Embed Size (px)
Citation preview
Paso a Paso - Proteger una red y proveer acceso seguro a Internet
Este documento describe cómo proteger una red y brindar acceso seguro a Internet utilizando Windows Server 2003 e ISA Server 2004 Standard.
Imprimir Documento
Guardar Documento
1. Introducción.
Este documento describe la configuración de la protección de la red y el acceso seguro a Internet, utilizando Windows Server 2003 y Microsoft Internet Security and Acceleration (ISA) Server 2004. Microsoft Internet Security and Acceleration (ISA) Server 2004 es la solución de caché Web, firewall avanzado en el nivel de aplicación y red privada virtual (VPN) , que permite a los clientes obtener el máximo provecho de las inversiones en tecnologías de la información existentes, al mejorar la seguridad de la red y el rendimiento. ISA Server 2004 ofrece protección avanzada, facilidad de uso y acceso rápido y seguro para todo tipo de redes.
Es conveniente para proteger redes donde se utilizan aplicaciones de Microsoft, como Microsoft Outlook Web Access (OWA), Servicios de Microsoft Internet Information Server, Office SharePoint Portal Server, Servicio de Enrutamiento y acceso remoto, Servicio de Active Directory y demás aplicaciones.
Este documento está basado en el escenario donde la red se encuentra protegida a través de un servidor Windows Server 2003 con ISA Server 2004, como se muestra en el siguiente esquema: (Figura 1)
Se describirá cómo instalar Microsoft ISA Server 2004 y cómo
brindar acceso a Internet a través de reglas de acceso.
Requisitos : Un Servidor con hardware compatible con Windows Server 2003 y Microsoft ISA Server 2004 Server con dos interfaces, configuradas de tal manera que quede una placa para la red corporativa y otra interfaz para la red externa (Internet).
subir
2. Instalación de ISA Server 2004 Standard. ISA Server 2004 contiene un firewall de nivel de aplicación con características que ayudan a proteger a las organizaciones de todos los tamaños frente a amenazas de intrusión, tanto internas como externas. ISA Server 2004 realiza una inspección minuciosa de los protocolos de Internet , como el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol), que permite detectar numerosas amenazas que se escapaban a los firewalls tradicionales.
El firewall integrado y la arquitectura de VPN de ISA Server 2004 permiten el filtrado y la inspección de estado de todo el tráfico VPN . También posibilita la inspección de los clientes VPN para soluciones de cuarentena basadas en Microsoft Windows Server 2003 , contribuyendo a proteger las redes frente a ataques que se producen a través de una conexión VPN . Además, posee una interfaz de usuario completamente nueva, asistentes, plantillas y numerosas herramientas de administración que ayudan a los administradores a evitar errores comunes que se producen en la configuración de seguridad.
2.1 Pasos para instalar ISA Server 2004
2.1.1 Insertar el CD de instalación de ISA Server 2004 en la unidad de CD. Aparecerá la pantalla Programa de instalación de ISA Server 2004 (Figura 2). Hacer clic en el vínculo Instalar ISA Server 2004.
Figura 2
2.1.2 En Asistente para la instalación de Microsoft ISA Server 2004 (Figura 3) hacer clic en Siguiente .
Figura 3
2.1.3 En Contrato de licencia (Figura 4), leer el contrato y seleccionar la opción Acepto los términos del contrato de licencia y hacer clic en Siguiente.
Figura 4
2.1.4 En Información del cliente (Figura 5), escribir el nombre de usuario en el campo Nombre de usuario , el nombre de la organización en el campo Organización y el número de serie en Número de serie del producto . Luego hacer clic en Siguiente .
Figura 5
2.1.5 En Tipo de instalación (Figura 6), seleccionar el escenario que describe la instalación con mayor exactitud haciendo clic en la opción correspondiente:
Instalación típica . Se instalarán las características principales del programa (opción predeterminada).
Instalación completa . Se instalarán todas las características de los programas .
Instalación personalizada. Permite seleccionar las características del programa que se instalarán.
Seleccionar Típica y hacer clic en Siguiente.
Figura 6
2.1.6 El asistente mostrará la Red interna (Figura 7), donde se deben especificar los rangos de direcciones que se desean incluir en la red interna del servidor ISA. La red interna representa a las redes LAN de una empresa. Para agregar los intervalos de direcciones de red interna hacer clic en Agregar .
Figura 7
2.1.7 En esta pantalla (Figura 8) se deben agregar los rangos que se deseen incluir en la red Interna. Estos rangos pueden ser introducidos manualmente en la parte de Intervalos de direcciones. Luego se deben ingresar los rangos y hacer clic en Agregar . Una vez agregados hacer clic en Aceptar . Si se elige este procedimiento, dirigirse directamente al punto 2.1.11 . Otra opción es seleccionar el rango mediante la selección del adaptador de la red interna, haciendo clic en Seleccionar Adaptador de Red .
Figura 8 2.1.8 Seleccionar Adaptador de Red : hacer clic con el Mouse
en el o los adaptadores que estén conectados a la red interna y
luego hacer clic en Aceptar . (Figura 9)
Figura 9
2.1.9 Al hacer clic en Aceptar , aparecerá un mensaje advirtiendo sobre la definición de la red interna. Este se basa en la tabla de enrutamiento de Windows, que si no se configuró correctamente es posible que incluya direcciones externas o excluya direcciones internas (Figura 10). Hacer clic en Aceptar .
Figura 10
2.1.10 Una vez que se tienen los intervalos de dirección de la red interna, quitar aquellos que no pertenezcan a la misma con el botón Quitar desde Intervalos de direcciones de red interna, a menos que se desee agregar dichos intervalos a la red interna. Hacer clic en Aceptar . (Figura 11)
Figura 11
2.1.11 A continuación se verá el rango de dirección seleccionado; hacer clic en Siguiente . Existe la posibilidad de modificarlos haciendo clic en Cambiar (Figura 12)
Figura 12 2.1.12 En la instalación de ISA Server se deberá decidir si se
habilitará o no la comunicación de versiones anteriores de
Firewall. Isa Server 2004 soporta versiones de cliente de Firewall ISA Server 2000 y de Winsock Proxy Client 2.0 . Por defecto no se habilita la compatibilidad con esos clientes. Si se desea habilitarla, hacer clic en Permitir conectarse a los equipos con versiones anteriores de Cliente Firewall . (Figura 13)
Figura 13 2.1.12.1 ¿Qué es un cliente Firewall?
Un Cliente Firewall es un equipo con el software de Cliente Firewall instalado y habilitado. El equipo del cliente Firewall ejecuta aplicaciones Winsock que utilizan el servicio de Firewall de Microsoft, Microsoft Internet Security and Acceleration (ISA) Server 2004. Al configurar un cliente Firewall no se configurarán automáticamente las aplicaciones Winsock individuales.
En su lugar, utiliza un proveedor de servicios Winsock común que también usa las restantes aplicaciones. El cliente Firewall intercepta las llamadas de la aplicación y decide si deriva o no la petición al equipo servidor ISA. Se puede especificar si se habilita la compatibilidad con los clientes Firewall en la red específica. En caso afirmativo, el servidor ISA aceptará las peticiones entrantes en el puerto 1745.
Si un cliente Firewall utiliza una aplicación Winsock para solicitar un objeto a un equipo, el cliente comprueba si el equipo especificado se considera local. Una dirección se considera local si
se encuentra en el intervalo de direcciones incluido en la red especificada. Si el equipo no se considera local, la petición se envía al servicio de Firewall.
Este servicio trata la petición y la envía como petición permitida al destino adecuado. El software de Cliente Firewall puede enviar al equipo servidor ISA la información de usuario de Windows necesaria para la autenticación.
2.1.13 En la pantalla de Advertencia de servicios (Figura 14) se detallan los servicios que se reiniciarán durante la instalación. Hacer clic en Siguiente .
Figura 14
2.1.14 En la siguiente pantalla (Figura 15), hacer clic en Instalar para comenzar la instalación.
Figura 15
2.1.15 Esperar mientras se instala ISA Server 2004, la misma puede tardar algunos minutos.
2.1.16 Finalizada la instalación, aparecerá la pantalla Finalización del Asistente para la instalación (Figura 15). Seleccionar la opción Invocar la Administración del servidor ISA cuando se cierre el asistente para comenzar a administrar ISA Server 2004. Hacer clic en Finalizar.
Figura 16
subir
3. Configuración de Directivas de Firewall.
Se pueden proteger los valores de la red definiendo reglas de directiva de firewall . También permitir o denegar el acceso a las redes conectadas con reglas de acceso, reglas de publicación de Web, reglas de publicación de servidor de correo y reglas de publicación de servidor. Se deben utilizar los elementos de regla disponibles en Herramientas para especificar las propiedades y condiciones de las reglas. Al instalar el servidor ISA, se configura de forma predeterminada un conjunto de reglas de directiva del sistema para el equipo servidor ISA.
A modo de ejemplo se expondrá un escenario en el cual hay configurado un servidor ISA Server 2004, con dos placas de Red, una de ellas esta configurada en la Red Lan con la IP 192.168.4.1 y la otra esta configurada a la red Externa (Internet) con la IP 200.123.142.122. En este ejemplo se configurará una Regla para habilitar el acceso a Internet a todos lo usuarios y además se mostrará como configurar Internet Explorer, para que puedan navegar. (Figura 17)
Figura 17 3.1 Abrir la consola de Microsoft ISA Server Inicio - Todos los
programas - Microsoft ISA Server Administración del servidor ISA. 3.2 Seleccionar el nodo de Directivas de Firewall y hacer clic
en la ficha Tareas y luego en Crear nueva regla de acceso . (Figura 18) 3.3 En Nombre de la regla de acceso del Asistente para nueva regla de acceso, escribir el nombre para la regla y luego hacer clic en Siguiente.
Figura 18
3.4 En Acciones de la Regla, hacer clic en Permitir si se desea dar acceso, o Denegar si se desea denegar el acceso. En este caso se seleccionará Permitir. Luego hacer clic en Siguiente.
3.5 Protocolos: en esta página se configuran los protocolos que se aplican para esta regla. Existen tres opciones en Esta regla se aplica a. Hacer clic en la lista desplegable:
3.5.1 Todos el Tráfico saliente , si se desea elegir esta opción se aplicarán todos los protocolos en esta regla.
3.5.2 Protocolos seleccionados , hacer clic en botón Agregar y seleccionar los protocolos que se necesiten de Agregar Protocolos del cuadro de diálogo.
3.5.3 Todos el tráfico saliente excepto los seleccionados hacer clic en botón Agregar y agregar los protocolos que se necesiten exceptuar.
3.6 Como ejemplo se seleccionará Todos el Tráfico saliente. Hacer clic en siguiente. (Figura 19)
Figura 19
3.7 En Orígenes de regla de acceso, hacer clic en Agregar para abrir el cuadro de diálogo Agregar entidades de Red (Figura 20) . Seleccionar el objeto de redes o el objeto que se desee. En este caso se seleccionará en el nodo de Redes el objeto Interna (Figura 21) . Hacer clic en agregar y cerrar ; luego en Siguiente.
Figura 19
Figura 21 3.8 En Destinos de regla de acceso, clic en Agregar para abrir
el cuadro de diálogo Agregar entidades de Red . Seleccionar el objeto de redes o el objeto que se desee. En este caso,
seleccionar en el nodo de Redes el objeto Externa, hacer clic en Agregar y Cerrar , luego en Siguiente .
3.9 Conjunto de usuarios: en esta parte, si se desea dar acceso a Internet a todos los usuarios, se debe dejar Todos los usuarios y proseguir con el asistente haciendo clic en Siguiente (Figura 22) . Si se desea seleccionar un usuario especifico hacer clic en Todos los usuarios y luego clic en el Botón Quitar . Utilizando el botón Agregar, que abrirá el cuadro de diálogo Agregar Usuarios , seleccionar el usuario, hacer clic en Agregar y Cerrar , luego en Siguiente.
Figura 22 3.10 Finalización del Asistente para nueva Regla de acceso
: revisar la información en el sumario y hacer clic en Finalizar. 3.11 Si se desea restringir el contenido, hacer doble clic sobre la regla creada y seleccionar la solapa Tipos de contenido . Por defecto, está configurado Todos los tipos de contenido. En este caso dejar todos los contenidos. 3.12 Si se desea restringir el horario, hacer doble clic sobre la regla creada y seleccionar la solapa Programación, por defecto está Siempre.3.13 En panel de Directivas de Firewall , hacer clic en Aplicar para guardar los cambios y actualizar la configuración de la nueva
regla de acceso. (Figura 23)
Figura 23 subir
4. Configuración de Internet Explorer.
4.1 Hacer clic en Inicio , luego dirigirse a Todos los programas y hacer clic en Internet Explorer. 4.2 Hacer clic en Herramientas luego Opciones de Internet . 4.3 Hacer clic en la solapa Conexiones .4.4 Hacer clic en Configuración de LAN . (Figura 24)
Figura 24
4.5 Seleccionar Utilizar un servidor Proxy para su Lan. Esta configuración no se aplicará a conexiones de acceso telefónico o de redes privadas virtuales ( VPN ). Colocar el nombre o la dirección IP del servidor ISA Server que en este escenario es la IP 192.168.4.1. T ildar No usar servidor Proxy para direcciones locales. Hacer clic en Aceptar dos veces. (Figura 25)
Figura 25 Conclusión A lo largo del documento se demostró cómo configurar la protección de la red y el acceso seguro a Internet utilizando Windows Server 2003 e ISA Server 2004. Se describió también cómo proteger los valores de la red definiendo reglas de directiva de firewall, como así también permitir o denegar el acceso a las redes conectadas con reglas de acceso. Referencias
Sitio de Microsoft ISA Server 2004
Sitio de Microsoft Windows Server 2003
ISA SERVER.ORG La información de este documento se refiere a :
Microsoft Windows Server 2003
Microsoft ISA Server 2004
Volver
