instalación y configuración de isa server 2006

8/20/2019 Instalación y COnfiguración de ISA Server 2006

1/91

SERVIDOR ISA SERVER

POR:

DEYSSY ARICAPA ARAQUE

CESAR PINEDA GONZALEZ

ANDRÈS FELIPE DEOSSA

INSTRUCTOR

FERNANDO QUINTERO

ADMINISTRACION DE REDES DE COMPUTADORES

REGIONAL ANTIOQUIA

SENA

2009

1


2/91

CONTENIDO

1. Licencia………………………………………………………………………………4

2. introducción………………………………………………………………………….5

3. justificación…………………………………………………………………………..6

4. Objetivo general…………………………………………………………………….7

5. Objetivos especficos……………………………………………..........................7

6. !sa "erver 2##6…………………………………………………...........................$

• %aractersticas……………………………………........................................$

7. &abla co'parativa de la ()* (st+ndar , (nterprise……………......................-

$. "oluciones !sa "erver.....................................................................................1#

• ard/are..................................................................................................1#

• "oft/are...................................................................................................1#

-. 0recio de licencia de soft/are.........................................................................11

1#. euisitos 'ni'os del siste'a.....................................................................12

11. !nstalación !sa "erver.....................................................................................13

• ctualiando nuestro siste'a..................................................................13

12. 0oltica por defecto )O0.............................................................................31

• 0ara tener en cuenta................................................................................31

• )ar acceso a !nternet a nuestro ost local...............................................31

• enerando reglas.....................................................................................32

13. (scenario a desarrollar..................................................................................45

• ecursos..................................................................................................45

• euisitos................................................................................................45

2


3/91

14. ceptando ping desde la red L acia el 8ire/all.......................................46

• aciendo pruebas.....................................................................................53

15. ccediendo a nuestro servidor "" desde la red 9..................................55

• aciendo pruebas.....................................................................................62

15. ccediendo a nuestro servidor de correo desde la red 9.........................64

• aciendo pruebas......................................................................................6$

16. ccediendo a nuestro servidor 9eb :ail seguro desde la red 9...............7#

• 0ara tener en cuenta..................................................................................73

17. 0er'itir a los usuarios ad'inistradores acceso a !nternet...............................74

1$. %onfigurando 0ro;, 9eb en !sa "erver...........................................................$3

1-. %onclusiones....................................................................................................-#

3


4/91

LICENCIA

Esta obra está bajo una licenciaReconocimiento-No comercial-CompartirBajo la misma licencia 2.5 Colombia de

Creative Commons. Para ver unaCopia de esta licencia, visite

http!!creativecommons.or"!licenses!b#-ncsa!2.5!co! o envie una carta a Creative Commons,

$%$ &econd &treet, &uite

'((, &an )rancisco, Cali*ornia +$(5, &.

4


5/91

INTRODUCCION

(l siguiente 'anual estar+ orientado a la i'ple'entación de una erra'ienta bajo

licencia'iento privado de :icrosoft< con el fin de proveer seguridad a una red

interna de ; o , e'presa.

"e contara con la instalación de la erra'ienta de 8ire/all de :icrosoft< la cual

aduiri'os desde la pagina oficial con un licencia'iento libre de 1$# das< esta'os

ablando de !" "erver en su 'as nuevas edición la 2##6< por lo tanto si desea

utiliar esta erra'ienta en entorno de e'presa tendr+ ue pagar un

licencia'iento a la co'pa=a de :icrosoft.

(specificare'os los costos de las diferentes clases de licencia'iento< ediciones

del producto , lo ue se debe tener en cuenta al 'o'ento de la i'ple'entacióndel !" "erver.

5


6/91

JUSTIFICACION

(l presente 'anual se realio con el fin de tener docu'entado el proceso de

i'ple'entación de una erra'ienta 8ire/all de :icrosoft en un escenario 'u,

co'>n< as lograr fa'iliariarnos con erra'ientas de un coste elevado dei'ple'entación , poder reconocer sus desventajas , ventajas ante los de'+s

productos con fines si'ilares a la de :icrosoft , otras co'pa=as en el 'ercado.

0ara la gran 'a,ora de 'ultinacionales en el 'undo el poseer erra'ientas ue

tengan valor econó'ico en el 'undo de la infor'+tica< representa 'a,or

confiabilidad para uien la este i'ple'entando< en el caso de la seguridad de los

datos< el trabajar con productos licenciados significara tener 'as seguridad en el

escenario donde este corriendo< ,a ue se tendra 'as soporte en cuanto a

posibles proble'as de seguridad.

a, ue tener en cuenta ue no todo en la vida es gratis , por ende las soluciones

a nuestros proble'as no sie'pre llegaran desde el ca'ino de lo no licenciado<

para ello debe'os estar con capacidad de to'ar una buena decisión a la ora de

escoger un producto e i'ple'entarlo en nuestra red< teniendo en cuenta nuestras

necesidades b+sicas.

6


7/91

OBJECTIVO GENERAL:

La i'ple'entación de erra'ientas de 8ire/all a nivel de licencia'iento privado<

ue cubran las necesidades b+sicas de nuestra red local.

OBJETIVOS ESPECIFICOS:

• 0er'itir cone;iones seguras entre la red L acia la red 9 , viceversa.

• !'ple'entar reglas b+sicas ue per'itan la co'unicación de la red local

con la red e;terna.

•

0roteger euipos vitales de co'unicación de nuestra L ante a'enaasdel e;terior.

• %ontrolar las cone;iones de los usuarios de nuestra L.

• :onitorear las peticiones de los usuarios< per'itiendo o denegando las

'is'as.

• %oncebir prioridades a los usuarios ad'inistradores.

7


8/91

ISA SERVER 2006

(s un ate/a, integrado de seguridad peri'etral ue contribu,e a la protección de

a'enaas procedentes de !nternet< , ade'+s ofrece a sus usuarios un acceso

re'oto r+pido , seguro a sus aplicaciones , datos corporativos.

!nternet cceleration and "ecurit, ?!"@ "erver 2##6 se basa en la anterior versión

de !" "erver< as co'o en la tecnologa :icrosoft 9indo/s "erver para ofrecer un

fire/all potente< robusto , eficiente< , de gran facilidad de uso. a, dos ediciones

de !" "erver 2##6 disponibles* la (dición (st+ndar , la (nterprise.

Características:

• 0ublicación segura de aplicaciones

• cceso re'oto seguro a las aplicaciones< datos , docu'entos desde

cualuier ordenador o dispositivo.

• 0reAautentica al usuario antes de ue tenga acceso a cualuier servidor<

autenticación avanada ?s'artcards@.

• %apacidad para generar logs , e'isión de reportes< de esta 'anera los

intrusos son '+s f+ciles de detectar.

• ate/a, de intercone;ión para redes locales.

• 0rotección del acceso a !nternet.

8


9/91

TABLA COPARATIVA DE LA ED: ESTANDAR ! ENTERPRISE

%aractersticas (). (st+ndar Bd. (nterprise

edes "in li'itación "in li'itación

(scalabilidad asta 4 0%C"< 2AD

de :

"in li'itación ?la ue

deter'ine el ".O@

(scalabilidad oriontal Cn solo servidor asta 32 nodos

'ediante LD

%ace l'acena'iento de

servidor >nico

"in l'ite ?utiliando

%0@

"oporte LD o soportado "! ?integrado@

0olticas Locales estión de rra deservidores , directivas

corporativas 'ediante

):

edes de oficinas !'portación ,

e;portación 'anual de

polticas

0olticas de nivel

corporativo , de rra,

de servidores

:onitoriación , alertas %onsola de

'onitoriación de un

>nico servidor

:O:

%onsola de

'onitoriación

'ultiservidor

:O:

:>ltiples redes :ediante plantillas :ediante plantillas

9


10/91

S"#$ci"%es ISA Ser&er:

!sa "erver provee soluciones tanto en ard/are co'o en soft/are.

'ar()are: !ntegrado en un ard/are preconfigurado ue inclu,e un servidor con

una versión reducida de :icrosoft 9indo/s "erver , una edición !sa "erver 2##6

preinstalados.

PRECIO: "e puede obtener una solución basada en ard/are a partir de 2.5##

C") unos 65#### pesos colo'bianos en pro'edio

S"*t)are: (ste pauete se aduiere gracias a licencias ue el usuario co'pra

directa'ente a :icrosoft< listo para su instalación sobre sus servidores actuales<

esta opción per'itir+* !'plantar< dar 'anteni'iento , opti'iar la configuración e

incluso desarrollar código ue puede ejecutarse sobre el 'is'o servidor !"

"erver para 'a;i'iar el beneficio.

10


11/91

PRECIOS DE LICENCIA DE SOFT+ARE,

Licencia de entorno

en producción

)escripción 0recio C") 0recio E

!" "erver 2##6 (d.

(st+ndar

ate/a, integrado para la

seguridad peri'etral<

protegiendo contra a'enaas

procedentes de !nternet<

per'itiendo acceso re'oto de

usuario r+pida , segura

14-- C")

por

procesador

3$#.###E

por

procesador

!" "erver 2##6 (d.

(nterprise

)ise=ado para grandes

organiaciones ue necesiten

i'ple'entación fle;ible<

capacidad de gestión ,

escalabilidad.

5.--- C")

por

procesador

1.5##.###E

por

procesador

!" "erver 2##6 (d.

(nterprise Fpauete

de 25 procesadores

(ste pauete se ofrece con un

descuento del 5#G para

auellos clientes ue

necesiten "erver en

escenarios de i'plantación.

(je'plo sucursales.

75.### C")

para 25

procesadore

s

1-.###.###E

para 25

procesadore

s

11


12/91

Re-$isit"s .í%i."s (e# siste.a,

INSTALACION DE ISA SERVER

12

Procesador PC con un Pentium III 733 Mhz o superior.

Sistema Operativo Microsoft Server 2003 de 32 bits (SP! o (SP2!.

Memoria "2 me#ab$tes de %&M o mas es recomendado

'isco duro Con formato )*S +oca+ con "0 M, de espacio +ibre.

Otros 'ispositivos • &daptador de red para +a comunicaci-n con +a red

interna.

• n adaptador de red adiciona+.

• C'/%OM o ''/%OM.

• 1& o monitor de ma$or reso+uci-n.


13/91

)espuHs de aber repasado un poco de lo ue era !" "erver< sus caractersticas<

precios< ediciones< etc. 0rocedere'os a acer la respectiva instalación< para esto

descargare'os la versión de prueba de 1$# das desde la siguiente CL*

ttp*II///.'icrosoft.co'Ido/nload"Idetails.asp;Jfa'il,idK-5%161#A%232A4644AD$2$A%55((%6#5)55displa,langKes

NOTA* %o'o ,a se 'enciono anterior'ente nuestro 9indo/s "erver 2##3 debe

tener instalado el "01 o "02< respectiva'ente< si por alg>n 'otivo no tene'os

actualiado nuestro siste'a< lo pri'ero ue debe'os acer antes de proceder a

instalar !" "erver es dejar nuestro euipo con los reueri'ientos antes

'encionados.

Act$a#i/a%(" %$estr" Siste.a:

%o'o nuestro siste'a no tiene instalado el service pacM 2< procedere'os a

instalarlo< para poder ejecutar el !" "erver.

0ara esto descargare'os el pauete de "02 desde la siguiente CL*

)espuHs de descargado procedere'os a ejecutarlo*

13


14/91

)espuHs de e;traer todos los arcivos< nos aparecer+ el siguiente cuadro de

dialogo*

u nos est+n reco'endando acer bacMup de nuestro siste'a co'o tal< para

'a,or seguridad. Le da'os siguiente.

14


15/91

os especifican la licencia del producto el cual debere'os estar de acuerdo para

poder proseguir con nuestra actualiación del siste'a. )espuHs de aceptar la

licencia da'os siguiente.

(n este cuadro de dialogo< nos 'uestra la ruta donde uedaran guardados los

arcivos del "02 despuHs de instalados< si uere'os lo deja'os por defecto< de lo

contrario le pode'os ca'biar la ruta , especificarle la ue nosotros uera'os.

)a'os siguiente ter'inada la especificación de la ruta donde uedaran los

arcivos de actualiación del siste'a.

15


16/91

(spera'os a ue el asistente co'pruebe la configuración actual de nuestro

siste'a< e instale los arcivos nuevos. &er'inada la actualiación da'os clic en

finaliar , espera'os a ue se reinicie nuestro euipo para ue los ca'bios

ecos agan efecto.

16


17/91

I%sta#aci% ISA Ser&er*

&er'inada la actualiación de nuestro siste'a< pode'os aora si proceder a

instalar el "ervidor !" "erver< para esto ejecuta'os el instalador del !" "erver<

descargado anterior'ente desde la p+gina oficial de :icrosoft.

"i por alg>n 'otivo no as descargado el instalador de isa "erver< lo pueden

descargar desde la siguiente CL*

ttp*II///.'icrosoft.co'Ido/nloadsIdetails.asp;Jfa'il,idK$45#4cadA$-3bA4212A

-ab2A

---ad1d$fe6$displa,langKesasKO)LNi9'c8s(0;vOd0%1gstr%P/egB

G2b8g$a,e!G2bG2b3i-Qd5(DN:7M2-aN0:9b904/dG2fD

G2bB#6RgPG3dG3d

(spera'os a ue se e;traiga todos los arcivos del ejecutable.

17


18/91

)espuHs de ter'inado de e;traer todos los arcivos necesarios para la instalación<

nos deber+ aparecer el siguiente cuadro de dialogo*

%o'o se puede apreciar< tene'os la posibilidad leer un poco sobre las

caractersticas del producto antes de instalarlo. (s i'portante tener en cuenta ue

la versión ue esta'os utiliando es una versión de prueba de 1$# das. )a'os

clic en instalar !" "erver.

18


19/91

('peare'os por instalar los co'ponentes principales< despuHs los co'ponente

adicionales , final'ente inicia'os el asistente de ad'inistración del servidor.

19


20/91

(n este pantallao nos da a conocer el producto ue va'os a instalar en nuestro

euipo< da'os clic en siguiente para continuar.

)espuHs de aber ledo , aceptado los tHr'inos de la licencia da'os clic en

siguiente para continuar.

20


21/91

(n el siguiente cuadro de dialogo nos pedir+ infor'ación b+sica del cliente co'o lo

es el respectivo no'bre , la organiación a la ue esta vinculado.

NOTA: %o'o es un producto de prueba el nu'ero de la serial ,a viene

especificado por defecto< de lo contrario le debe'os copiar la ue el proveedor nosde a la ora de aduirir la licencia. )a'os clic en siguiente para continuar.

(l paso a seguir es escoger el tipo de instalación< en nuestro caso ser+ la tercera

opción< la cual incluira el servidor ad'inistrador , el de al'acena'iento de

configuración.

21


22/91

%o'o pode'os observar< se instalara las caractersticas de servidor< ad'inistrador

de !" "erver , servidor de al'acena'iento de configuración. &a'biHn

especificare'os la ruta en donde uedaran guardados los arcivos de nuestro !"

"erver. (n este caso se deja por defecto< clic en siguiente para continuar.

22


23/91

(n el cuadro de dialogo especifica'os si desea'os crear un nuevo servidor de

al'acena'iento< o si ,a tene'os uno pode'os replicarlo , crear una copia.

ntes de continuar< leere'os atenta'ente la advertencia , si cu'pli'os las

especificaciones ue all nos dice< dare'os clic en siguiente para continuar con la

instalación.

23


24/91

(specifica'os aora la red interna ?L@ la cual va a estar asociada a una interfa

fsica de nuestro euipo.

O&* %o'o se 'enciono anterior'ente nuestro euipo debe estar dotado condos interfaces fsicas< una para asociar la red interna ?L@ , la otra para asociar

la red e;terna ?9@.

)a'os clic en agregar< para especificar el intervalo de red a utiliar en nuestra L

24


25/91

%o'o ve'os< nos el asistente nos per'ite< agregar de una ve el adaptador fsico

de nuestra interfa< o un direcciona'iento privado ,a especificado por el asistente<

o por ulti'o agregar nosotros 'anual'ente el intervalo de red a utiliar. 0or

co'odidad decidi'os agregar el intervalo de red 'anual'ente< para esto le da'os

clic en gregar intervalo.

(n el siguiente cuadro especificare'os el rango de red de nuestra L< da'os clicen aceptar para continuar.

25


26/91

os deber+ uedar as< da'os clic en aceptar para continuar.

O&* 0ode'os agregar cuantos intervalos de red uera'os< de acuerdo a

nuestras necesidades.

26


27/91

(n este cuadro de dialogo nos per'ite decidir si uere'os ue nuestro fire/all

utilice cifrado para las cone;iones de nuestros clientes< es opcional el 'arcar o

dejar des'arcado el cuadrito blanco. )a'os clic en siguiente para continuar<

u nos est+n advirtiendo los servicios ue se reiniciaran , los ue sedesabilitaran durante la instalación del !" "erver. %lic en siguiente para

continuar.

27


28/91

Listo da'os clic en instalar para proceder a tener el servidor !" "erver corriendo

en nuestra 'auina.

28


29/91

(spera'os a ue se ter'ine de instalar todos los arcivos , co'ponentes

adicionales.

&er'inada la instalación pode'os proceder a ejecutar el asistente de

ad'inistración de nuestro servidor. 0ara esto culea'os el cuadrito co'o se

'uestra en la i'agen. )a'os clic en finaliar.

29


30/91

"i todo salio bien nos deber+ aparecer el asistente de configuración co'o se

'uestra en el pantallao.

30


31/91

POLITICA POR DEFECTO DENEGAR 1DROP

PARA TENER EN CUENTA:

&er'inada la instalación de nuestro 8ire/all< este e'pear+ a aplicar la regla por

defecto establecida en el producto< en este caso del !" "erver es denegar todo el

trafico de red< por lo ue nuestra 'auina estar+ total'ente bloueada.

DAR ACCESO A INTERNET A NUESTRO 'OST LOCAL:

(ntendiendo co'o ost local< al euipo donde estar+ corriendo nuestro 8ire/all.

)espuHs de instalado el 8ire/all< uere'os acceder a !nternet desde nuestro ost<

pero nos aparece el siguiente error*

u nos dice ue el fire/all instalado en la 'auina< en este caso el !" "erver<

esta bloueando toda petición ue se aga desde el ost asta el 0ro;, ?se ace

petición al 0ro;,< por 'otivo de ue en la red en la ue esta'os 'ontando el

laboratorio< tiene configurado un 0ro;,@ por el cual tene'os acceso a !nternet< la

31


32/91

esta recaando< esto se debe a la poltica por defecto ue es denegar todo el

trafico de pauetes desde , acia !nternet.

Ge%era%(" re3#as:

ccedere'os al asistente de configuración.

%o'o pode'os ver< la >nica regla ue se esta aplicando en nuestro servidor es de

denegar todo< procedere'os a generar una nueva regla la cual per'itir+ ue el

ost local tenga acceso a !nternet. 0ara esto da'os clic en tareas , seguida'ente

en crear regla de acceso.

(n el siguiente cuadro de dialogo nos pedir+ especificar el no'bre de la nueva

regla a crear< la cual la lla'are'os* 0er'itir salir a !nternet a ost local.

32


33/91

)a'os clic en siguiente para continuar.

33


34/91

ora especificare'os la acción a cu'plir con dica regla la cual ser+ per'itir. %lic

en siguiente para continuar.

"eguida'ente procedere'os a elegir el protocolo ue uere'os ue nuestro

8ire/all no filtren , per'ita la co'unicación de pauetes. (n este caso ue es dar

acceso a !nternet a nuestro ost local le dare'os el protocolo ttp. 0ara esto

da'os clic en agregar< nos aparecer+ algo as*

34


35/91

(st+n son algunas carpetas ue vienen establecidas por defecto< las cuales

contienen los protocolos 'as co'unes en una red de datos. os ubicare'os en la

carpeta de protocolos '+s co'unes , da'os clic.

35


36/91

(l asistente nos desplegara una lista de protocolos '+s co'unes< en la cual

elegire'os el protocolo de !nternet ue es el ttp , da'os clic en agregar.

os deber+ uedar algo si'ilar a esta i'agen. "i es as da'os clic en siguiente

para continuar.

36


37/91

(n este cuadro de dialogo nos piden especificar el origen de la co'unicación< o

desde donde se originara< para ello da'os clic en gregar.

os aparecer+ para escoger si es una red en especfico< un ost< una subred….

(n este caso ser+ una red ?!nterfa de la 9@< para esto da'os clic en la

carpeta redes.

37


38/91

(sta carpeta desplegara un listado de redes asociadas al euipo< co'o la regla es

per'itir ue nuestro servidor tenga acceso a !nternet< escogere'os la opción ue

dice ost local. R da'os clic en aceptar.

38


39/91

ora el asistente nos pide especificar el destino a ue le per'itire'os ue el ost

local se pueda co'unicar< en este caso es la red 9 o !nternet. 0ara esto da'os

clic en agregar.

os ubica'os en la carpeta de red< , selecciona'os la red e;terna ?!nternet@ co'o

destino< posterior'ente da'os clic en agregar. )eber+ uedar as*

39


40/91


40


41/91

u el asistente nos pide especificar a los usuarios ue per'itir+ dar acceso a

!nternet.

NOTA: &eniendo en cuanta ue el origen va a acer el ost local< los usuarios ue

per'itire'os salir a !nternet son los ue est+n creados en el ost local.


(n este cuadro de dialogo nos 'uestra los detalles de la nueva regla acabada de

crear por nosotros. )a'os clic en finaliar.

41


42/91

Listo< aora la nueva regla se puede visualiar en la directiva de 8ire/all< para

poder ue se cu'pla debe'os dar clic en aplicar.

)espuHs de recargar nuestro 8ire/all< da'os clic en ceptar

42


43/91

ntes de intentar salir a !nternet verifica'os ue nuestra interfa 9 este

correcta'ente configurada con la !0 publica ue nos provee el proveedor de

!nternet.

%o'o pode'os ver todos los par+'etros est+n correcta'ente configurados< aora

si procedere'os a abrir nuestro navegador favorito , tratar de navegar< para

verificar ue la regla anterior'ente creada esta correcta.

43


44/91

0erfecto< aora ,a pode'os navegar desde nuestro ost local. racias a la regla

anterior'ente creada.

('peare'os a configurar nuestro servidor !" "erver teniendo en cuenta el

siguiente escenario*

44


45/91

Esce%ari" a Desarr"##ar:

Rec$rs"s:

(uipo servidor de !" "erver.

"/itc

5 servidores en la L.

)os (uipos ad'inistradores.

(uipos de la L.

Re-$isit"s a c$.4#ir:

)ar acceso desde !nternet a nuestros 5 servidores* ""< %orreo< 9eb 'ail seguro<cceso a planta telefónica< 9eb.

)enegar cceso de los usuarios co'unes de la L a* 9eb< %orreo< Nuego

%ounter "triMe< :sn.

0er'itir ue los dos euipos de ad'inistradores accedan a !nternet.

45


46/91

Desarr"##a%(" esce%ari":

NOTA: %abe acordar ue nuestro servidor !" "erver< ,a le e'os configurado la

pri'era regla< ue es dejar salir a !nternet nuestro servidor !" "erver< la cual va a

aplicar al euipo ost ?servidor !"@<

E.4e/a%(" (es(e #" 5sic":

('peare'os creando reglas b+sicas< las cuales nos van a ir dando confiana con

nuestro servidor !" "erver.

Ace4ta%(" Pi%3 (es(e #a re( LAN a Fire)a##,

brire'os el ad'inistrador de servidor !" "erver< nos ubicare'os en d'inistrar

directivas de 8ire/all< tareas , agregar regla de acceso. os deber+ aparecer elsiguiente cuadro de dialogo*

Le dare'os un no'bre a la nueva regla< la cual ser+ 0ing desde L a O"&

?ue es el euipo donde estar+ instalado nuestro !" "erver@.

46


47/91

"eguida'ente especificare'os la acción ue va a cu'plir dica regla< co'o#

uere'os ue los euipos de la L puedan dar ping a nuestro !" "erver< la

acción es per'itir. %lic en siguiente.

47


48/91

(n la opción agregar especificare'os el protocolo ue uere'os per'itir en dica

regla en nuestro caso ser+ el de ping*

)espuHs de seleccionarlo , agregarlo nos deber+ aparecer el siguiente cuadro de

dialogo*

48


49/91


)are'os clic en agregar para escoger desde ue red se generara la petición ping.

49


50/91

ora especifica'os el origen del pauete ping< en este caso ser+ desde la propia

L< por lo ue escogere'os la opción de red interna< da'os clic en gregar ,

cerrar< por lo ue uedara co'o se 'uestra a continuación*

50


51/91

)are'os clic en siguiente para continuar.

(l cuadro de dialogo nos pedir+ ue especifiue'os el destino ue tendr+ nuestra

petición ping< para ello dare'os clic en agregar.

51


52/91

(scogere'os ue el destino sea nuestra 'auina ost local ?servidor !" "erver@<

gregar , cerrar.

%lic en siguiente para continuar.

(specifica'os a ue todos los usuarios se le cu'plan la regla. %lic en siguiente.

0antallao

%o'o se puede observar< nos 'uestra las caractersticas con la ue se genero la

nueva regla en nuestro !" "erver< dare'os clic en finaliar para ter'inar con la

creación de la regla.

ora dare'os clic en plicar , ceptar.

52


53/91

'ACIENDO PRUEBAS.

os ubicare'os en un euipo de la L< , tratare'os de dar ping a nuestro

servidor !" "erver< el resultado deber+ ser satisfactorio.

Berifica'os ue el euipo tenga una !0 en el rango de la L.

NOTA: (l usuario esta i'ple'entando un siste'a operativo Cbuntu.

Dien< esta en el rango de la L del servidor !" "erver. ora procedere'os a

ejecutar el co'ando ping.

la interfa de la L del servidor !" "erver.

53


54/91

la interfa 9 de nuestro servidor !" "erver.

"i los resultados fueron si'ilares a los anteriores< entonces da'os co'o

conclusión ue la regla creada para este fin esta funcionando correcta'ente.

54


55/91

ACCEDIENDO A NUESTRO SERVIDOR SS' DESDE LA RED +AN,

%o'o uno de los reuisitos del escenario es per'itir el acceso desde la 9 al

servidor "" ue tene'os corriendo en un euipo dentro de la red L<

procedere'os a crear una regla en !" "erver para poder cu'plir con este punto.

)esde la directiva de fire/all creare'os una nueva regla de acceso.

os ubicare'os en tareas< , publicar protocolos de servidor no 9eb. os

aparecer+ el siguiente cuadro de dialogo.

(specificare'os el no'bre con el ue va'os a lla'ar a la nueva regla. )a'os clic

en siguiente.

NOTA: "e escoge la opción de publicar servidor no 9eb< ,a ue lo ue se busca

es redireccionar desde el 8ire/all la cone;iones ue vengan desde la red 9

acia un euipo local de la red.

55


56/91

(n este cuadro de dialogo< especificare'os la dirección !0 ue tendr+ nuestro

euipo de la red L< el cual ser+ la !0 del servidor "". %lic en siguiente.

56


57/91

ora seleccionare'os el puerto ue va'os a redireccionar< co'o el puerto del

"" no esta especificado en la lista de protocolos< nos tocara asignar uno nuevo

por la opción nuevo.

(specifica'os el no'bre del nuevo protocolo< el cual lo lla'are'os open ss. %licen siguiente.

57


58/91

ora dare'os clic en nueva para definir el puerto , tipo de protocolo a utiliar.

(n dirección es entrada por ue todos los pauetes vendr+n desde la 9 acia

la red L< , pel puerto ue especificare'os ser+ 22. %lic en aceptar para

continuar

58


59/91

ora dare'os clic en siguiente.

)are'os clic en siguiente< especificando ue no desea'os aceptar cone;iones

secundarias en nuestro servidor "".

59


60/91

8inaliado la creación de nuestro protocolo ""< nos 'uestra las caractersticas

con la ue uedo nuestro protocolo en el !" "erver. %lic en finaliar.

)are'os en siguiente para continuar nuestra configuración.

60


61/91

ora especificare'os desde donde se generara las peticiones ""< las cuales

vendr+n desde la red 9. %lic en siguiente para continuar.

&er'inada la regla< da'os clic en finaliar.

61


62/91

'ACIENDO PRUEBAS:

&er'inada la creación de la regla< desde un euipo de la red 9< tratare'os de

acceder al servidor "" de la red L< con la erra'ienta putt,.

%o'o pode'os observar< al euipo ue real'ente esta'os accediendo desde

!nternet< no es al servidor "" directa'ente< ,a ue el "" esta corriendo en la

red L< o sea en una red privada< lo ue significa ue desde la red 9 esta red

no es alcansable< por lo ue nos debere'os conectar al fire/all< , este se

encargara de redireccionarnos al servidor ""< ue fue la regla ue anterior'ente

crea'os.

62


63/91

)espuHs de conectarnos re'ota'ente< el servidor "" nos pedir+ ue nos

logue'os< con un usuario , contrase=a ue deber+ e;istir en el euipo donde esta

corriendo nuestro servidor "".

"i el usuario , contrase=a son correctos< nos deber+ dejar acceder a la 'auinare'ota< co'o lo pode'os observar en el pantallao anterior.

63


64/91

ACCEDIENDO A NUESTRO SERVIDOR DE CORREO DESDE LA RED +AN,

ora per'itire'os ue desde la red 9 se pueda acceder a nuestro servidor de

correo< ue esta ubicado en el interior de nuestra L.

0ara ello creare'os una nueva regla en nuestro fire/all.

os ubicare'os en directivas de fire/all< tareas , da'os clic en , publicar

protocolos de servidor de correo. os deber+ aparecer el siguiente cuadro de

dialogo*

(n el cual nos pedir+ el no'bre de la nueva regla ue se regir+ desde nuestro

fire/all. %o'o es de per'itir cone;iones desde el e;terior asta nuestro servidor

de correo en el interior de la L< le di'os el no'bre de acceso servidor….


64


65/91

ora nos pedir+ el tipo de acceso a nuestro servidor de correo. (scogere'os la

pri'era opción si lo ue uere'os es ue sean clientes ue tengan acceso a

nuestro servidor< pero si lo ue uere'os es una co'unicación de servidor a

servidor< escogere'os la segunda opción. (n nuestro caso ser+ la pri'era ,dare'os clic en siguiente para continuar.

65


66/91

ora seleccionare'os el servicio ue publicare'os< escogere'os el de ":&0< ,a

ue lo ue publicare'os ser+ un servidor de correo< dare'os clic en siguiente para

continuar.

66


67/91

ora nos pedir+ especificar la !0 con la ue estar+ configurado nuestro servidor

de correo< recorde'os ue el servidor esta dentro de la L lo ue esta en el

rango de !0 privado de nuestra corporación.

ora especifica'os las redes ue estar+n per'itidas a realiar peticiones a

nuestro servidor de correo< co'o es desde la red 9 ue uere'os ue tengan

acceso escogere'os la red e;terna , dare'os clic en siguiente.

67


68/91

Listo< dare'os clic en finaliar< aplicare , aceptar.

'ACIENDO PRUEBAS:

&er'inado de publicar nuestro servidor de correo< procedere'os a acer la

respectiva prueba< desde una 'auina de la red 9< accedere'os por telnet alpuerto 25 de la 'auina donde esta nuestro servidor de correo.

68


69/91

%o'o pode'os observar< are'os un telnet a nuestro servidor de correo< ue esta

(scucando por el puerto 25.

0ode'os observar ue esta'os conect+ndonos< espera'os a ue se ter'ine de

conectar con nuestro servidor.

69


70/91

&er'inada la cone;ión< pode'os observar ue nuestro servidor de correo es un

postfi;< , esta corriendo en una 'auina ubuntu. "i nos aparece co'o se puede

ver en el recuadro anterior es por ue todo esta correcto.

ACCEDIENDO A NUESTRO SERVIDOR +EB AIL SEGURO DESDE LA RED

+AN

ora necesita'os ue desde la red 9 accedan a nuestro 9eb 'ail seguro<

para lograr esta aa=a< procedere'os a crear una nueva regla de acceso< para

esto nos ubicare'os en directivas de fire/all< tareas , publicar servidor de correo.

70


71/91

%o'o sie'pre al 'o'ento de crear una nueva regla en nuestro fire/all< nos pedir+

ue la no'bre'os< esta la lla'are'os acceso a /eb'ail seguro< ,a ue la

co'unicación se ar+ de 'anera cifrada. %lic en siguiente.

71


72/91

ora seleccionare'os el tipo de acceso ue per'itire'os< el cual ser+ acceso de

clientes< co'o el anterior , clic en siguiente.

ora seleccionare'os el servicio a publicar el cual ser+ el ":&0 de 'anera

segura< ,a ue ser+ el /eb'ail seguro. %lic en siguiente.

72


73/91

(specificare'os la !0 de nuestro servidor de /eb'ail seguro< el cual estar+ en el

rango de la !0 privada< clic en siguiente.

ora especifica'os la red ue tendr+ acceso a nuestro 9eb 'ail seguro la cual

ser+ la e;terna< clic en siguiente.

73


74/91

)are'os clic en finaliar para cul'inar con la creación de nuestra nueva regla de

acceso< posterior'ente dare'os clic en aplicar , aceptar.

PARA TENER EN CUENTA:

%o'o se planteo en el ejercicio< debe'os dar acceso a unos cuantos servicios denuestra L desde !nternet< pero seria 'u, canson< estar repitiendo el 'is'o

procedi'iento para cada uno de ellos< lo cual se deduce ue con los 3 eje'plos

ue se dieron anterior'ente< se puede decir ue se aclaro el co'o generar reglas

de acceso para los servicios.

Los ue uedaron por e;plicar en este docu'ento< se desarrollan si'ilar'ente a

los desarrollados anterior'ente< con la >nica diferencia ue se le ca'bia el

no'bre de la regla< el protocolo , el puerto por donde estar+ escucando dico

servicio.

0ara blouear las aplicaciones 'encionadas en el ejercicio< es si no dejar el

servidor !" "erver co'o lo tene'os< sin crear ninguna regla de per'isos< ,a ue

por defecto viene denegando todas las peticiones ue se agan desde la L

acia el e;terior< por lo ue no necesitare'os preocuparnos por blouear los

servicios ue all nos 'encionan ue blouee'os< a 'edida ue va,a'os

necesitando ue los usuarios se co'uniuen por un servicio en especifico< va'os

creando las respectivas reglas para ue no a,an ning>n tipo de inconvenientes<

74


75/91

por lo ue nos uedara faltando crear la regla para ue los ad'inistradores tengan

acceso a !nternet.

PERITIR A LOS ADINISTRADORES ACCESO A INTERNET DESDE LA RED

LAN

%ul'inada la creación de las reglas para los usuarios de la red 9 , la red L<

continuare'os desarrollando los reuisitos del ejercicio planteado al principio de

este artculo< el cual nos 'enciona per'itir ue los dos usuarios ad'inistradores

tengan acceso a !nternet desde la red L.

os ubica'os en directivas de fire/all< posterior'ente elegi'os la opción tareas< ,

crear nueva regla de acceso.

(n el cuadro de dialogo ue nos aparece< especificare'os el no'bre ue

uere'os ponerle a nuestra regla. %lic en siguiente para continuar.

75


76/91

ora especifica'os la acción ue el fire/all va a ejecutar para dica regla< la cual

ser+ per'itir< clic en siguiente para continuar.

ora nos pregunta ue protocolos va'os a per'itir en esta regla< selecciona'osagregar , siguiente.

76


77/91

os deber+ aparecer el siguiente cuadro de dialogo< en el cual seleccionare'os el

o los protocolos para la regla ue esta'os creando. os ubica'os en la carpeta

ue corresponda al protocolo ue esta'os buscando , la desplega'os.

l seleccionar la carpeta se despliega los protocolos ue est+n relacionados con la

'is'a< co'o esta es una regla para acceso a la 9eb< escogere'os los

protocolos correspondientes< los cuales son )" , ttp.

77


78/91

0osterior'ente dare'os clic en gregar.

ora ,a nos aparece los protocolos ue se cu'plir+n en dica regla< dare'os clic

en siguiente para continuar.

NOTA: ubiHse'os podido especificar todo el tr+fico saliente< pero nos referi'os

al punto del ejercicio para desarrollar dica regla< aunue la regla aplicara a

usuarios ad'inistradores.

78


79/91

ora escogere'os el origen de la petición< da'os clic en agregar para continuar.

ueva'ente nos ubicare'os en la carpeta la cual contenga el origen de la

co'unicación< en este caso ser+n los dos euipos ad'inistradores< los cuales

ser+n en la carpeta euipos< la desplega'os , nos aparecer+n los euipos de

nuestra L.

%o'o pode'os ver< est+n los euipos de la L< escogere'os a los euipos delos ad'inistradores. 0osterior'ente le da'os clic en gregar.

79


80/91

O&S Los euipos se deben agregar 'anual'ente< d+ndole clic en nuevo<

euipo< , especifica'os la !0 del euipo , el no'bre.

Ra agrega'os los euipos ad'inistradores< desde donde se generaran las

peticiones 9eb< da'os clic en siguiente para continuar.

80


81/91

ora especifica'os acia donde estar+ orientado el trafico de los dos

ad'inistradores de la L< el cual los agregare'os dando clic en el icono gregar.

ueva'ente ubica'os la carpeta ue contenga el destino ue este'os buscando

, la desplegare'os desde el icono T.

81


82/91

os aparecen posibles destinos< el cual agregare'os la red e;terna< ,a ue es la

red de !nternet< da'os clic en gregar.

Listo uedo ,a especificado el destino al ue tendr+n acceso nuestros

ad'inistradores< dare'os clic en siguiente para continuar.

82


83/91

ora especifica'os a ue usuarios aplicara dica regla< co'o es el euipo

ad'inistrador nos poda'os i'aginar f+cil'ente ue el >nico ue tendr+ acceso a

la 'auina es el respectivo ad'inistrador< lo cual podra ingresar desde cualuier

usuario de ese euipo< por eso deja'os la opción ue el !" "erver nos arroja por

defecto. R da'os clic en siguiente.

ora dare'os clic en finaliar< para cul'inar de crear nuestra nueva regla.

0osterior'ente clic en plicar , ceptar para ue nuestro servidor 8ire/all coja los

ca'bios , cargue nuestra nueva regla.

83


84/91

CONFIGURANDO PRO7! +EB EN ISA SERVER

ora e'peare'os a configurar un servidor 0ro;, 9eb con el fin de aorrar

recursos de anco de banda con respecto a peticiones ttp , por supuesto a filtrar

pauetes de acuerdo a sus e;tensiones , las urls. 0ara ello nos ubicare'os en

nuestro ad'ón. )e !" "erver , en la opción cace nos deber+ aparecer algo

si'ilar a lo siguiente*

u nos 'uestra el no'bre de nuestra partición en disco< su espacio total< para

poder asignar un ta'a=o para la cace dare'os clic dereco la opción

propiedades*

84


85/91

%o'o pode'os observar el espacio ue se le asigno a la cace fue de 1## :D ,

estar+ guardada en la unidad %* de nuestro disco. )are'os clic en aceptar para

continuar.

ora en red< selecciona'os la red interna< clic dereco , propiedades.

85


86/91

(n la opción 0ro;, 9eb le configurare'os el puerto por donde los usuarios se van

a conectar al 0ro;,< el cual ser+ por donde estar+ corriendo dico servicio en

nuestro caso ser+ el puerto 312$. plicar aceptar.

ora nos ubica'os en la 'atri de nuestro servidor< en la regla ue le estaper'itiendo dar salida a todos nuestros usuarios de la red al e;terior< dare'os clic

dereco escogere'os la opción configurar ttp , nos deber+ aparecer el siguiente

cuadro de dialogo*

ora nos ubicare'os en la pesta=a e;tensiones< selecciona'os la opción de

denegar e;tensiones< si lo ue uere'os es denegar las e;tensiones ue se

'encionaran en este cuadro< de lo contrario la opción ue 'as le sea de utilidad.

)a'os clic en agregar , nos debe aparecer el siguiente cuadro de dialogo*

86


87/91

(scribire'os las e;tensiones ue uere'os ue nuestro 0ro;, filtre a los usuarios<

dare'os clic en aceptar. os deber+ uedar algo si'ilar a lo siguiente*

Ra teniendo definidas las e;tensiones a filtrar dare'os clic en aplicar , aceptar.

87


88/91

ora especificare'os las url ue uere'os ue filtre nuestro 0ro;,< para ello nos

ubica'os donde nos 'enciona el recuadro , da'os clic en agregar.

(scribire'os el no'bre ue le uere'os poner al conjunto de reglas ,

posterior'ente las url a denegar. ora dare'os clic en aplicar , aceptar<

88


89/91

%o'o en nuestra red a, un 0ro;, padre< configurare'os a nuestro 0ro;, para

ue se redireccione , pueda reenviar las peticiones al 0ro;, global de nuestra

co'pa=a< co'o nos 'uestra la i'agen anterior nos ubica'os en esa ruta ,

dare'os clic dereco propiedades.

89


90/91

)are'os clic en la pesta=a acción , escogere'os la ue 'enciones

redirigiHndolas a un servidor…. R configuración*

ora especifica'os la !0 del 0ro;, padre< el puerto por donde escuca , aceptar.

0ara acer las respectivas pruebas< desde un euipo de nuestra L<

configurare'os en el navegador por la opción erra'ientas< opciones de !nternet<

avanado< red< servidor 0ro;,< , dare'os la !0 de nuestra 'auina ue esta

sirviendo co'o 0ro;,< con el puerto por donde el servicio este escucando.

90


91/91

CONCLUCIONES

• "e nos facilito el uso de la erra'ienta por ser entorno grafico la

configuración.

• Duena docu'entación pese a estar en ingles la gran 'a,ora de esta.

• "e contó con los recursos necesarios para 'ontar , poder si'ular una red

co'o la del escenario.

• "e alcanaron los objetivos propuestos en el escenario.

• "e logro i'ple'entar 0ro;, co'o contra'edida o refuero para el fire/all.

• "e obtuvo conoci'iento de la erra'ienta 'as utiliada en :icrosoft co'o

fire/all.

instalación y configuración de isa server 2006

Documents