Configuracin de un Firewall utilizando Microsoft Internet Security and Acceleration Server 20001. Objetivos1.1.- Objetivos Generales Configurar un servidor para que funcione como firewall, proxy y cach de Internet. 1.1.- Objetivos Especficos Configurar un Firewall con tres tarjetas de red que conecte a una red interna, una red perimetral y una red externa. Dar acceso a los clientes de la red interna hacia una red externa, que puede ser Internet, garantizando la seguridad interna durante la comunicacin. Configurar un servidor de cach que permita acelerar el tiempo de respuesta para las peticiones ms frecuentes y ahorrar ancho de banda en la conexin a Internet.

2. Fundamento TericoInformacin general del servidor ISA Microsoft Internet Security and Acceleration Server proporciona un servidor de seguridad de empresa multicapa y ampliable, y un servidor de cach de Web escalable y de alto rendimiento.

Actualmente se est produciendo una gran actividad empresarial en Internet. Una gran cantidad de redes corporativas estn conectadas a Internet y ahora, ms que nunca, es necesario disponer de una puerta de enlace a Internet eficaz y fcil de administrar que proporcione una conexin segura y, a la vez, un mejor rendimiento de la red. Microsoft Internet Security and Acceleration (ISA) Server satisface estas necesidades gracias a su solucin completa de conectividad a Internet que contiene un servidor de seguridad empresarial y una solucin completa de cach Web. Estos servicios son complementarios: al instalar el servidor ISA en la red, puede utilizar slo una de estas funciones o ambas a la vez. El servidor ISA protege su red, lo que le permite implementar la directiva de seguridad de su empresa configurando un amplio conjunto de reglas que especifiquen qu sitios, protocolos y contenido puede pasar a travs del equipo del servidor ISA. El servidor ISA supervisa las peticiones y respuestas que se emiten entre Internet y los equipos clientes internos, controlando quin puede obtener acceso a cada uno de los equipos de

la red corporativa. El servidor ISA tambin controla qu equipos de Internet pueden estar a disposicin de los clientes internos. Informacin general sobre el servidor de seguridad y la seguridad ISA Server se puede instalar como un servidor de seguridad dedicado que acta como puerta de enlace segura a Internet para clientes internos. El servidor ISA protege todas las comunicaciones entre equipos internos e Internet. En un entorno con un servidor de seguridad simple, el equipo del servidor ISA cuenta con dos tarjetas de interfaz de red, una conectada a la red local y la otra conectada a Internet. Esta ilustracin muestra dicho entorno. Puede utilizar Microsoft Internet and Security (ISA) Server para configurar el servidor de seguridad, configurando directivas y creando reglas para implementar las directrices de la empresa. Al establecer las directivas de acceso de seguridad, evitar el acceso no autorizado y que entre en la red contenido no vlido. Asimismo, puede restringir el trfico permitido para cada grupo y usuario, aplicacin, destino, tipo de contenido y programacin. El servidor ISA incluye las funciones siguientes de seguridad y del servidor de seguridad: Directiva de acceso saliente. Puede utilizar el servidor ISA para configurar reglas de sitio y contenido que controlen cmo obtienen acceso a Internet los clientes internos. Las reglas de sitio y contenido especifican los sitios y el contenido a los que se puede obtener acceso. Las reglas de protocolo indican si un protocolo determinado se encuentra accesible para la comunicacin entrante y saliente. Deteccin de intrusiones. Los mecanismos de deteccin de intrusiones integrados pueden alertarle cuando se inicia un ataque especfico contra la red. Por ejemplo, puede configurar el servidor ISA para alertarle si se detecta un intento de explorar un puerto. Asistente para la seguridad. El Asistente para la seguridad del servidor ISA permite establecer el nivel de seguridad del sistema adecuado, segn el funcionamiento del servidor ISA en la red.

Integracin de SistemasESPOCH Escuela de Ingeniera de Sistemas 4 Filtros de aplicacin. El servidor ISA controla el trfico especfico de aplicaciones con filtros que reconocen datos. El servidor ISA utiliza filtros para determinar si los paquetes deben aceptarse, rechazarse, redirigirse o modificarse. Autenticacin. El servidor ISA admite los mtodos de autenticacin de usuarios siguientes: Autenticacin de Windows integrada, certificados de clientes, autenticacin implcita y autenticacin bsica. Informacin general de la cach El servidor Microsoft Internet Security and Acceleration (ISA) Server implementa una cach para los objetos solicitados con ms frecuencia con el fin de mejorar el rendimiento de la red. El servidor ISA puede utilizarse para permitir la comunicacin entre la red local e Internet. En esta comunicacin, puede tratarse de clientes internos que obtienen acceso a servidores de Internet. En ese caso, el servidor ISA implementa el almacenamiento en cach de reenvo. Tambin puede tratarse de clientes externos que obtienen acceso a

servidores de publicacin internos. En ese caso, el servidor ISA implementa las caractersticas de almacenamiento en cach inversa. Almacenamiento en cach de reenvo

El servidor ISA puede desplegarse como servidor de almacenamiento en cach de reenvo para proporcionar el acceso a Internet a los clientes internos. El servidor ISA dispone de una cach centralizada con los objetos de Internet solicitados con mayor frecuencia a los que se puede obtener acceso mediante un cliente de explorador de Web. Los objetos procedentes de la cach de disco requieren un proceso sensiblemente menos costoso que los objetos procedentes de Internet. De este modo, se mejora el rendimiento del explorador cliente, se disminuye el tiempo de respuesta del usuario y se reduce el consumo de ancho de banda de la conexin de Internet. La ilustracin muestra la respuesta del servidor ISA cuando un usuario solicita un objeto. La ilustracin muestra cmo sacan partido los usuarios del almacenamiento de los objetos en cach del servidor ISA. Si bien la ilustracin slo muestra un entorno de almacenamiento en cach de reenvo (clientes internos que obtienen acceso a Internet), el proceso es idntico para la cach inversa, cuando los usuarios de Internet obtienen acceso a un servidor Web de la empresa. La ilustracin muestra los pasos siguientes: 1. El primer usuario (Cliente 1) solicita un objeto Web. 2. El servidor ISA comprueba si el objeto se encuentra en la cach. Al no encontrarse el objeto en la cach del servidor ISA, ste solicita el objeto desde el servidor de Internet. 3. El servidor de Internet devuelve el objeto al servidor ISA. 4. El servidor ISA guarda una copia del objeto en la cach y devuelve el objeto al cliente 1. 5. El cliente 2 solicita el mismo objeto. 6. El servidor ISA devuelve el objeto desde la cach, evitando as la operacin de obtenerlo desde Internet. Almacenamiento en cach inverso. El servidor ISA puede desplegarse delante de un servidor Web de la organizacin que acte como host para un negocio Web o que proporcione acceso a los asociados de negocios. Con las peticiones de Web entrantes, el servidor ISA puede actuar como un servidor Web en el exterior, atendiendo las peticiones de contenido de Web formuladas por los clientes desde la cach. El servidor ISA reenva las peticiones al servidor Web slo cuando no se pueden procesar desde la cach. Informacin general sobre la arquitectura El ISA Server funciona a varios niveles de comunicacin a fin de proteger la red

corporativa. En el nivel de paquetes, el servidor ISA implementa el filtrado de paquetes. Si se permite el paso de los datos a travs del nivel de filtrado de paquetes, los datos se envan a los servicios proxy Web y del servidor de seguridad, en los que se aplican las reglas del servidor ISA para determinar si puede procesarse la peticin. Como se muestra en la ilustracin, el servidor ISA protege a tres tipos de clientes: Clientes del servidor de seguridad, clientes de SecureNAT y clientes proxy Web.

Los clientes del servidor de seguridad son equipos con el software de cliente del servidor de seguridad instalado y habilitado. Las peticiones de los clientes del servidor de seguridad se envan al servicio del servidor de seguridad del equipo del servidor ISA a fin de determinar si se permite el acceso. Posteriormente, es posible procesarlos mediante los filtros de aplicacin u otros complementos. Si el cliente del servidor de seguridad solicita un objeto HTTP, el redirector HTTP redirige la peticin al servicio proxy Web. El servicio proxy Web tambin puede almacenar el objeto solicitado en la cach o procesarlo desde la cach del servidor ISA. Los clientes de SecureNAT (conversin de direcciones de red seguras) son equipos que no tienen instalado el software de cliente del servidor de seguridad. Las peticiones de los clientes de SecureNAT se envan primero al controlador NAT (conversin de direcciones de red), que sustituye una direccin IP (protocolo Internet) global vlida en Internet para la direccin IP interna del cliente de SecureNAT. La peticin del cliente se enva al servicio del servidor de seguridad a fin de determinar si se permite el acceso. Finalmente, se puede procesar la peticin mediante los filtros de aplicacin u otras extensiones. Si el cliente de SecureNAT solicita un objeto HTTP, el redirector HTTP redirige la peticin al servicio proxy Web. El servicio proxy Web tambin puede almacenar el objeto solicitado en la cach o enviarlo desde la cach del servidor ISA. Los clientes proxy Web son todas las aplicaciones Web compatibles con CERN. Las peticiones de los clientes proxy Web se envan al servicio proxy Web del equipo del servidor ISA a fin de determinar si se permite el acceso. El servicio proxy Web tambin puede almacenar el objeto solicitado en la cach o procesarlo desde la cach del servidor ISA.

Conceptos Bsicos de Seguridad en ISA Server Conjuntos de Destinos Un destino es un nombre de equipo, una direccin IP (protocolo Internet) o un intervalo de direcciones IP y pueden incluir una ruta. Los conjuntos de destinos incluyen uno o ms equipos o carpetas en equipos especficos. Las reglas se pueden aplicar a todos los conjuntos de destinos, a todos los equipos salvo, los conjuntos de destinos especificados, o a un conjunto de destinos especficos. Las reglas se pueden aplicar a conjuntos de destinos internos y a conjuntos de destinos externos. Los conjuntos de destinos internos son grupos de equipos en la red local. Los conjuntos de destinos externos se componen de equipos de fuera de la red local. Las reglas siguientes pueden especificar conjuntos de destinos: Reglas de sitio y contenido. Reglas de ancho de banda. Reglas de publicacin en Web. Reglas de enrutamiento. Para las reglas de sitio y contenido y las reglas de ancho de banda, los conjuntos de destinos normalmente se componen de equipos que no se encuentran en la red interna. Para las reglas de publicacin en Web, los conjuntos de destinos normalmente se componen de equipos de la red interna. Para las reglas de enrutamiento, los conjuntos de destinos se componen de equipos externos (en Internet) para reglas que enrutan peticiones de Web salientes. Las reglas de enrutamiento que enrutan peticiones de Web entrantes se componen de equipos internos Grupos de contenido Los grupos de contenido especifican tipos de MIME (extensiones multipropsito de correo Internet) y extensiones de nombres de archivos. Al crear una regla de sitio y contenido o de ancho de banda, puede limitar la aplicacin de la regla a grupos de contenido especficos. De este modo podr configurar con mayor precisin las directivas de seguridad, dado que puede limitar el acceso no slo a un destino en particular, sino tambin a un contenido determinado. Los grupos de contenido se aplican slo al trafico de HTTP y de FTP enviado por tnel, el cual se transfiere por medio del servicio proxy Web. Reglas de protocolo Las reglas de protocolo determinan qu protocolos pueden utilizar los clientes para obtener acceso a Internet. Puede definir reglas de protocolo que admitan o denieguen la utilizacin de una o varias definiciones de protocolo. Reglas de sitio y contenido El acceso a Internet puede concederse o denegarse mediante la creacin de reglas de sitio y contenido. Las reglas de sitio y contenido determinan si los usuarios o conjuntos de direcciones de clientes tienen acceso al contenido de determinados conjuntos de destinos y cundo. Cuando un cliente solicita un objeto, ISA Server comprueba las reglas de sitio y contenido. Si una regla de sitio y contenido deniega explcitamente la peticin, se deniega el acceso. Asimismo, la peticin slo se atender si hay una regla de sitio y contenido definida que, de forma explcita, permita al cliente tener acceso al contenido solicitado y si dicho cliente est autorizado a establecer la comunicacin mediante el protocolo especificado. Reglas de publicacin en Web

ISA Server utiliza reglas de publicacin en Web para aligerar el trfico asociado al contenido de publicacin en Web para Internet sin que ello afecte a la seguridad de la red interna. Las reglas de publicacin en Web determinan la intercepcin por parte del servidor ISA de las peticiones entrantes para los objetos HTTP (protocolo de transferencia de hipertexto) en un servidor de Web interno, y la respuesta del servidor ISA en representacin del servidor de Web. Las peticiones se reenvan en direccin descendente al servidor interno, que se ubica detrs del equipo del servidor ISA. Si es posible, la peticin se atiende desde la cach del servidor ISA. Filtrado de paquetes La funcin de filtrado de paquetes de ISA Server le permite controlar el flujo de los paquetes IP (protocolo Internet) a y desde un servidor ISA. Al habilitar el filtrado de paquetes, todos los paquetes de la interfaz externa se eliminan a no ser que estn expresamente permitidos, bien de forma esttica por filtros de paquetes IP o dinmicamente, mediante una directiva de acceso o mediante reglas de publicacin. Filtros de paquetes IP Con los filtros de paquetes IP (protocolo Internet), puede interceptar y admitir o bloquear paquetes destinados a equipos especficos de la red corporativa. Puede configurar dos tipos de filtros de paquetes IP estticos: filtros de permiso y filtros de bloqueo. Los filtros de permiso son filtros de excepcin: se bloquean todos los tipos de paquetes salvo los especificados. Si no tiene activado ningn filtro de paquetes para un puerto especfico, el servicio slo podr escuchar en ese puerto si este puerto se abre de forma dinmica. Los filtros de bloqueo cierran los puertos especificados. Puede crear y configurar filtros de bloqueo para definir posteriormente el trfico autorizado a transferirse por medio del equipo de ISA Server. Por ejemplo, puede crear un filtro de permiso que permita el trfico TCP (protocolo de control de transporte) del puerto 25 entre todos los

Integracin de SistemasESPOCH Escuela de Ingeniera de Sistemas 9 hosts internos y externos; es decir, se activar la comunicacin de SMTP (protocolo simple de transferencia de correo). A continuacin, puede limitar el acceso creando un filtro de bloqueo que impida a un conjunto de hosts externos (intrusos potenciales) enviar paquetes TCP al puerto 25 del equipo del servidor ISA. Seguridad de Internet El servidor ISA combina varios mecanismos de seguridad para aplicar las directivas de seguridad en todos los niveles de la red: una regulacin flexible para las peticiones entrantes y salientes, intrusiones y alertas, filtros de aplicacin y opciones de configuracin de la seguridad del sistema. Controlar peticiones salientes Una de las funciones principales del ISA Server es la capacidad para conectar la red local a Internet protegindola al mismo tiempo del contenido no deseado. Para facilitar esta conectividad, se puede utilizar el servidor ISA para crear una directiva de acceso que permita el acceso de los clientes internos a hosts especficos de Internet. La directiva de acceso, junto con las reglas de enrutamiento, determina cmo obtienen acceso los clientes a Internet. Cuando el servidor ISA procesa una peticin saliente, se comprueban las reglas de

enrutamiento, las reglas de sitio y contenido y las reglas de protocolo para determinar si est permitido el acceso. Una peticin est permitida si tambin la admiten la regla de protocolo y la regla de sitio y contenido y si no existe ninguna regla que deniegue de forma explcita la peticin. Pueden configurarse algunas reglas para aplicarlas a clientes especficos. En ese caso, los clientes se pueden especificar por direccin IP o por nombre de usuario. El servidor ISA procesa las peticiones de forma distinta, en funcin del tipo de cliente que solicita el objeto y de la configuracin del servidor ISA. Para las peticiones de Web salientes, las reglas se procesan en el orden siguiente: 1. Reglas de protocolo 2. Reglas de sitio y contenido 3. Filtros de paquetes IP 4. Reglas de enrutamiento o configuracin de encadenamiento de servidores de seguridad La ilustracin muestra el flujo de procesamiento para las peticiones de Web salientes.

En primer lugar, el servidor ISA comprueba las reglas de protocolo. El servidor ISA admite la peticin solamente si una regla de protocolo la permite especficamente y si no la rechaza ninguna regla de protocolo. A continuacin, el servidor ISA comprueba las reglas de sitio y contenido. El servidor ISA admite la peticin solamente si una regla de sitio y contenido la permite especficamente y si no la rechaza ninguna regla de sitio y contenido. El servidor ISA comprueba si se ha configurado un filtro de paquetes IP para bloquear la peticin especficamente, a fin de determinar si la peticin debe rechazarse. Finalmente, el servidor ISA comprueba las reglas de enrutamiento (si ha solicitado el objeto un cliente proxy Web) o la configuracin de encadenamiento del servidor de seguridad (si ha solicitado el objeto un cliente del servidor de seguridad) para determinar si debe atenderse la peticin. En el siguiente ejemplo se presenta la configuracin de las reglas de directiva que permitan el acceso de todos los usuarios de la red interna a todos los sitios y a toda hora. Una regla de protocolo que permita a todos los clientes internos utilizar todos los

protocolos a todas horas. Una regla de sitio y contenido que permita a todos los usuarios el acceso al contenido de todos los sitios a todas horas. Tenga en cuenta que esta regla permitir el acceso de los clientes internos a Internet sin que los clientes externos tengan acceso a la red local.

Integracin de SistemasESPOCH Escuela de Ingeniera de Sistemas 11 Controlar peticiones entrantes ISA Server tambin puede permitir, de forma segura, el acceso a los servidores internos para los clientes externos. El servidor ISA puede crear una directiva de publicacin para publicar los servidores internos de forma segura. La directiva de publicacin, compuesta por filtros de paquetes IP, las reglas de publicacin en Web y las reglas de publicacin de servidor, determinan junto con las reglas de enrutamiento cmo se publican los servidores internos. Puede utilizarse una de las reglas siguientes del servidor ISA para la publicacin de servidores: Reglas de publicacin en Web para publicar el contenido de servidores Web. Reglas de publicacin de servidor para publicar el contenido del resto de servidores ubicados en la red interna. Filtros de paquetes IP para publicar el contenido de los servidores de la red perimetral (tambin conocido como DMZ, zona desmilitarizada y subred en pantalla). Cuando un servidor ISA procesa una peticin de un cliente externo, comprueba los filtros de paquetes IP, las reglas de publicacin y las reglas de enrutamiento para determinar si la peticin est permitida y qu servidor interno debe atenderla. Para las peticiones de Web de entrada, las reglas se procesan en el orden siguiente: 1. Filtros de paquetes IP 2. Reglas de publicacin en Web 3. Reglas de enrutamiento La ilustracin muestra el flujo de procesamiento para las peticiones de Web entrantes

1. Con el filtrado de paquetes habilitado, si un filtro de paquetes IP deniega especficamente una peticin, sta se denegar. 2. Si una regla de publicacin en Web deniega especficamente la peticin, sta se denegar. 3. Si una regla de enrutamiento especifica que las peticiones deben enrutarse a un servidor que precede en la cadena o a un sitio alojado alternativo, la peticin se atender en el servidor especificado. 4. Si una regla de enrutamiento especifica que las peticiones deben enrutarse a un servidor determinado, el servidor Web interno devolver el objeto. Por ejemplo, considere las siguientes reglas: Una regla de publicacin en Web redirige las peticiones de todos los clientes para un conjunto de destinos a un sitio alojado (servidor Web) llamado Msweb. El conjunto de destinos incluye widgets.microsoft.com. Una regla de enrutamiento enruta las peticiones de un conjunto de destinos que incluye msweb atendindolas directamente. Las propiedades de la cach de la regla especifican que las respuestas a las peticiones no se almacenen en cach. Cuando un usuario externo solicita desde Internet un objeto de widgets.microsoft.com, el servidor ISA intercepta la peticin. En primer lugar, se procesa la regla de publicacin en Web y se determina que la peticin debe redirigirse a Msweb. A continuacin, se procesa la regla de enrutamiento y se determina que la peticin debe atenderse directamente en el servidor Web especificado (Msweb).

3. Configuracin del ServidorAntes de mencionar el control de las peticiones entrantes y salientes por parte de ISA Server, se presenta algunas configuraciones requeridas para ambos casos: Creacin de un conjunto de destinos 1. En el rbol de la consola de Administracin de ISA, haga clic con el botn secundario en Conjuntos de destinos, seleccione Nuevo y, a continuacin, haga clic en Conjunto. 2. En Nombre, escriba el nombre del conjunto de destinos. 3. (Opcional) En Descripcin, escriba una descripcin del conjunto de

destinos.

Haga clic en Agregar y, a continuacin, realice una de las acciones siguientes: o Haga clic en Nombre del equipo y escriba un nombre de equipo. o Haga clic en Direccin IP. A continuacin, en De y A, escriba las direcciones IP correspondientes. o (Opcional) En Ruta de acceso, escriba la ruta de acceso especfica de los equipos especificados.

Configuracin de un conjunto de destinos Utilice este formato al especificar un destino. El nombre de equipo, la ruta y el nombre de archivo no distinguen entre maysculas y minsculas.

Integracin de SistemasEspecifique el nombre del equipo utilizando el nombre de dominio completo (FQDN). Por ejemplo, escriba nombre_del_equipo.microsoft.com, y no //nombre_del_equipo. Para incluir una carpeta especfica en el conjunto de destinos:

/Ruta/Nombre_carpeta Para incluir todos los archivos en una carpeta: /Ruta/Nombre_carpeta/* Para seleccionar un archivo especfico de una carpeta:/Ruta/Nombre_carpeta/Nombre de archivo

Creacin de un grupo de contenido 1. En el rbol de la consola de Administracin de ISA, haga clic con el botn secundario en Grupos de contenido, seleccione Nuevo y haga clic en Grupo de contenido. 2. En Nombre, escriba el nombre del grupo de contenido. 3. (Opcional) En Descripcin, escriba una descripcin del grupo de contenido. 4. En Tipos disponibles, realice una de las acciones siguientes: o Para seleccionar un tipo de contenido existente, haga clic en una extensin de archivo o en un tipo MIME (extensiones multipropsito de correo Internet). o Para agregar un nuevo tipo de contenido, escriba una nueva extensin de archivo o un tipo MIME. 5. Haga clic en Agregar.

Creacin de una definicin de protocolo 1. En el rbol de la consola de Administracin de ISA, haga clic con el botn secundario en Definiciones de protocolo, haga clic en Nuevo y, a continuacin, en Definicin. 2. En el Asistente para la definicin de nuevos protocolos, escriba el nombre de la definicin del protocolo y haga clic en Siguiente.

3. En la pgina Informacin acerca de la conexin principal, especifique el puerto, el tipo de protocolo y la direccin de la conexin principal. A continuacin, haga clic en Siguiente.

4. En la pgina Conexiones secundarias, especifique si la definicin de protocolo incluye una conexin secundaria. A continuacin, especifique el intervalo de puertos, el tipo de protocolo y la direccin de la conexin secundaria.

Configuracin de definiciones de protocolo Al crear una definicin de protocolo, se especifican los siguientes elementos: Nmero de puerto. Es un nmero de puerto del 1 al 65535 que se utiliza para la conexin inicial. Protocolo de nivel inferior. Protocolo de control de transporte (TCP) o protocolo de datagramas de usuarios (UDP). Direccin. Slo enviar, Slo recibir, Enviar y recibir, Recibir y enviar (para el protocolo UDP) o bien Entrada, Salida (para el protocolo TCP). (Opcional) Conexiones secundarias. sta incluye el nmero de puertos, el protocolo y la direccin que se utilizan para conexiones adicionales o para paquetes posteriores a la conexin inicial. Puede configurar una o varias conexiones secundarias.

Controlar Peticiones SalientesConfigurar la Directiva de Acceso Creacin de una regla de sitio y contenido 1. En el rbol de la consola de Administracin de ISA, haga clic con el botn secundario en Reglas de sitio y contenido, seleccione Nueva y, a continuacin, haga clic en Regla. 2. Siga las instrucciones que aparecen en pantalla, tal como se muestra a continuacin. Primero debemos especificar un nombre descriptivo para la nueva regla:

A continuacin seleccionamos el tipo de accin que se aplica a la regla, es decir si va a permitir o denegar lo que estamos configurando:

Luego personalizamos el conjunto de destinos a los cual se aplica la regla que se est creando:

El conjunto de destinos especificado puede ser elegido de algunos predeterminados o de los conjuntos de destinos que han sido creados.( ver Configuracin de un conjunto de destinos para una regla de sitio y contenido )

A partir de este punto se debe configurar los dems parmetros para la regla de sitio y contenido en base a todos los elementos de directiva disponibles, tales como grupos de contenidos (ver Configurar el contenido para una regla de sitio y contenido )y conjuntos de direcciones de clientes para la red interna. Configuracin de un conjunto de destinos para una regla de sitio y contenido 1. En el rbol de la consola de Administracin de ISA, haga clic en Reglas de sitio y contenido. 2. En el men Ver, seleccione Opciones avanzadas. 3. En el panel de detalles, haga clic con el botn secundario en la regla correspondiente y, a continuacin, haga clic en Propiedades. 4. En la ficha Destino, seleccione una de las opciones siguientes:

Todos los destinos Todos los destinos externos Todos los destinos internos Conjunto de destinos seleccionado Todos los destinos salvo el conjunto seleccionado 5. Si selecciona Conjunto de destinos seleccionado o Todos los destinos salvo el conjunto seleccionado, seleccione un conjunto de destinos en Nombre. Para obtener ms informacin refirase al tema creacin y configuracin de conjuntos de destinos. Configurar el contenido para una regla de sitio y contenido 1. En el rbol de la consola de Administracin de ISA, haga clic en Reglas de sitio y contenido. 2. En el men Ver, seleccione Opciones avanzadas. 3. En el panel de detalles, haga clic con el botn secundario en la regla de sitio y contenido correspondiente y, a continuacin, haga clic en Propiedades. 4. En la ficha Contenido HTTP, realice una de las acciones siguientes: o Para especificar que la regla se aplica a todo el contenido, haga clic en Todos los grupos de contenido. o Para especificar que una regla slo se aplica a una parte del contenido, haga clic en Grupos de contenido seleccionados y seleccione uno o ms grupos de contenido. Para obtener ms informacin refirase al tema creacin de gr upos de contenido. Creacin de una regla de protocoloo o o o o

1. En el rbol de la consola de Administracin de ISA, haga clic con el botn secundario en Reglas de protocolo, seleccione Nueva y, a continuacin, haga clic en Regla. 2. Siga las instrucciones que aparecen en pantalla. Entre las configuraciones que siguen, est la configuracin del protocolo que se aplica para la regla que se est creando. (ver configuracin de protocolos para una regla de protocolo)

A partir de este punto se debe configurar los dems parmetros para la regla de protocolo en base a todos los elementos de directiva disponibles tales como direcciones de clientes para la red interna. Configuracin de protocolos para una regla de protocolo 1. En el rbol de la consola de Administracin de ISA, haga clic en Reglas de protocolo. 2. En el men Ver, seleccione Opciones avanzadas. 3. En el panel de detalles, haga clic con el botn secundario en la regla de protocolo correspondiente y, a continuacin, haga clic en Propiedades.

Integracin de SistemasESPOCH Escuela de Ingeniera de Sistemas 21 4. En la ficha Protocolos, realice una de las acciones siguientes: o Si la regla se aplica a todos los protocolos, incluso a aquellos que no estn definidos explcitamente en el servidor ISA, haga clic en Todo el trfico IP. o Si la regla slo se aplica a los protocolos seleccionados en Protocolo, haga clic en Protocolos seleccionados. o Si la regla se aplica a todo el trfico IP excepto a los protocolos seleccionados, haga clic en Todo el trfico IP salvo el seleccionado. 5. Si elige Protocolos seleccionados o Todo el trfico IP salvo el seleccionado, en Protocolos debe seleccionar una o varias definiciones de protocolo. Para obtener ms informacin refirase al tema creacin y configuracin de definiciones de protocolo.

Controlar Peticiones EntrantesConfigurar la Publicacin Para crear una regla de publicacin en Web 1. En el rbol de la consola de Administracin de ISA, haga clic con el botn secundario en Reglas de publicacin en Web, seleccione Nueva y, a

continuacin, haga clic en Regla. 2. En el Asistente para nuevas reglas de publicacin en Web, siga las instrucciones que aparecen en pantalla.

A partir de este punto la configuracin de la regla es muy similar a los otros tipos de reglas, en lo que se refiere a los elementos de directiva (ver Configurar un conjunto de destinos para una regla de publicacin en Web), una de las configuraciones que se destaca es la siguiente:

En esta configuracin se especifica la accin de la regla de publicacin para el servidor que se encuentra dentro de la red interna.

Configurar un conjunto de destinos para una regla de publicacin en Web 1. En el rbol de la consola de Administracin de ISA, haga clic en Reglas de publicacin en Web. 2. En el men Ver, asegrese de que Opciones avanzadas tiene una marca de verificacin. 3. En el panel de detalles, haga clic con el botn secundario en la regla

correspondiente y, a continuacin, haga clic en Propiedades. 4. En la ficha Destinos, en Esta regla se aplica a, seleccione una de las siguientes opciones: o Todos los destinos o Todos los destinos externos o Todos los destinos internos o Conjunto de destinos seleccionado o Todos los destinos salvo el conjunto seleccionado 5. Si selecciona Conjunto de destinos seleccionado o Todos los destinos salvo el conjunto seleccionado y, a continuacin, en Nombre seleccione en un conjunto de destinos. Para obtener ms informacin refirase al tema creacin y configuracin de conjuntos de destinos. Filtros de Paquetes IP Para crear un filtro de paquetes IP 1. En el rbol de la consola de Administracin de ISA, haga clic con el botn secundario en Filtros de paquetes IP, seleccione Nuevo y, a continuacin, haga clic en Filtro. 2. Siga las instrucciones que aparecen en pantalla.

A continuacin especificamos la accin de la regla, es decir si permite o deniega la transmisin de paquetes:

Luego podemos personalizar el filtro de paquetes IP, especificando incluso el protocolo de capas inferiores sobre el cual queremos que se aplique:

Para obtener informacin detallada sobre la configuracin de cada elemento de un filtro IP, vea las siguiente secciones: Para aplicar un filtro de paquetes IP a un servidor y Para configurar un protocolo para un filtro de paquetes IP Para aplicar un filtro de paquetes IP a un servidor 1. En el rbol de la consola de Administracin de ISA, haga clic en Filtros de paquetes IP. 2. En el men Ver, asegrese de que Opciones avanzadas tiene una marca de verificacin. 3. En el panel de detalles, haga clic con el botn secundario del mouse en el filtro de paquetes IP que desea modificar y, a continuacin, haga clic en Propiedades. 4. En la ficha General, asegrese de que la casilla de verificacin Habilitar este filtro est seleccionada. 5. En la ficha General, en Servidores que utilizan este filtro, realice una de las acciones siguientes: o Haga clic en Todos los servidores de la matriz.

Haga clic en Slo este servidor y, a continuacin, haga clic en el servidor al que desea aplicar el filtro. Para configurar un protocolo para un filtro de paquetes IP 1. En el rbol de la consola de Administracin de ISA, haga clic en Filtros de paquetes IP. 2. En el men Ver, asegrese de que Opciones avanzadas tiene una marca de verificacin. 3. En el panel de detalles, haga clic con el botn secundario en el filtro de paquetes IP que desea modificar y, a continuacin, haga clic en Propiedades. 4. En la ficha Tipo de filtro, realice una de las acciones siguientes: o Haga clic en Predefinido y, a continuacin, haga clic en un filtro de la lista. o Haga clic en Personalizado y, a continuacin, en la lista Protocolo IP, haga clic en uno de los protocolos siguientes: Cualquiera, ICMP, TCP, UDP o Protocolo personalizado. 5. Si elige el protocolo ICMP, proceda del modo siguiente: o En Direccin, haga clic en Entrante, Saliente o Ambas. o En Tipo, haga clic en Todos los tipos o Tipo fijo. Si hace clic en Tipo fijo, escriba el nmero en Nmero. o En Cdigo, haga clic en Todos los cdigos o Cdigo fijo. Si hace clic en Cdigo fijo, escriba el nmero de cdigo en Nmero. 6. Si elige Cualquiera, especifique la direccin: Entrada, Salida o Ambas. 7. Si elige el protocolo UDP, proceda del modo siguiente: o En Direccin, haga clic en Slo recibir, Slo enviar, Ambas, Recibir y enviar o Enviar y recibir. o En Puerto local, haga clic en Todos los puertos, Puerto fijo o Dinmico (1025-5000). Si hace clic en Puerto fijo, escriba el nmero de puerto en Nmero de puerto local. o En Puerto remoto, haga clic en Todos los puertos o Puerto fijo. Si hace clic en Puerto fijo, escriba el nmero de puerto en Nmero de puerto remoto. 8. Si elige el protocolo TCP, proceda del modo siguiente: o En Direccin, haga clic en Entrada, Salida o Ambas. o En Puerto local, haga clic en Todos los puertos, Puerto fijo o Dinmico (1025-5000). Si hace clic en Puerto fijo, escriba el nmero de puerto en Nmero de puerto local. o En Puerto remoto, haga clic en Todos los puertos o Puerto fijo. Si hace clic en Puerto fijo, escriba el nmero de puerto en Nmero de puerto remoto. Configurar la Cach Para configurar el tamao de la cach en un servidor 1. En el rbol de la consola de Administracin de ISA, haga clic en Unidades. 2. En el panel de detalles, haga clic con el botn secundario en el servidor correspondiente y, a continuacin, haga clic en Propiedades. 3. Haga clic en la unidad deseada.o

4. En Tamao mximo de la cach (MB), escriba el tamao de la cach y haga clic en Configurar.

4. Parte Prctica4.1.Introduccin En esta seccin configuraremos un Firewall con tres interfaces de red utilizando Microsoft ISA Server. Se har el montaje de tres redes distintas: Una red interna que representa a la red LAN de una organizacin Una red Perimetral formada por un conjunto de servidores que se exponen directamente al Internet Una Red Externa que acta como Internet simulado y que est formada por un nico servidor web. A continuacin se presenta un diagrama que muestra la estructura lgica de esta configuracin, con las respectivas direcciones asignadas para cada red:

4.2.Montaje Fsico de la Red Para el montaje fsico de la red necesitaremos los siguientes materiales: Un equipo con tres interfaces de red, para que haga las veces de Firewall Un Servidor web para simular un equipo del Internet Un servidor Web para la red perimetral Un Servidor de Correo para la red perimetral Un equipo que haga las veces de cliente de la red interna Un concentrador (HUB) de 8 puertos para la interconexin de las redes perimetral e interna. 5 cables UTP normales y un cable cruzado La configuracin de todos estos elementos, se puede apreciar de forma clara en el esquema presentado en la seccin anterior. Todos los cables UTP normales irn destinados a la red interna y a la red perimetral, mientras que el cable cruzado conectar al servidor web externo con el Firewall (conexin simulada a Internet). 4.3.Instalacin y Configuracin de Microsoft ISA Server Luego de verificar la conectividad fsica de la red procederemos a configurar el servidor ISA. Se deber asignar las siguientes direcciones IP a las tres interfaces del servidor: 192.168.0.1 para la red interna

Integracin de SistemasESPOCH Escuela de Ingeniera de Sistemas 28 150.10.0.1 para la conexin simulada a Internet 150.11.0.1 para la red perimetral

El proceso de instalacin es muy sencillo, basta con seguir los pasos de un asistente, teniendo en cuenta las siguientes consideraciones: ISA Server debe ser instalado en modo integrado Debe especificarse un tamao adecuado para la cach, para lo cual se requiere tener una particin formateada con NTFS Configure la tabla de direcciones locales (LAT) para que incluya el intervalo desde 192.168.0.0 hasta 192.168.255.255. Adems del servidor ISA es necesario configurar el servicio de DNS de Windows para que reenve las peticione s de la red interna haca un servidor DNS ubicado en Internet. La configuracin es la siguiente: En las propiedades del Servidor DNS acceder a la ficha Reenviadores Activar la casilla Habilitar reenviadores Asignar la siguiente direccin IP: 150.10.0.2 4.4.Configuracin de la Red Externa En esta seccin instalaremos un equipo que simule un servidor y un cliente de Internet. El servidor deber configurarse como sigue: Asignar la siguiente direccin: a la interfaz de red 150.10.0.2 Instalar y configurar un servidor Web como Apache o IIS. Instalar y configurar el servicio de FTP Montar una o varias pginas o aplicaciones Web y algunos archivos para realizar pruebas con FTP (para nuestro caso hemos instalado 2 aplicaciones Web desarrolladas con PHP llamadas PHPCorner y EISOnlineLibrary) Instalar y configurar el servicio de DNS y registrar varios nombres de dominio para cada uno de los servicios que funcionen en este servidor (para nuestro caso hemos registrado los hosts www.eis.com, ftp.eis.com y dns.eis.com con la direccin 150.10.0.2) Se registrar tambin en el DNS las direcciones de los servidores de la red perimetral y del DNS (que se instalar en el mismo equipo en que instalar el Firewall) como sigue: o www.octavo.com (150.11.0.2) o ftp.octavo.com (150.11.0.2) o mail.octavo.com (150.11.0.3) o dns.octavo.com (150.10.0.1) La direccin del cliente DNS para este equipo ser 127.0.0.1 La direccin del Gateway se configurar en 150.10.0.1 4.5.Configuracin de la Red Interna Ahora instalaremos un equipo que tendr el rol de cliente de la red interna. Deber configurarse como sigue: Asignar la siguiente direccin: a la interfaz de red 192.168.0.2 La direccin del cliente de DNS ser 192.168.0.1

Integracin de SistemasESPOCH Escuela de Ingeniera de Sistemas 29 El Gateway predeterminado se configurar en 192.168.0.1 Accediendo a la configuracin LAN en las opciones del Internet Explorer se especificar el uso de un Proxy con la direccin 192.168.0.1 y el puerto 8080

4.6.Configuracin del Acceso a Internet a travs del Proxy Web Para que los clientes de la red interna puedan acceder al Internet es necesario configurar al servidor ISA para que responda a las peticiones web salientes. La configuracin se realiza como sigue: En a ficha Peticiones Web Salientes de las propiedades del servidor ISA se utilizarn los siguientes parmetros: o Utilizar la misma configuracin de escuchas para todas las direcciones o Puerto TCP: 8080 Verificar que exista una regla de Sitio y Contenido con los siguientes parmetros o Destinos: Todos los Destinos o Programacin: Siempre o Accin: Permitido o Se aplica a: Cualquier Peticin o Contenido http: Todos los Grupos Construir una regla de protocolo con los siguientes parmetros: o Nombre de la Regla: Acceso a Internet para Red Interna o Accin: Permitir o Protocolo: HTTP, HTTPS, FTP o Programacin: Siempre o Se aplica a: Cualquier peticin Verificar que Browser de los clientes est configurado para utilizar un Proxy Verificar que la Cach de HTTP y FTP estn activados 4.7.Montaje del Servidor Web en la Red Perimetral Seguidamente configuraremos un servidor Web / FTP en la red perimetral. Se realizarn los siguientes pasos: Asignar la siguiente direccin: a la interfaz de red 150.11.0.2 Configurar el Gateway con la direccin 150.11.0.1 Configurar el cliente de DNS con la direccin 150.11.0.1 Instalar y configurar un servidor Web como Apache o IIS y el servicio de FTP Publicar varias pginas o aplicaciones Web y varios archivos en el servidor FTP para realizar pruebas 4.8. Montaje del Servidor de Correo en la Red Perimetral Para realizar pruebas con los protocolos SMTP y POP3 se instalar un servidor de correo en la red perimetral con la siguiente configuracin: Asignar la siguiente direccin: a la interfaz de red 150.11.0.3

Integracin de SistemasESPOCH Escuela de Ingeniera de Sistemas 30 Configurar el Gateway con la direccin 150.11.0.1 Configurar el cliente de DNS con la direccin 150.11.0.1 Instalar y configurar un servidor de correo (Para nuestro caso hemos utilizado Microsoft Exchange 2000 Server conjuntamente con un dominio de Active Directory) Crear varias cuentas de correo para realizar pruebas

Configurar el cliente de correo en algunas mquinas de la red (para nuestro caso utilizaremos clientes de correo en las estaciones 192.168.0.x, 150.10.0.2 y en el mismo servidor de correo) 4.9.Configuracin de Permisos para el Acceso a la Red Perimetral desde la Red Externa. Existen varios mecanismos para hacer pblicos los servidores de una organizacin hacia el Internet. Cuando los servidores han sido montados en la red interna se utiliza un mecanismo de publicacin de servidores, mientras que si los servidores se encuentran ubicados en la red perimetral (tambin considerada como externa), se utilizar un mecanismo de filtrado y enrutamiento de paquetes IP. Para la siguiente prctica hemos seleccionado la segunda alternativa. En el servidor ISA se realizar la siguiente configuracin con el fin de enr utar los paquetes de la red externa a la red perimetral: Configuracin para enrutar los paquetes hacia el servidor Web: o Crear un filtro de paquetes IP con los siguientes parmetros: Nombre del filtro: Filtro red externa red perimetral para http Tipo de Filtro: Predefinido, Servidor HTTP (puerto 80) Equipo local: este equipo en la red perimetral: 150.11.0.2 Equipo remoto: Todos los equipos remotos o Crear un filtro de paquetes IP con los siguientes parmetros: Nombre del filtro: Filtro red externa red perimetral para FTP (Conexin de control) Tipo de Filtro: Personalizado, Protocolo TCP, Direccin: Ambas, Puerto local fijo: 21 Equipo local: este equipo en la red perimetral: 150.11.0.2 Equipo remoto: Todos los equipos remotos o Crear un filtro de paquetes IP con los siguientes parmetros: Nombre del filtro: Filtro red externa red perimetral para FTP (Conexin de datos) Tipo de Filtro: Personalizado, Protocolo TCP, Direccin: Ambas, Puerto local fijo: 20 Equipo local: este equipo en la red perimetral: 150.11.0.2 Equipo remoto: Todos los equipos remotos

Integracin de SistemasESPOCH Escuela de Ingeniera de Sistemas 31 Configuracin para enrutar los paquetes hacia el servidor Web: o Crear un filtro de paquetes IP con los siguientes parmetros: Nombre del filtro: Filtro red externa red perimetral para SMTP Tipo de Filtro: Predefinido, protocolo SMTP (puerto 25) Equipo local: este equipo en la red perimetral: 150.11.0.3 Equipo remoto: Todos los equipos remotos o Crear un filtro de paquetes IP con los siguientes parmetros: Nombre del filtro: Filtro red externa red perimetral para POP3

Tipo de Filtro: Predefinido, Protocolo POP3 (puerto 110) Equipo local: este equipo en la red perimetral: 150.11.0.3 Equipo remoto: Todos los equipos remotos

4.10. Pruebas Realizadas Desde el cliente de la red interna (192.168.0.2) se puede probar el acceso a los siguientes sitios utilizando un Browser: o www.octavo.com o www.eis.com o ftp.octavo.com o ftp.eis.com Las pruebas anteriores verifican el correcto funcionamiento de los servicios de Proxy y de Cach de ISA 2000 Server. Desde el cliente de la red externa (150.10.0.2) se puede comprobar el acceso al servidor Web de la red perimetral mediante un Browser, utilizando la direccin www.octavo.com Puede realizarse un intercambio de correo entre todos los hosts en la red, se recomienda hacerlo entre los equipos 192.168.0.2, 150.11.0.2 y 150.10.0.2 Puede modificarse las reglas en el servidor ISA y probarlas una a una. Se recomienda: o Cambiar la accin de las reglas de Sitio y Contenido y de Protocolo de Permitido a Denegado y viceversa o Cambiar las programaciones de las reglas de Sitio y Contenido y de Protocolo de manera que se apliquen en horarios especficos o Cambiar el conjunto de clientes sobre los que se aplican las reglas de Sitio y Contenido y de Protocolo de manera que se permita el acceso a Interne t a ciertos grupos de equipos o Cambiar los grupos de contenido de las reglas de Sitio y Contenido y de Protocolo para que los usuarios tengan ciertas restricciones sobre los contenidos a los que pueden acceder o Deshabilitar ciertos filtros de paquetes IP para comprobar que no se realiza el enrutamiento de paquetes o Configurar algunos filtro de paquetes para permitir o denegar el uso de la utilidad ping en toda la red