewall, queremos acceder aInternet desde nuestro host, pero nos aparece el siguiente

error:

35


36/101

Aqu nos dice que el firewall instalado en la maquina, en

este caso el ISA Server, esta bloqueando toda peticin que

se haga desde el host hasta el Proxy (se hace peticin al

Proxy, por motivo de que en la red en la que estamos

montando el laboratorio, tiene configurado un Proxy) por elcual tenemos acceso a Internet, la esta rechazando, esto

se debe a la poltica por defecto que es denegar todo el

trafico de paquetes desde y hacia Internet.

Generando reglas:

Accederemos al asistente de configuracin.

Como podemos ver, la nica regla que se esta aplicando en

nuestro servidor es de denegar todo, procederemos a

generar una nueva regla la cual permitir que el host local

tenga acceso a Internet. Para esto damos clic en tareas y

seguidamente en crear regla de acceso.

36


37/101

En el siguiente cuadro de dialogo nos pedir especificar el

nombre de la nueva regla a crear, la cual la llamaremos:

Permitir salir a Internet a host local.

Damos clic en siguiente para continuar.

37


38/101

Ahora especificaremos la accin a cumplir con dicha regla

la cual ser permitir. Clic en siguiente para continuar.

38


39/101

Seguidamente procederemos a elegir el protocolo que

queremos que nuestro Firewall no filtren y permita la

comunicacin de paquetes. En este caso que es dar acceso

a Internet a nuestro host local le daremos el protocolo http.Para esto damos clic en agregar, nos aparecer algo as:

39


40/101

Estn son algunas carpetas que vienen establecidas por

defecto, las cuales contienen los protocolos mas comunes

en una red de datos. Nos ubicaremos en la carpeta deprotocolos ms comunes y damos clic.

40


41/101

El asistente nos desplegara una lista de protocolos ms

comunes, en la cual elegiremos el protocolo de Internet que

es el http y damos clic en agregar.

Nos deber quedar algo similar a esta imagen. Si es as

damos clic en siguiente para continuar.

41


42/101

En este cuadro de dialogo nos piden especificar el origen de

la comunicacin, o desde donde se originara, para ello

damos clic en Agregar.

42


43/101

Nos aparecer para escoger si es una red en especfico, un

host, una subred. En este caso ser una red (Interfaz de

la WAN), para esto damos clic en la carpeta redes.

Esta carpeta desplegara un listado de redes asociadas al

equipo, como la regla es permitir que nuestro servidor

tenga acceso a Internet, escogeremos la opcin que dice

host local. Y damos clic en aceptar.

43


44/101

Ahora el asistente nos pide especificar el destino a que le

permitiremos que el host local se pueda comunicar, en este

caso es la red WAN o Internet. Para esto damos clic en

agregar.

44


45/101

Nos ubicamos en la carpeta de red, y seleccionamos la red

externa (Internet) como destino, posteriormente damos clic

en agregar. Deber quedar as:

45


46/101


46


47/101

Aqu el asistente nos pide especificar a los usuarios que

permitir dar acceso a Internet.

NOTA: Teniendo en cuanta que el origen va a hacer el host

local, los usuarios que permitiremos salir a Internet son losque estn creados en el host local.


En este cuadro de dialogo nos muestra los detalles de la

nueva regla acabada de crear por nosotros. Damos clic en

finalizar.

47


48/101

Listo, ahora la nueva regla se puede visualizar en la

directiva de Firewall, para poder que se cumpla debemosdar clic en aplicar.

Despus de recargar nuestro Firewall, damos clic enAceptar

48


49/101

Antes de intentar salir a Internet verificamos que nuestra

interfaz WAN este correctamente configurada con la IP

publica que nos provee el proveedor de Internet.

Como podemos ver todos los parmetros estn

correctamente configurados, ahora si procederemos a abrir

nuestro navegador favorito y tratar de navegar, para

verificar que la regla anteriormente creada esta correcta.

49


50/101

Perfecto, ahora ya podemos navegar desde nuestro host

local. Gracias a la regla anteriormente creada.

Empezaremos a configurar nuestro servidor ISA Server

teniendo en cuenta el siguiente escenario:

50


51/101

Escenario a Desarrollar:

Recursos:

Equipo servidor de ISA Server.

Switch

5 servidores en la LAN.

Dos Equipos administradores.

Equipos de la LAN.

Requisitos a cumplir:

Dar acceso desde Internet a nuestros 5 servidores: SSH,Correo, Web mail seguro, Acceso a planta telefnica, Web.

Denegar Acceso de los usuarios comunes de la LAN a: Web,

Correo, Juego Counter Strike, Msn.

Permitir que los dos equipos de administradores accedan a

Internet.

51


52/101

Desarrollando escenario:

NOTA: Cabe acordar que nuestro servidor ISA Server, ya le

hemos configurado la primera regla, que es dejar salir a

Internet nuestro servidor ISA Server, la cual va a aplicar al

equipo host (servidor ISA),

Empezando desde lo bsico:

Empezaremos creando reglas bsicas, las cuales nos van a

ir dando confianza con nuestro servidor ISA Server.

Aceptando Ping desde la red LAN a Firewall.

Abriremos el administrador de servidor ISA Server, nos

ubicaremos en Administrar directivas de Firewall, tareas y

agregar regla de acceso. Nos deber aparecer el siguiente

cuadro de dialogo:

Le daremos un nombre a la nueva regla, la cual ser Ping

desde LAN a HOST (que es el equipo donde estar instaladonuestro ISA Server).

52


53/101

Seguidamente especificaremos la accin que va a cumplirdicha regla, como0 queremos que los equipos de la LAN

puedan dar ping a nuestro ISA Server, la accin es permitir.

Clic en siguiente.

53


54/101

En la opcin agregar especificaremos el protocolo que

queremos permitir en dicha regla en nuestro caso ser el

de ping:

54


55/101

Despus de seleccionarlo y agregarlo nos deber aparecer

el siguiente cuadro de dialogo:


55


56/101

Daremos clic en agregar para escoger desde que red se

generara la peticin ping.

Ahora especificamos el origen del paquete ping, en este

caso ser desde la propia LAN, por lo que escogeremos la

opcin de red interna, damos clic en Agregar y cerrar, por lo

que quedara como se muestra a continuacin:

56


57/101

Daremos clic en siguiente para continuar.

El cuadro de dialogo nos pedir que especifiquemos el

destino que tendr nuestra peticin ping, para ello daremosclic en agregar.

57


58/101

Escogeremos que el destino sea nuestra maquina host local

(servidor ISA Server), Agregar y cerrar.

Clic en siguiente para continuar.

58


59/101

Especificamos a que todos los usuarios se le cumplan la

regla. Clic en siguiente.

Pantallazo

Como se puede observar, nos muestra las caractersticas

con la que se genero la nueva regla en nuestro ISA Server,

daremos clic en finalizar para terminar con la creacin de la

regla.

Ahora daremos clic en Aplicar y Aceptar.

HACIENDO PRUEBAS.Nos ubicaremos en un equipo de la LAN, y trataremos de

dar ping a nuestro servidor ISA Server, el resultado deber

ser satisfactorio.

Verificamos que el equipo tenga una IP en el rango de la

LAN.

59


60/101

NOTA: El usuario esta implementando un sistema operativo

Ubuntu.

Bien, esta en el rango de la LAN del servidor ISA Server.

Ahora procederemos a ejecutar el comando ping.

A la interfaz de la LAN del servidor ISA Server.

A la interfaz WAN de nuestro servidor ISA Server.

60


61/101

Si los resultados fueron similares a los anteriores, entoncesdamos como conclusin que la regla creada para este fin

esta funcionando correctamente.

ACCEDIENDO A NUESTRO SERVIDOR SSH DESDE LA

RED WAN.

Como uno de los requisitos del escenario es permitir el

acceso desde la WAN al servidor SSH que tenemos

corriendo en un equipo dentro de la red LAN, procederemos

a crear una regla en ISA Server para poder cumplir con este

punto.

Desde la directiva de firewall crearemos una nueva regla de

acceso.

Nos ubicaremos en tareas, y publicar protocolos de servidor

no Web. Nos aparecer el siguiente cuadro de dialogo.

61


62/101

Especificaremos el nombre con el que vamos a llamar a la

nueva regla. Damos clic en siguiente.

NOTA: Se escoge la opcin de publicar servidor no Web, yaque lo que se busca es redireccionar desde el Firewall la

conexiones que vengan desde la red WAN hacia un equipo

local de la red.

62


63/101

En este cuadro de dialogo, especificaremos la direccin IP

que tendr nuestro equipo de la red LAN, el cual ser la IP

del servidor SSH. Clic en siguiente.

63


64/101

Ahora seleccionaremos el puerto que vamos a

redireccionar, como el puerto del SSH no esta especificado

en la lista de protocolos, nos tocara asignar uno nuevo por

la opcin nuevo.

Especificamos el nombre del nuevo protocolo, el cual lo

llamaremos open ssh. Clic en siguiente.

64


65/101

Ahora daremos clic en nueva para definir el puerto y tipo

de protocolo a utilizar.

En direccin es entrada por que todos los paquetes vendrn

desde la WAN hacia la red LAN, y pel puerto que

especificaremos ser 22. Clic en aceptar para continuar

65


66/101

Ahora daremos clic en siguiente.

Daremos clic en siguiente, especificando que no deseamos

aceptar conexiones secundarias en nuestro servidor SSH.

66


67/101

Finalizado la creacin de nuestro protocolo SSH, nos

muestra las caractersticas con la que quedo nuestro

protocolo en el ISA Server. Clic en finalizar.

Daremos en siguiente para continuar nuestra configuracin.

67


68/101

Ahora especificaremos desde donde se generara las

peticiones SSH, las cuales vendrn desde la red WAN. Clic

en siguiente para continuar.

68


69/101

Terminada la regla, damos clic en finalizar.

HACIENDO PRUEBAS:

Terminada la creacin de la regla, desde un equipo de la

red WAN, trataremos de acceder al servidor SSH de la red

LAN, con la herramienta putty.

Como podemos observar, al equipo que realmente estamos

accediendo desde Internet, no es al servidor SSH

directamente, ya que el SSH esta corriendo en la red LAN, o

sea en una red privada, lo que significa que desde la redWAN esta red no es alcansable, por lo que nos deberemos

conectar al firewall, y este se encargara de

redireccionarnos al servidor SSH, que fue la regla que

anteriormente creamos.

69


70/101

Despus de conectarnos remotamente, el servidor SSH nos

pedir que nos loguemos, con un usuario y contrasea quedeber existir en el equipo donde esta corriendo nuestro

servidor SSH.

70


71/101

Si el usuario y contrasea son correctos, nos deber dejar

acceder a la maquina remota, como lo podemos observar

en el pantallazo anterior.

ACCEDIENDO A NUESTRO SERVIDOR DE CORREODESDE LA RED WAN.

Ahora permitiremos que desde la red WAN se pueda

acceder a nuestro servidor de correo, que esta ubicado en

el interior de nuestra LAN.

Para ello crearemos una nueva regla en nuestro firewall.

Nos ubicaremos en directivas de firewall, tareas y damos

clic en y publicar protocolos de servidor de correo. Nos

deber aparecer el siguiente cuadro de dialogo:

En el cual nos pedir el nombre de la nueva regla que se

regir desde nuestro firewall. Como es de permitirconexiones desde el exterior hasta nuestro servidor de

71


72/101

correo en el interior de la LAN, le dimos el nombre de

acceso servidor.


Ahora nos pedir el tipo de acceso a nuestro servidor de

correo. Escogeremos la primera opcin si lo que queremos

es que sean clientes que tengan acceso a nuestro servidor,

pero si lo que queremos es una comunicacin de servidor a

servidor, escogeremos la segunda opcin. En nuestro caso

ser la primera y daremos clic en siguiente para continuar.

72


73/101

Ahora seleccionaremos el servicio que publicaremos,

escogeremos el de SMTP, ya que lo que publicaremos ser

un servidor de correo, daremos clic en siguiente para

continuar.

73


74/101

Ahora nos pedir especificar la IP con la que estar

configurado nuestro servidor de correo, recordemos que el

servidor esta dentro de la LAN lo que esta en el rango de IP

privado de nuestra corporacin.

74


75/101

Ahora especificamos las redes que estarn permitidas a

realizar peticiones a nuestro servidor de correo, como es

desde la red WAN que queremos que tengan accesoescogeremos la red externa y daremos clic en siguiente.

Listo, daremos clic en finalizar, aplicare y aceptar.

HACIENDO PRUEBAS:

Terminado de publicar nuestro servidor de correo,

procederemos a hacer la respectiva prueba, desde una

maquina de la red WAN, accederemos por telnet al puerto

25 de la maquina donde esta nuestro servidor de correo.

75


76/101

Como podemos observar, haremos un telnet a nuestro

servidor de correo, que esta Escuchando por el puerto 25.

Podemos observar que estamos conectndonos, esperamos

a que se termine de conectar con nuestro servidor.

76


77/101

Terminada la conexin, podemos observar que nuestro

servidor de correo es un postfix, y esta corriendo en una

maquina ubuntu. Si nos aparece como se puede ver en el

recuadro anterior es por que todo esta correcto.

ACCEDIENDO A NUESTRO SERVIDOR WEB MAIL

SEGURO DESDE LA RED WAN

Ahora necesitamos que desde la red WAN accedan a

nuestro Web mail seguro, para lograr esta hazaa,

procederemos a crear una nueva regla de acceso, para esto

nos ubicaremos en directivas de firewall, tareas y publicar

servidor de correo.

77


78/101

Como siempre al momento de crear una nueva regla ennuestro firewall, nos pedir que la nombremos, esta la

llamaremos acceso a webmail seguro, ya que la

comunicacin se har de manera cifrada. Clic en siguiente.

78


79/101

Ahora seleccionaremos el tipo de acceso que permitiremos,

el cual ser acceso de clientes, como el anterior y clic en

siguiente.

79


80/101

Ahora seleccionaremos el servicio a publicar el cual ser el

SMTP de manera segura, ya que ser el webmail seguro.

Clic en siguiente.

80


81/101

Especificaremos la IP de nuestro servidor de webmail

seguro, el cual estar en el rango de la IP privada, clic en

siguiente.

Ahora especificamos la red que tendr acceso a nuestro

Web mail seguro la cual ser la externa, clic en siguiente.

81


82/101

Daremos clic en finalizar para culminar con la creacin de

nuestra nueva regla de acceso, posteriormente daremos

clic en aplicar y aceptar.

PARA TENER EN CUENTA:

Como se planteo en el ejercicio, debemos dar acceso a

unos cuantos servicios de nuestra LAN desde Internet, pero

seria muy canson, estar repitiendo el mismo procedimiento

para cada uno de ellos, lo cual se deduce que con los 3

ejemplos que se dieron anteriormente, se puede decir que

se aclaro el como generar reglas de acceso para los

servicios.

Los que quedaron por explicar en este documento, se

desarrollan similarmente a los desarrollados anteriormente,

con la nica diferencia que se le cambia el nombre de la

regla, el protocolo y el puerto por donde estar escuchando

dicho servicio.

Para bloquear las aplicaciones mencionadas en el ejercicio,

es si no dejar el servidor ISA Server como lo tenemos, sin

crear ninguna regla de permisos, ya que por defecto vienedenegando todas las peticiones que se hagan desde la LAN

82


83/101

hacia el exterior, por lo que no necesitaremos preocuparnos

por bloquear los servicios que all nos mencionan que

bloqueemos, a medida que vayamos necesitando que los

usuarios se comuniquen por un servicio en especifico,

vamos creando las respectivas reglas para que no hayanningn tipo de inconvenientes, por lo que nos quedara

faltando crear la regla para que los administradores tengan

acceso a Internet.

PERMITIR A LOS ADMINISTRADORES ACCESO A

INTERNET DESDE LA RED LAN

Culminada la creacin de las reglas para los usuarios de la

red WAN y la red LAN, continuaremos desarrollando los

requisitos del ejercicio planteado al principio de este

artculo, el cual nos menciona permitir que los dos usuarios

administradores tengan acceso a Internet desde la red

LAN.

Nos ubicamos en directivas de firewall, posteriormente

elegimos la opcin tareas, y crear nueva regla de acceso.

83


84/101

En el cuadro de dialogo que nos aparece, especificaremos

el nombre que queremos ponerle a nuestra regla. Clic en

siguiente para continuar.

Ahora especificamos la accin que el firewall va a ejecutar

para dicha regla, la cual ser permitir, clic en siguiente para

continuar.

84


85/101

Ahora nos pregunta que protocolos vamos a permitir en

esta regla, seleccionamos agregar y siguiente.

Nos deber aparecer el siguiente cuadro de dialogo, en el

cual seleccionaremos el o los protocolos para la regla que

estamos creando. Nos ubicamos en la carpeta que

85


86/101

corresponda al protocolo que estamos buscando y la

desplegamos.

Al seleccionar la carpeta se despliega los protocolos que

estn relacionados con la misma, como esta es una regla

para acceso a la Web, escogeremos los protocolos

correspondientes, los cuales son DNS y http.

Posteriormente daremos clic en Agregar.

86


87/101

Ahora ya nos aparece los protocolos que se cumplirn en

dicha regla, daremos clic en siguiente para continuar.

NOTA: Hubisemos podido especificar todo el trfico

saliente, pero nos referimos al punto del ejercicio para

desarrollar dicha regla, aunque la regla aplicara a usuariosadministradores.

87


88/101

Ahora escogeremos el origen de la peticin, damos clic en

agregar para continuar.

Nuevamente nos ubicaremos en la carpeta la cual contenga

el origen de la comunicacin, en este caso sern los dos

equipos administradores, los cuales sern en la carpetaequipos, la desplegamos y nos aparecern los equipos de

nuestra LAN.

88


89/101

Como podemos ver, estn los equipos de la LAN,

escogeremos a los equipos de los administradores.

Posteriormente le damos clic en Agregar.

NOTA; Los equipos se deben agregar manualmente,dndole clic en nuevo, equipo, y especificamos la IP del

equipo y el nombre.

Ya agregamos los equipos administradores, desde donde se

generaran las peticiones Web, damos clic en siguiente para

continuar.

89


90/101

Ahora especificamos hacia donde estar orientado el trafico

de los dos administradores de la LAN, el cual los

agregaremos dando clic en el icono Agregar.

90


91/101

Nuevamente ubicamos la carpeta que contenga el destino

que estemos buscando y la desplegaremos desde el icono

+.

Nos aparecen posibles destinos, el cual agregaremos la redexterna, ya que es la red de Internet, damos clic en

Agregar.

91


92/101

Listo quedo ya especificado el destino al que tendrn

acceso nuestros administradores, daremos clic en siguiente

para continuar.

92


93/101

Ahora especificamos a que usuarios aplicara dicha regla,

como es el equipo administrador nos podamos imaginar

fcilmente que el nico que tendr acceso a la maquina es

el respectivo administrador, lo cual podra ingresar desde

cualquier usuario de ese equipo, por eso dejamos la opcinque el ISA Server nos arroja por defecto. Y damos clic en

siguiente.

Ahora daremos clic en finalizar, para culminar de crear

nuestra nueva regla. Posteriormente clic en Aplicar y

Aceptar para que nuestro servidor Firewall coja los cambios

y cargue nuestra nueva regla.

93


94/101

CONFIGURANDO PROXY WEB EN ISA SERVER

Ahora empezaremos a configurar un servidor Proxy Web

con el fin de ahorrar recursos de ancho de banda con

respecto a peticiones http y por supuesto a filtrar paquetes

de acuerdo a sus extensiones y las urls. Para ello nos

ubicaremos en nuestro admn. De ISA Server y en la opcin

cache nos deber aparecer algo similar a lo siguiente:

Aqu nos muestra el nombre de nuestra particin en disco,

su espacio total, para poder asignar un tamao para la

cache daremos clic derecho la opcin propiedades:

94


95/101

Como podemos observar el espacio que se le asigno a la

cache fue de 100 MB y estar guardada en la unidad C: de

nuestro disco. Daremos clic en aceptar para continuar.

Ahora en red, seleccionamos la red interna, clic derecho y

propiedades.

95


96/101

En la opcin Proxy Web le configuraremos el puerto por

donde los usuarios se van a conectar al Proxy, el cual ser

por donde estar corriendo dicho servicio en nuestro caso

ser el puerto 3128. Aplicar aceptar.

Ahora nos ubicamos en la matriz de nuestro servidor, en la

regla que le esta permitiendo dar salida a todos nuestros

usuarios de la red al exterior, daremos clic derecho

escogeremos la opcin configurar http y nos deber

aparecer el siguiente cuadro de dialogo:

Ahora nos ubicaremos en la pestaa extensiones,

seleccionamos la opcin de denegar extensiones, si lo que

queremos es denegar las extensiones que se mencionaran

en este cuadro, de lo contrario la opcin que mas le sea de

utilidad.

Damos clic en agregar y nos debe aparecer el siguiente

cuadro de dialogo:

96


97/101

Escribiremos las extensiones que queremos que nuestro

Proxy filtre a los usuarios, daremos clic en aceptar. Nos

deber quedar algo similar a lo siguiente:

Ya teniendo definidas las extensiones a filtrar daremos clic

en aplicar y aceptar.

97


98/101

Ahora especificaremos las url que queremos que filtre

nuestro Proxy, para ello nos ubicamos donde nos menciona

el recuadro y damos clic en agregar.

Escribiremos el nombre que le queremos poner al conjunto

de reglas y posteriormente las url a denegar. Ahoradaremos clic en aplicar y aceptar,

98


99/101

Como en nuestra red hay un Proxy padre, configuraremos a

nuestro Proxy para que se redireccione y pueda reenviar las

peticiones al Proxy global de nuestra compaa, como nos

muestra la imagen anterior nos ubicamos en esa ruta ydaremos clic derecho propiedades.

99


100/101

Daremos clic en la pestaa accin y escogeremos la que

menciones redirigindolas a un servidor. Y

configuracin:

Ahora especificamos la IP del Proxy padre, el puerto pordonde escucha y aceptar. Para hacer las respectivas

100


101/101

pruebas, desde un equipo de nuestra LAN, configuraremos

en el navegador por la opcin herramientas, opciones de

Internet, avanzado, red, servidor Proxy, y daremos la IP de

nuestra maquina que esta sirviendo como Proxy, con el

puerto por donde el servicio este escuchando.

CONCLUCIONES

Se nos facilito el uso de la herramienta por ser entorno

grafico la configuracin.

Buena documentacin pese a estar en ingles la gran

mayora de esta.

Se cont con los recursos necesarios para montar y

Documents

Manual ISA Server 2004