FIREWALL ISA SERVER

8/7/2019 FIREWALL ISA SERVER

1/41

INSTALACION YCONFIGURACION

FIREWALL PARA WINDOWS CON ISA SERVER

INSTALACION DE ISA SERVER

Procederemos a hacer la respectiva instalacin, para estodescargaremos la versin de prueba de 180 das desde la siguiente URL:http://www.microsoft.com/downloadS/details.aspx?familyid=95AC1610-C232-4644-B828-C55EEC605D55&displaylang=esNOTA: Como ya se menciono anteriormente nuestro WindowsServer 2003 debe tener instalado el SP1 o SP2, respectivamente, sipor algn motivo no tenemosactualizado nuestro sistema, lo primero que debemos hacer antesde proceder ainstalar ISA Server es dejar nuestro equipo con losrequerimientos antes mencionados.Actualizando nuestro Sistema:Como nuestro sistema no tiene instalado el service pack 2,procederemos a instalarlo, para poder ejecutar el ISA Server.Para esto descargaremos el paquete de SP2 desde la siguiente URL:

Despus de descargado procederemos a ejecutarlo:

Despus de extraer todos los archivos, nos aparecer el siguiente cuadrode dialogo:
http://www.microsoft.com/downloadS/details.aspx?familyid=95AC1610-C232-http://www.microsoft.com/downloadS/details.aspx?familyid=95AC1610-C232-http://www.microsoft.com/downloadS/details.aspx?familyid=95AC1610-C232-http://www.microsoft.com/downloadS/details.aspx?familyid=95AC1610-C232-


2/41


Aqu nos estn recomendando hacer backup de nuestro sistema comotal, para mayor seguridad. Le damos siguiente.

Nos especifican la licencia del producto el cual deberemos estar deacuerdo para poder proseguir con nuestra actualizacin del sistema.Despus de aceptar la licencia damos siguiente.


3/41


En este cuadro de dialogo, nos muestra la ruta donde quedaranguardados losarchivos del SP2 despus de instalados, si queremos lo dejamos pordefecto, de lo contrario le podemos cambiar la ruta y especificarle laque nosotros queramos.

Damos siguiente terminada la especificacin de la ruta donde quedaranlos archivos de actualizacin del sistema.

Esperamos a que el asistente compruebe la configuracin actual denuestro sistema, e instale los archivos nuevos. Terminada la

actualizacin damos clic en finalizar y


4/41



5/41


esperamos a que se reinicie nuestro equipo para que los cambios hechoshagan efecto.

Instalacin ISA Server:Terminada la actualizacin de nuestro sistema, podemos ahora siproceder a instalar el Servidor ISA Server, para esto ejecutamos el

instalador del ISA Server, descargadoanteriormente desde la pgina oficial de Microsoft.Esperamos a que se extraiga todos los archivos del ejecutable.


6/41


Despus de terminado de extraer todos los archivos necesarios para lainstalacin, nos deber aparecer el siguiente cuadro de dialogo:


7/41


Como se puede apreciar, tenemos la posibilidad leer un poco sobre lascaractersticas del producto antes de instalarlo. Es importante tener encuenta que la versin que estamos utilizando es una versin de prueba

de 180 das. Damos clic en instalar ISA Server.

Empezaremos por instalar los componentes principales, despus loscomponente adicionales y finalmente iniciamos el asistente deadministracin del servidor.


8/41


En este pantallazo nos da a conocer el producto que vamos a instalaren nuestroequipo, damos clic en siguiente para continuar.


9/41


Despus de haber ledo y aceptado los trminos de la licencia damosclic en siguienteparacontinuar.

En el siguiente cuadro de dialogo nos pedir informacin bsica delcliente como lo es el respectivo nombre y la organizacin a la que estavinculado.NOTA: Como es un producto de prueba el numero de la serial ya vieneespecificado por defecto, de lo contrario le debemos copiar la que el


10/41


proveedor nos de a la hora de adquirir la licencia. Damos clic ensiguiente para continuar.


11/41


El paso a seguir es escoger el tipo de instalacin, en nuestro casoser la tercera opcin, la cual incluira el servidor administrador y el dealmacenamiento de configuracin.


12/41


Como podemos observar, se instalara las caractersticas de servidor,administrador de ISA Server y servidor de almacenamiento deconfiguracin. Tambin especificaremos la ruta en donde quedaranguardados los archivos de nuestro ISA Server. En este caso se deja pordefecto, clic en siguiente para continuar.

En el cuadro de dialogo especificamos si deseamos crear un nuevo

servidor de almacenamiento, o si ya tenemos uno podemos replicarlo ycrear una copia.


13/41


Antes de continuar, leeremos atentamente la advertencia y sicumplimos las especificaciones que all nos dice, daremos clic ensiguiente para continuar con la instalacin.

Especificamos ahora la red interna (LAN) la cual va a estar asociada auna interfaz fsica de nuestro equipo.NOTA: Como se menciono anteriormente nuestro equipo debe estardotado con dos interfaces fsicas, una para asociar la red interna (LAN)y la otra para asociar la red externa (WAN).Damos clic en agregar, para especificar el intervalo de red a utilizaren nuestra LAN


14/41


Como vemos, nos el asistente nos permite, agregar de una vez eladaptador fsico denuestra interfaz, o un direccionamiento privado ya especificado por elasistente, o por ultimo agregar nosotros manualmente el intervalo dered a utilizar. Por comodidaddecidimos agregar el intervalo de red manualmente, para esto ledamos clic enAgregar intervalo.

En el siguiente cuadro especificaremos el rango de red de nuestra LAN,damos clic en aceptar para continuar.


15/41


Nos deber quedar as, damos clic en aceptar paracontinuar.NOTA: Podemos agregar cuantos intervalos de red queramos, deacuerdo a nuestras necesidades.

En este cuadro de dialogo nos permite decidir si queremos quenuestro firewall utilice cifrado para las conexiones de nuestros clientes,es opcional el marcar o dejar desmarcado el cuadrito blanco. Damos clicen siguiente para continuar,


16/41


Aqu nos estn advirtiendo los servicios que se reiniciaran y los que sedeshabilitaran durante la instalacin del ISA Server. Clic en siguientepara continuar.

Listo damos clic en instalar para proceder a tener el servidor ISA Servercorriendo en nuestra maquina.


17/41


Esperamos a que se termine de instalar todos los archivos ycomponentes adicionales.


18/41


Terminada la instalacin podemos proceder a ejecutar el asistente deadministracin de nuestro servidor. Para esto chuleamos el cuadritocomo se muestra en la imagen. Damos clic en finalizar.


19/41


Si todo salio bien nos deber aparecer el asistente de configuracincomo se muestra en el pantallazo.

POLITICA POR DEFECTO DENEGAR

(DROP) PARA TENER EN CUENTA: Terminada la instalacin de nuestro Firewall, este empezar a aplicarla regla pordefecto establecida en el producto, en este caso del ISA Server esdenegar todo el trafico de red, por lo que nuestra maquina estartotalmente bloqueada.DAR ACCESO A INTERNET A NUESTRO HOST LOCAL:Entendiendo como host local, al equipo donde estar corriendo nuestroFirewall. Despus de instalado el Firewall, queremos acceder aInternet desde nuestro host,pero nos aparece el siguiente error:


20/41


Aqu nos dice que el firewall instalado en la maquina, en este caso el ISAServer, esta bloqueando toda peticin que se haga desde el host hastael Proxy (se hace peticin al Proxy, por motivo de que en la red en laque estamos montando el laboratorio, tiene configurado un Proxy) por elcual tenemos acceso a Internet, la esta rechazando, estose debe a la poltica por defecto que es denegar todo el trafico depaquetes desde y hacia Internet.Generandoreglas:Accederemos al asistente deconfiguracin.


21/41


Como podemos ver, la nica regla que se esta aplicando en nuestroservidor es de denegar todo, procederemos a generar una nueva reglala cual permitir que el host local tenga acceso a Internet. Para estodamos clic en tareas y seguidamente en crear regla de acceso.En el siguiente cuadro de dialogo nos pedir especificar el nombre de lanueva regla a crear, la cual la llamaremos: Permitir salir a Internet a hostlocal.


22/41


Damos clic en siguiente para continuar.

Ahora especificaremos la accin a cumplir con dicha regla la cual serpermitir. Clic en siguiente para continuar.


23/41


Seguidamente procederemos a elegir el protocolo que queremos quenuestro Firewall no filtren y permita la comunicacin de paquetes. Eneste caso que es dar acceso a Internet a nuestro host local le daremosel protocolo http. Para esto damos clic en agregar, nos aparecer algoas:


24/41


Estn son algunas carpetas que vienen establecidas por defecto, lascuales contienen los protocolos mas comunes en una red de datos.Nos ubicaremos en la carpeta de protocolos ms comunes y damos clic.

El asistente nos desplegara una lista de protocolos mscomunes, en la cual elegiremos el protocolo de Internet que es el httpy damos clic en agregar.


25/41


Nos deber quedar algo similar a esta imagen. Si es as damos clic ensiguiente para continuar.

En este cuadro de dialogo nos piden especificar el origen de lacomunicacin, o desde donde se originara, para ello damos clic enAgregar.


26/41


Nos aparecer para escoger si es una red en especfico, un host, unasubred. Eneste caso ser una red (Interfaz de la WAN), para esto damos clic en lacarpeta redes.

Esta carpeta desplegara un listado de redes asociadas al equipo, comola regla es permitir que nuestro servidor tenga acceso a Internet,escogeremos la opcin que dice host local. Y damos clic en aceptar.


27/41


Ahora el asistente nos pide especificar el destino a que lepermitiremos que el host local se pueda comunicar, en este caso es lared WAN o Internet. Para esto damos clic en agregar.


28/41


Nos ubicamos en la carpeta de red, y seleccionamos la red externa(Internet) como destino, posteriormente damos clic en agregar. Deberquedar as:


29/41



Aqu el asistente nos pide especificar a los usuarios que permitirdar acceso aInternet.NOTA: Teniendo en cuanta que el origen va a hacer el host local, losusuarios que permitiremos salir a Internet son los que estn creados enel host local.Damos clic en siguiente para continuar.


30/41


En este cuadro de dialogo nos muestra los detalles de la nueva reglaacabada de crearpor nosotros. Damos clic en finalizar.


31/41


Listo, ahora la nueva regla se puede visualizar en la directiva deFirewall, para poder que se cumpla debemos dar clic en aplicar.

Despus de recargar nuestro Firewall, damos clic en AceptarAntes de intentar salir a Internet verificamos que nuestrainterfaz WAN este correctamente configurada con la IP publica que nosprovee el proveedor de Internet.


32/41


Como podemos ver todos los parmetros estn correctamenteconfigurados, ahora si procederemos a abrir nuestro navegador favoritoy tratar de navegar, para verificar que la regla anteriormente creadaesta correcta.

Perfecto, ahora ya podemos navegar desde nuestro host local. Gracias ala regla anteriormente creada.

Empezaremos a configurar nuestro servidor ISA Server teniendoen cuenta el siguiente escenario:

Escenario aDesarrollar:


33/41


Recursos:Equipo servidor de ISAServer. Switch5 servidores en laLAN.Dos Equiposadministradores. Equiposde la LAN.

Requisitos a

cumplir:Dar acceso desde Internet a nuestros 5 servidores: SSH, Correo, Webmail seguro, Acceso a planta telefnica, Web.Denegar Acceso de los usuarios comunes de la LAN a: Web, Correo,Juego CounterStrike,Msn.Permitir que los dos equipos de administradores accedana Internet.

Desarrollandoescenario:NOTA: Cabe acordar que nuestro servidor ISA Server, ya le hemosconfigurado la primera regla, que es dejar salir a Internet nuestroservidor ISA Server, la cual va aaplicar al equipo host (servidorISA),Empezando desde lobsico:Empezaremos creando reglas bsicas, las cuales nos van a ir dandoconfianza con nuestro servidor ISA Server.


34/41


Aceptando Ping desde la red LAN aFirewall.Abriremos el administrador de servidor ISA Server, nos ubicaremos enAdministrar directivas de Firewall, tareas y agregar regla de acceso. Nosdeber aparecer el siguiente cuadro de dialogo:


35/41


Le daremos un nombre a la nueva regla, la cual ser Ping desde LAN aHOST (que es el equipo donde estar instalado nuestro ISA Server).


36/41


Seguidamente especificaremos la accin que va a cumplir dicharegla, como0 queremos que los equipos de la LAN puedan dar ping anuestro ISA Server, la accin es permitir. Clic en siguiente.

En la opcin agregar especificaremos el protocolo que queremospermitir en dicha regla en nuestro caso ser el de ping:


37/41


Despus de seleccionarlo y agregarlo nos deber aparecer elsiguiente cuadro dedialogo:



38/41


Daremos clic en agregar para escoger desde que red se generara lapeticin ping.


39/41


Ahora especificamos el origen del paquete ping, en este caso ser desdela propia LAN, por lo que escogeremos la opcin de red interna, damosclic en Agregar y cerrar, por lo que quedara como se muestra acontinuacin:

Daremos clic en siguiente paracontinuar.


40/41


El cuadro de dialogo nos pedir que especifiquemos el destino quetendr nuestra peticin ping, para ello daremos clic en agregar.

Escogeremos que el destino sea nuestra maquina host local (servidorISA Server), Agregar y cerrar.Clic en siguiente para continuar.


41/41


Especificamos a que todos los usuarios se le cumplan la regla. Clicen siguiente. PantallazoComo se puede observar, nos muestra las caractersticas con la que segenero la nueva regla en nuestro ISA Server, daremos clic en finalizarpara terminar con la creacin de la regla.Ahora daremos clic en Aplicar yAceptar.

Documents

FIREWALL ISA SERVER