Manual ISA Server

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 90

SERVIDOR ISA SERVER

POR:

DEYSSY ARICAPA ARAQUE CESAR PINEDA GONZALEZ ANDRS FELIPE DEOSSA

INSTRUCTOR FERNANDO QUINTERO

ADMINISTRACION DE REDES DE COMPUTADORES REGIONAL ANTIOQUIA SENA 2009

CONTENIDO 1. Licencia4 2. introduccin.5 3. justificacin..6 4. Objetivo general.7 5. Objetivos especficos..........................7 6. Isa Server 2006...........................8 Caractersticas........................................8 7. Tabla comparativa de la ED: Estndar y Enterprise......................9 8. Soluciones Isa Server.....................................................................................10 Hardware..................................................................................................10 Software...................................................................................................10 9. Precio de licencia de software.........................................................................11 10. Requisitos mnimos del sistema.....................................................................12 11. Instalacin Isa Server.....................................................................................13 Actualizando nuestro sistema..................................................................13 12. Poltica por defecto DROP.............................................................................31 Para tener en cuenta................................................................................31 Dar acceso a Internet a nuestro host local...............................................31 Generando reglas.....................................................................................32 13. Escenario a desarrollar..................................................................................45 Recursos..................................................................................................45 Requisitos................................................................................................45

14. Aceptando ping desde la red LAN hacia el Firewall.......................................46 Haciendo pruebas.....................................................................................53 15. Accediendo a nuestro servidor SSh desde la red WAN..................................55 Haciendo pruebas.....................................................................................62 15. Accediendo a nuestro servidor de correo desde la red WAN.........................64 Haciendo pruebas......................................................................................68 16. Accediendo a nuestro servidor Web Mail seguro desde la red WAN...............70 Para tener en cuenta..................................................................................73 17. Permitir a los usuarios administradores acceso a Internet...............................74 18. Configurando Proxy Web en Isa Server...........................................................83 19. Conclusiones....................................................................................................90

LICENCIA

Esta obra est bajo una licencia Reconocimiento-No comercial-Compartir Bajo la misma licencia 2.5 Colombia de Creative Commons. Para ver una Copia de esta licencia, visite http://creativecommons.org/licenses/by-ncsa/ 2.5/co/ o envie una carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.

INTRODUCCION El siguiente manual estar orientado a la implementacin de una herramienta bajo licenciamiento privado de Microsoft, con el fin de proveer seguridad a una red interna de x o y empresa. Se contara con la instalacin de la herramienta de Firewall de Microsoft, la cual adquirimos desde la pagina oficial con un licenciamiento libre de 180 das, estamos hablando de ISA Server en su mas nuevas edicin la 2006, por lo tanto si desea utilizar esta herramienta en entorno de empresa tendr que pagar un licenciamiento a la compaa de Microsoft. Especificaremos los costos de las diferentes clases de licenciamiento, ediciones del producto y lo que se debe tener en cuenta al momento de la implementacin del ISA Server.

JUSTIFICACION El presente manual se realizo con el fin de tener documentado el proceso de implementacin de una herramienta Firewall de Microsoft en un escenario muy comn, as lograr familiarizarnos con herramientas de un coste elevado de implementacin y poder reconocer sus desventajas y ventajas ante los dems productos con fines similares a la de Microsoft y otras compaas en el mercado. Para la gran mayora de multinacionales en el mundo el poseer herramientas que tengan valor econmico en el mundo de la informtica, representa mayor confiabilidad para quien la este implementando, en el caso de la seguridad de los datos, el trabajar con productos licenciados significara tener mas seguridad en el escenario donde este corriendo, ya que se tendra mas soporte en cuanto a posibles problemas de seguridad. Hay que tener en cuenta que no todo en la vida es gratis y por ende las soluciones a nuestros problemas no siempre llegaran desde el camino de lo no licenciado, para ello debemos estar con capacidad de tomar una buena decisin a la hora de escoger un producto e implementarlo en nuestra red, teniendo en cuenta nuestras necesidades bsicas.

OBJECTIVO GENERAL: La implementacin de herramientas de Firewall a nivel de licenciamiento privado, que cubran las necesidades bsicas de nuestra red local.

OBJETIVOS ESPECIFICOS: Permitir conexiones seguras entre la red LAN hacia la red WAN y viceversa. Implementar reglas bsicas que permitan la comunicacin de la red local con la red externa. Proteger equipos vitales de comunicacin de nuestra LAN ante amenazas del exterior. Controlar las conexiones de los usuarios de nuestra LAN. Monitorear las peticiones de los usuarios, permitiendo o denegando las mismas. Concebir prioridades a los usuarios administradores.

ISA SERVER 2006 Es un Gateway integrado de seguridad perimetral que contribuye a la proteccin de amenazas procedentes de Internet, y adems ofrece a sus usuarios un acceso remoto rpido y seguro a sus aplicaciones y datos corporativos. Internet Acceleration and Security (ISA) Server 2006 se basa en la anterior versin de ISA Server, as como en la tecnologa Microsoft Windows Server para ofrecer un firewall potente, robusto y eficiente, y de gran facilidad de uso. Hay dos ediciones de ISA Server 2006 disponibles: la Edicin Estndar y la Enterprise.

Caractersticas: Publicacin segura de aplicaciones Acceso remoto seguro a las aplicaciones, datos y documentos desde cualquier ordenador o dispositivo. Pre-autentica al usuario antes de que tenga acceso a cualquier servidor, autenticacin avanzada (smartcards). Capacidad para generar logs y emisin de reportes, de esta manera los intrusos son ms fciles de detectar. Gateway de interconexin para redes locales. Proteccin del acceso a Internet.

TABLA COMPARATIVA DE LA ED: ESTANDAR Y ENTERPRISE Caractersticas Redes ED. Estndar Sin limitacin Vd. Enterprise Sin limitacin

Escalabilidad

Hasta 4 PCUS, 2-GB de RAM

Sin limitacin (la que determine el S.O) Hasta 32 nodos mediante NLB

Escalabilidad Horizontal Un solo servidor

Cache Soporte NLB

Almacenamiento de servidor nico No soportado

Sin lmite (utilizando CARP) SI (integrado)

Polticas

Locales

Gestin de Arra de servidores y directivas corporativas mediante ADAM

Redes de oficinas

Importacin y Polticas de nivel exportacin manual de corporativo y de Array polticas de servidores

Monitorizacin y alertas

Consola de monitorizacin de un nico servidor MOM

Consola de monitorizacin multiservidor MOM Mediante plantillas

Mltiples redes

Mediante plantillas

Soluciones ISA Server: Isa Server provee soluciones tanto en hardware como en software. Hardware: Integrado en un hardware preconfigurado que incluye un servidor con una versin reducida de Microsoft Windows Server y una edicin Isa Server 2006 preinstalados. PRECIO: Se puede obtener una solucin basada en hardware a partir de 2.500 USD unos 650000 pesos colombianos en promedio Software: Este paquete se adquiere gracias a licencias que el usuario compra directamente a Microsoft, listo para su instalacin sobre sus servidores actuales, esta opcin permitir: Implantar, dar mantenimiento y optimizar la configuracin e incluso desarrollar cdigo que puede ejecutarse sobre el mismo servidor ISA Server para maximizar el beneficio.

10

PRECIOS DE LICENCIA DE SOFTWARE.

Licencia de entorno en produccin

Descripcin

Precio USD

Precio $

Gateway integrado para la seguridad perimetral, ISA Server 2006 Ed. protegiendo contra amenazas Estndar procedentes de Internet, permitiendo acceso remoto de usuario rpida y segura

1499 USD por procesador

380.000$ por procesador

Diseado para grandes organizaciones que necesiten ISA Server 2006 Ed. implementacin flexible, Enterprise capacidad de gestin y escalabilidad.

5.999 USD por procesador

1.500.000$ por procesador

ISA Server 2006 Ed. Este paquete se ofrece con un Enterprise paquete descuento del 50% para de 25 procesadores aquellos clientes que necesiten Server en escenarios de implantacin. Ejemplo sucursales.

75.000 USD para 25 procesadore s

19.000.000$ para 25 procesadore s

11

Requisitos mnimos del sistema.

Procesador Sistema Operativo Memoria Disco duro Otros Dispositivos

PC con un Pentium III 733 Mhz o superior. Microsoft Server 2003 de 32 bits (SP1) o (SP2). 512 megabytes de RAM o mas es recomendado Con formato NTFS local con 150 MB de espacio libre. Adaptador de red para la comunicacin con la red interna. Un adaptador de red adicional. CD-ROM o DVD-ROM. VGA o monitor de mayor resolucin.

12

INSTALACION DE ISA SERVER Despus de haber repasado un poco de lo que era ISA Server, sus caractersticas, precios, ediciones, etc. Procederemos a hacer la respectiva instalacin, para esto descargaremos la versin de prueba de 180 das desde la siguiente URL: http://www.microsoft.com/downloadS/details.aspx?familyid=95AC1610-C232-4644B828-C55EEC605D55&displaylang=es NOTA: Como ya se menciono anteriormente nuestro Windows Server 2003 debe tener instalado el SP1 o SP2, respectivamente, si por algn motivo no tenemos actualizado nuestro sistema, lo primero que debemos hacer antes de proceder a instalar ISA Server es dejar nuestro equipo con los requerimientos antes mencionados. Actualizando nuestro Sistema: Como nuestro sistema no tiene instalado el service pack 2, procederemos a instalarlo, para poder ejecutar el ISA Server. Para esto descargaremos el paquete de SP2 desde la siguiente URL:

Despus de descargado procederemos a ejecutarlo:

13

Despus de extraer todos los archivos, nos aparecer el siguiente cuadro de dialogo:

Aqu nos estn recomendando hacer backup de nuestro sistema como tal, para mayor seguridad. Le damos siguiente.

14

Nos especifican la licencia del producto el cual deberemos estar de acuerdo para poder proseguir con nuestra actualizacin del sistema. Despus de aceptar la licencia damos siguiente.

En este cuadro de dialogo, nos muestra la ruta donde quedaran guardados los archivos del SP2 despus de instalados, si queremos lo dejamos por defecto, de lo contrario le podemos cambiar la ruta y especificarle la que nosotros queramos. Damos siguiente terminada la especificacin de la ruta donde quedaran los archivos de actualizacin del sistema.

15

Esperamos a que el asistente compruebe la configuracin actual de nuestro sistema, e instale los archivos nuevos. Terminada la actualizacin damos clic en finalizar y esperamos a que se reinicie nuestro equipo para que los cambios hechos hagan efecto.

16

Instalacin ISA Server: Terminada la actualizacin de nuestro sistema, podemos ahora si proceder a instalar el Servidor ISA Server, para esto ejecutamos el instalador del ISA Server, descargado anteriormente desde la pgina oficial de Microsoft. Si por algn motivo no has descargado el instalador de isa Server, lo pueden descargar desde la siguiente URL: http://www.microsoft.com/downloads/details.aspx?familyid=84504cad-893b-42129ab2999ad1d8fe68&displaylang=es&Hash=ODLJiWmcFsEXPxvOdPC1gstrCQweGgVA %2bqFg8aXyeI%2bq%2b3GRi9Kd5hEBJMX7kN29aJPMWbWP4HwAd%2fB%2bV 06YgQ%3d%3d Esperamos a que se extraiga todos los archivos del ejecutable.

17

Despus de terminado de extraer todos los archivos necesarios para la instalacin, nos deber aparecer el siguiente cuadro de dialogo:

Como se puede apreciar, tenemos la posibilidad leer un poco sobre las caractersticas del producto antes de instalarlo. Es importante tener en cuenta que la versin que estamos utilizando es una versin de prueba de 180 das. Damos clic en instalar ISA Server.

18

Empezaremos por instalar los componentes principales, despus los componente adicionales y finalmente iniciamos el asistente de administracin del servidor.

19

En este pantallazo nos da a conocer el producto que vamos a instalar en nuestro equipo, damos clic en siguiente para continuar.

Despus de haber ledo y aceptado los trminos de la licencia damos clic en siguiente para continuar.

20

En el siguiente cuadro de dialogo nos pedir informacin bsica del cliente como lo es el respectivo nombre y la organizacin a la que esta vinculado. NOTA: Como es un producto de prueba el numero de la serial ya viene especificado por defecto, de lo contrario le debemos copiar la que el proveedor nos de a la hora de adquirir la licencia. Damos clic en siguiente para continuar.

El paso a seguir es escoger el tipo de instalacin, en nuestro caso ser la tercera opcin, la cual incluira el servidor administrador y el de almacenamiento de configuracin.

21

Como podemos observar, se instalara las caractersticas de servidor, administrador de ISA Server y servidor de almacenamiento de configuracin. Tambin especificaremos la ruta en donde quedaran guardados los archivos de nuestro ISA Server. En este caso se deja por defecto, clic en siguiente para continuar.

22

En el cuadro de dialogo especificamos si deseamos crear un nuevo servidor de almacenamiento, o si ya tenemos uno podemos replicarlo y crear una copia.

Antes de continuar, leeremos atentamente la advertencia y si cumplimos las especificaciones que all nos dice, daremos clic en siguiente para continuar con la instalacin.

23

Especificamos ahora la red interna (LAN) la cual va a estar asociada a una interfaz fsica de nuestro equipo. NOTA: Como se menciono anteriormente nuestro equipo debe estar dotado con dos interfaces fsicas, una para asociar la red interna (LAN) y la otra para asociar la red externa (WAN). Damos clic en agregar, para especificar el intervalo de red a utilizar en nuestra LAN

24

Como vemos, nos el asistente nos permite, agregar de una vez el adaptador fsico de nuestra interfaz, o un direccionamiento privado ya especificado por el asistente, o por ultimo agregar nosotros manualmente el intervalo de red a utilizar. Por comodidad decidimos agregar el intervalo de red manualmente, para esto le damos clic en Agregar intervalo.

En el siguiente cuadro especificaremos el rango de red de nuestra LAN, damos clic en aceptar para continuar.

25

Nos deber quedar as, damos clic en aceptar para continuar. NOTA: Podemos agregar cuantos intervalos de red queramos, de acuerdo a nuestras necesidades.

26

En este cuadro de dialogo nos permite decidir si queremos que nuestro firewall utilice cifrado para las conexiones de nuestros clientes, es opcional el marcar o dejar desmarcado el cuadrito blanco. Damos clic en siguiente para continuar,

Aqu nos estn advirtiendo los servicios que se reiniciaran y los que se deshabilitaran durante la instalacin del ISA Server. Clic en siguiente para continuar.

27

Listo damos clic en instalar para proceder a tener el servidor ISA Server corriendo en nuestra maquina.

28

Esperamos a que se termine de instalar todos los archivos y componentes adicionales.

Terminada la instalacin podemos proceder a ejecutar el asistente de administracin de nuestro servidor. Para esto chuleamos el cuadrito como se muestra en la imagen. Damos clic en finalizar.

29

Si todo salio bien nos deber aparecer el asistente de configuracin como se muestra en el pantallazo.

30

POLITICA POR DEFECTO DENEGAR (DROP) PARA TENER EN CUENTA: Terminada la instalacin de nuestro Firewall, este empezar a aplicar la regla por defecto establecida en el producto, en este caso del ISA Server es denegar todo el trafico de red, por lo que nuestra maquina estar totalmente bloqueada. DAR ACCESO A INTERNET A NUESTRO HOST LOCAL: Entendiendo como host local, al equipo donde estar corriendo nuestro Firewall. Despus de instalado el Firewall, queremos acceder a Internet desde nuestro host, pero nos aparece el siguiente error:

Aqu nos dice que el firewall instalado en la maquina, en este caso el ISA Server, esta bloqueando toda peticin que se haga desde el host hasta el Proxy (se hace peticin al Proxy, por motivo de que en la red en la que estamos montando el laboratorio, tiene configurado un Proxy) por el cual tenemos acceso a Internet, la
31

esta rechazando, esto se debe a la poltica por defecto que es denegar todo el trafico de paquetes desde y hacia Internet. Generando reglas: Accederemos al asistente de configuracin.

Como podemos ver, la nica regla que se esta aplicando en nuestro servidor es de denegar todo, procederemos a generar una nueva regla la cual permitir que el host local tenga acceso a Internet. Para esto damos clic en tareas y seguidamente en crear regla de acceso. En el siguiente cuadro de dialogo nos pedir especificar el nombre de la nueva regla a crear, la cual la llamaremos: Permitir salir a Internet a host local.

32

Damos clic en siguiente para continuar.

33

Ahora especificaremos la accin a cumplir con dicha regla la cual ser permitir. Clic en siguiente para continuar.

Seguidamente procederemos a elegir el protocolo que queremos que nuestro Firewall no filtren y permita la comunicacin de paquetes. En este caso que es dar acceso a Internet a nuestro host local le daremos el protocolo http. Para esto damos clic en agregar, nos aparecer algo as:

34

Estn son algunas carpetas que vienen establecidas por defecto, las cuales contienen los protocolos mas comunes en una red de datos. Nos ubicaremos en la carpeta de protocolos ms comunes y damos clic.

35

El asistente nos desplegara una lista de protocolos ms comunes, en la cual elegiremos el protocolo de Internet que es el http y damos clic en agregar.

Nos deber quedar algo similar a esta imagen. Si es as damos clic en siguiente para continuar.

36

En este cuadro de dialogo nos piden especificar el origen de la comunicacin, o desde donde se originara, para ello damos clic en Agregar.

Nos aparecer para escoger si es una red en especfico, un host, una subred. En este caso ser una red (Interfaz de la WAN), para esto damos clic en la carpeta redes.

37

Esta carpeta desplegara un listado de redes asociadas al equipo, como la regla es permitir que nuestro servidor tenga acceso a Internet, escogeremos la opcin que dice host local. Y damos clic en aceptar.

38

Ahora el asistente nos pide especificar el destino a que le permitiremos que el host local se pueda comunicar, en este caso es la red WAN o Internet. Para esto damos clic en agregar.

Nos ubicamos en la carpeta de red, y seleccionamos la red externa (Internet) como destino, posteriormente damos clic en agregar. Deber quedar as:

39

Damos clic en siguiente para continuar.

40

Aqu el asistente nos pide especificar a los usuarios que permitir dar acceso a Internet. NOTA: Teniendo en cuanta que el origen va a hacer el host local, los usuarios que permitiremos salir a Internet son los que estn creados en el host local. Damos clic en siguiente para continuar.

En este cuadro de dialogo nos muestra los detalles de la nueva regla acabada de crear por nosotros. Damos clic en finalizar.

41

Listo, ahora la nueva regla se puede visualizar en la directiva de Firewall, para poder que se cumpla debemos dar clic en aplicar.

Despus de recargar nuestro Firewall, damos clic en Aceptar

42

Antes de intentar salir a Internet verificamos que nuestra interfaz WAN este correctamente configurada con la IP publica que nos provee el proveedor de Internet.

Como podemos ver todos los parmetros estn correctamente configurados, ahora si procederemos a abrir nuestro navegador favorito y tratar de navegar, para verificar que la regla anteriormente creada esta correcta.

43

Perfecto, ahora ya podemos navegar desde nuestro host local. Gracias a la regla anteriormente creada. Empezaremos a configurar nuestro servidor ISA Server teniendo en cuenta el siguiente escenario:

44

Escenario a Desarrollar:

Recursos: Equipo servidor de ISA Server. Switch 5 servidores en la LAN. Dos Equipos administradores. Equipos de la LAN.

Requisitos a cumplir: Dar acceso desde Internet a nuestros 5 servidores: SSH, Correo, Web mail seguro, Acceso a planta telefnica, Web. Denegar Acceso de los usuarios comunes de la LAN a: Web, Correo, Juego Counter Strike, Msn. Permitir que los dos equipos de administradores accedan a Internet.

45

Desarrollando escenario: NOTA: Cabe acordar que nuestro servidor ISA Server, ya le hemos configurado la primera regla, que es dejar salir a Internet nuestro servidor ISA Server, la cual va a aplicar al equipo host (servidor ISA), Empezando desde lo bsico: Empezaremos creando reglas bsicas, las cuales nos van a ir dando confianza con nuestro servidor ISA Server. Aceptando Ping desde la red LAN a Firewall. Abriremos el administrador de servidor ISA Server, nos ubicaremos en Administrar directivas de Firewall, tareas y agregar regla de acceso. Nos deber aparecer el siguiente cuadro de dialogo:

Le daremos un nombre a la nueva regla, la cual ser Ping desde LAN a HOST (que es el equipo donde estar instalado nuestro ISA Server).

46

Seguidamente especificaremos la accin que va a cumplir dicha regla, como0 queremos que los equipos de la LAN puedan dar ping a nuestro ISA Server, la accin es permitir. Clic en siguiente.

47

En la opcin agregar especificaremos el protocolo que queremos permitir en dicha regla en nuestro caso ser el de ping:

Despus de seleccionarlo y agregarlo nos deber aparecer el siguiente cuadro de dialogo:

48

Damos clic en siguiente para continuar.

Daremos clic en agregar para escoger desde que red se generara la peticin ping.

49

Ahora especificamos el origen del paquete ping, en este caso ser desde la propia LAN, por lo que escogeremos la opcin de red interna, damos clic en Agregar y cerrar, por lo que quedara como se muestra a continuacin:

50

Daremos clic en siguiente para continuar.

El cuadro de dialogo nos pedir que especifiquemos el destino que tendr nuestra peticin ping, para ello daremos clic en agregar.

51

Escogeremos que el destino sea nuestra maquina host local (servidor ISA Server), Agregar y cerrar. Clic en siguiente para continuar.

Especificamos a que todos los usuarios se le cumplan la regla. Clic en siguiente. Pantallazo Como se puede observar, nos muestra las caractersticas con la que se genero la nueva regla en nuestro ISA Server, daremos clic en finalizar para terminar con la creacin de la regla. Ahora daremos clic en Aplicar y Aceptar.

52

HACIENDO PRUEBAS. Nos ubicaremos en un equipo de la LAN, y trataremos de dar ping a nuestro servidor ISA Server, el resultado deber ser satisfactorio. Verificamos que el equipo tenga una IP en el rango de la LAN.

NOTA: El usuario esta implementando un sistema operativo Ubuntu. Bien, esta en el rango de la LAN del servidor ISA Server. Ahora procederemos a ejecutar el comando ping. A la interfaz de la LAN del servidor ISA Server.

53

A la interfaz WAN de nuestro servidor ISA Server.

Si los resultados fueron similares a los anteriores, entonces damos como conclusin que la regla creada para este fin esta funcionando correctamente.

54

ACCEDIENDO A NUESTRO SERVIDOR SSH DESDE LA RED WAN. Como uno de los requisitos del escenario es permitir el acceso desde la WAN al servidor SSH que tenemos corriendo en un equipo dentro de la red LAN, procederemos a crear una regla en ISA Server para poder cumplir con este punto. Desde la directiva de firewall crearemos una nueva regla de acceso. Nos ubicaremos en tareas, y publicar protocolos de servidor no Web. Nos aparecer el siguiente cuadro de dialogo.

Especificaremos el nombre con el que vamos a llamar a la nueva regla. Damos clic en siguiente. NOTA: Se escoge la opcin de publicar servidor no Web, ya que lo que se busca es redireccionar desde el Firewall la conexiones que vengan desde la red WAN hacia un equipo local de la red.

55

En este cuadro de dialogo, especificaremos la direccin IP que tendr nuestro equipo de la red LAN, el cual ser la IP del servidor SSH. Clic en siguiente.

56

Ahora seleccionaremos el puerto que vamos a redireccionar, como el puerto del SSH no esta especificado en la lista de protocolos, nos tocara asignar uno nuevo por la opcin nuevo.

Especificamos el nombre del nuevo protocolo, el cual lo llamaremos open ssh. Clic en siguiente.

57

Ahora daremos clic en nueva para definir el puerto y tipo de protocolo a utilizar.

En direccin es entrada por que todos los paquetes vendrn desde la WAN hacia la red LAN, y pel puerto que especificaremos ser 22. Clic en aceptar para continuar

58

Ahora daremos clic en siguiente.

Daremos clic en siguiente, especificando que no deseamos aceptar conexiones secundarias en nuestro servidor SSH.

59

Finalizado la creacin de nuestro protocolo SSH, nos muestra las caractersticas con la que quedo nuestro protocolo en el ISA Server. Clic en finalizar.

Daremos en siguiente para continuar nuestra configuracin.


60

Ahora especificaremos desde donde se generara las peticiones SSH, las cuales vendrn desde la red WAN. Clic en siguiente para continuar.

Terminada la regla, damos clic en finalizar.


61

HACIENDO PRUEBAS: Terminada la creacin de la regla, desde un equipo de la red WAN, trataremos de acceder al servidor SSH de la red LAN, con la herramienta putty.

Como podemos observar, al equipo que realmente estamos accediendo desde Internet, no es al servidor SSH directamente, ya que el SSH esta corriendo en la red LAN, o sea en una red privada, lo que significa que desde la red WAN esta red no es alcansable, por lo que nos deberemos conectar al firewall, y este se encargara de redireccionarnos al servidor SSH, que fue la regla que anteriormente creamos.

62

Despus de conectarnos remotamente, el servidor SSH nos pedir que nos loguemos, con un usuario y contrasea que deber existir en el equipo donde esta corriendo nuestro servidor SSH.

Si el usuario y contrasea son correctos, nos deber dejar acceder a la maquina remota, como lo podemos observar en el pantallazo anterior.
63

ACCEDIENDO A NUESTRO SERVIDOR DE CORREO DESDE LA RED WAN. Ahora permitiremos que desde la red WAN se pueda acceder a nuestro servidor de correo, que esta ubicado en el interior de nuestra LAN. Para ello crearemos una nueva regla en nuestro firewall. Nos ubicaremos en directivas de firewall, tareas y damos clic en y publicar protocolos de servidor de correo. Nos deber aparecer el siguiente cuadro de dialogo:

En el cual nos pedir el nombre de la nueva regla que se regir desde nuestro firewall. Como es de permitir conexiones desde el exterior hasta nuestro servidor de correo en el interior de la LAN, le dimos el nombre de acceso servidor. Damos clic en siguiente para continuar.

64

Ahora nos pedir el tipo de acceso a nuestro servidor de correo. Escogeremos la primera opcin si lo que queremos es que sean clientes que tengan acceso a nuestro servidor, pero si lo que queremos es una comunicacin de servidor a servidor, escogeremos la segunda opcin. En nuestro caso ser la primera y daremos clic en siguiente para continuar.

65

Ahora seleccionaremos el servicio que publicaremos, escogeremos el de SMTP, ya que lo que publicaremos ser un servidor de correo, daremos clic en siguiente para continuar.

66

Ahora nos pedir especificar la IP con la que estar configurado nuestro servidor de correo, recordemos que el servidor esta dentro de la LAN lo que esta en el rango de IP privado de nuestra corporacin.

Ahora especificamos las redes que estarn permitidas a realizar peticiones a nuestro servidor de correo, como es desde la red WAN que queremos que tengan acceso escogeremos la red externa y daremos clic en siguiente.

67

Listo, daremos clic en finalizar, aplicare y aceptar. HACIENDO PRUEBAS: Terminado de publicar nuestro servidor de correo, procederemos a hacer la respectiva prueba, desde una maquina de la red WAN, accederemos por telnet al puerto 25 de la maquina donde esta nuestro servidor de correo.

68

Como podemos observar, haremos un telnet a nuestro servidor de correo, que esta Escuchando por el puerto 25.

Podemos observar que estamos conectndonos, esperamos a que se termine de conectar con nuestro servidor.

Terminada la conexin, podemos observar que nuestro servidor de correo es un postfix, y esta corriendo en una maquina ubuntu. Si nos aparece como se puede ver en el recuadro anterior es por que todo esta correcto.
69

ACCEDIENDO A NUESTRO SERVIDOR WEB MAIL SEGURO DESDE LA RED WAN Ahora necesitamos que desde la red WAN accedan a nuestro Web mail seguro, para lograr esta hazaa, procederemos a crear una nueva regla de acceso, para esto nos ubicaremos en directivas de firewall, tareas y publicar servidor de correo.

Como siempre al momento de crear una nueva regla en nuestro firewall, nos pedir que la nombremos, esta la llamaremos acceso a webmail seguro, ya que la comunicacin se har de manera cifrada. Clic en siguiente.

70

Ahora seleccionaremos el tipo de acceso que permitiremos, el cual ser acceso de clientes, como el anterior y clic en siguiente.

71

Ahora seleccionaremos el servicio a publicar el cual ser el SMTP de manera segura, ya que ser el webmail seguro. Clic en siguiente.

Especificaremos la IP de nuestro servidor de webmail seguro, el cual estar en el rango de la IP privada, clic en siguiente.

72

Ahora especificamos la red que tendr acceso a nuestro Web mail seguro la cual ser la externa, clic en siguiente.

Daremos clic en finalizar para culminar con la creacin de nuestra nueva regla de acceso, posteriormente daremos clic en aplicar y aceptar. PARA TENER EN CUENTA: Como se planteo en el ejercicio, debemos dar acceso a unos cuantos servicios de nuestra LAN desde Internet, pero seria muy canson, estar repitiendo el mismo procedimiento para cada uno de ellos, lo cual se deduce que con los 3 ejemplos que se dieron anteriormente, se puede decir que se aclaro el como generar reglas de acceso para los servicios. Los que quedaron por explicar en este documento, se desarrollan similarmente a los desarrollados anteriormente, con la nica diferencia que se le cambia el nombre de la regla, el protocolo y el puerto por donde estar escuchando dicho servicio. Para bloquear las aplicaciones mencionadas en el ejercicio, es si no dejar el servidor ISA Server como lo tenemos, sin crear ninguna regla de permisos, ya que por defecto viene denegando todas las peticiones que se hagan desde la LAN hacia el exterior, por lo que no necesitaremos preocuparnos por bloquear los servicios que all nos mencionan que bloqueemos, a medida que vayamos
73

necesitando que los usuarios se comuniquen por un servicio en especifico, vamos creando las respectivas reglas para que no hayan ningn tipo de inconvenientes, por lo que nos quedara faltando crear la regla para que los administradores tengan acceso a Internet.

PERMITIR A LOS ADMINISTRADORES ACCESO A INTERNET DESDE LA RED LAN Culminada la creacin de las reglas para los usuarios de la red WAN y la red LAN, continuaremos desarrollando los requisitos del ejercicio planteado al principio de este artculo, el cual nos menciona permitir que los dos usuarios administradores tengan acceso a Internet desde la red LAN. Nos ubicamos en directivas de firewall, posteriormente elegimos la opcin tareas, y crear nueva regla de acceso.

En el cuadro de dialogo que nos aparece, especificaremos el nombre que queremos ponerle a nuestra regla. Clic en siguiente para continuar.

74

Ahora especificamos la accin que el firewall va a ejecutar para dicha regla, la cual ser permitir, clic en siguiente para continuar.

Ahora nos pregunta que protocolos vamos a permitir en esta regla, seleccionamos agregar y siguiente.
75

Nos deber aparecer el siguiente cuadro de dialogo, en el cual seleccionaremos el o los protocolos para la regla que estamos creando. Nos ubicamos en la carpeta que corresponda al protocolo que estamos buscando y la desplegamos.

Al seleccionar la carpeta se despliega los protocolos que estn relacionados con la misma, como esta es una regla para acceso a la Web, escogeremos los protocolos correspondientes, los cuales son DNS y http.

76

Posteriormente daremos clic en Agregar.

Ahora ya nos aparece los protocolos que se cumplirn en dicha regla, daremos clic en siguiente para continuar. NOTA: Hubisemos podido especificar todo el trfico saliente, pero nos referimos al punto del ejercicio para desarrollar dicha regla, aunque la regla aplicara a usuarios administradores.

77

Ahora escogeremos el origen de la peticin, damos clic en agregar para continuar.

Nuevamente nos ubicaremos en la carpeta la cual contenga el origen de la comunicacin, en este caso sern los dos equipos administradores, los cuales sern en la carpeta equipos, la desplegamos y nos aparecern los equipos de nuestra LAN.

Como podemos ver, estn los equipos de la LAN, escogeremos a los equipos de los administradores. Posteriormente le damos clic en Agregar.
78

NOTA; Los equipos se deben agregar manualmente, dndole clic en nuevo, equipo, y especificamos la IP del equipo y el nombre.

Ya agregamos los equipos administradores, desde donde se generaran las peticiones Web, damos clic en siguiente para continuar.

79

Ahora especificamos hacia donde estar orientado el trafico de los dos administradores de la LAN, el cual los agregaremos dando clic en el icono Agregar.

Nuevamente ubicamos la carpeta que contenga el destino que estemos buscando y la desplegaremos desde el icono +.

80

Nos aparecen posibles destinos, el cual agregaremos la red externa, ya que es la red de Internet, damos clic en Agregar.

Listo quedo ya especificado el destino al que tendrn acceso nuestros administradores, daremos clic en siguiente para continuar.

81

Ahora especificamos a que usuarios aplicara dicha regla, como es el equipo administrador nos podamos imaginar fcilmente que el nico que tendr acceso a la maquina es el respectivo administrador, lo cual podra ingresar desde cualquier usuario de ese equipo, por eso dejamos la opcin que el ISA Server nos arroja por defecto. Y damos clic en siguiente.

Ahora daremos clic en finalizar, para culminar de crear nuestra nueva regla. Posteriormente clic en Aplicar y Aceptar para que nuestro servidor Firewall coja los cambios y cargue nuestra nueva regla.

82

CONFIGURANDO PROXY WEB EN ISA SERVER

Ahora empezaremos a configurar un servidor Proxy Web con el fin de ahorrar recursos de ancho de banda con respecto a peticiones http y por supuesto a filtrar paquetes de acuerdo a sus extensiones y las urls. Para ello nos ubicaremos en nuestro admn. De ISA Server y en la opcin cache nos deber aparecer algo similar a lo siguiente:

Aqu nos muestra el nombre de nuestra particin en disco, su espacio total, para poder asignar un tamao para la cache daremos clic derecho la opcin propiedades:

83

Como podemos observar el espacio que se le asigno a la cache fue de 100 MB y estar guardada en la unidad C: de nuestro disco. Daremos clic en aceptar para continuar. Ahora en red, seleccionamos la red interna, clic derecho y propiedades.

84

En la opcin Proxy Web le configuraremos el puerto por donde los usuarios se van a conectar al Proxy, el cual ser por donde estar corriendo dicho servicio en nuestro caso ser el puerto 3128. Aplicar aceptar. Ahora nos ubicamos en la matriz de nuestro servidor, en la regla que le esta permitiendo dar salida a todos nuestros usuarios de la red al exterior, daremos clic derecho escogeremos la opcin configurar http y nos deber aparecer el siguiente cuadro de dialogo:

Ahora nos ubicaremos en la pestaa extensiones, seleccionamos la opcin de denegar extensiones, si lo que queremos es denegar las extensiones que se mencionaran en este cuadro, de lo contrario la opcin que mas le sea de utilidad. Damos clic en agregar y nos debe aparecer el siguiente cuadro de dialogo:

85

Escribiremos las extensiones que queremos que nuestro Proxy filtre a los usuarios, daremos clic en aceptar. Nos deber quedar algo similar a lo siguiente:

Ya teniendo definidas las extensiones a filtrar daremos clic en aplicar y aceptar.

86

Ahora especificaremos las url que queremos que filtre nuestro Proxy, para ello nos ubicamos donde nos menciona el recuadro y damos clic en agregar.

Escribiremos el nombre que le queremos poner al conjunto de reglas y posteriormente las url a denegar. Ahora daremos clic en aplicar y aceptar,

87

Como en nuestra red hay un Proxy padre, configuraremos a nuestro Proxy para que se redireccione y pueda reenviar las peticiones al Proxy global de nuestra compaa, como nos muestra la imagen anterior nos ubicamos en esa ruta y daremos clic derecho propiedades.

88

Daremos clic en la pestaa accin y escogeremos la que menciones redirigindolas a un servidor. Y configuracin:

Ahora especificamos la IP del Proxy padre, el puerto por donde escucha y aceptar. Para hacer las respectivas pruebas, desde un equipo de nuestra LAN, configuraremos en el navegador por la opcin herramientas, opciones de Internet, avanzado, red, servidor Proxy, y daremos la IP de nuestra maquina que esta sirviendo como Proxy, con el puerto por donde el servicio este escuchando.

89

CONCLUCIONES Se nos facilito el uso de la herramienta por ser entorno grafico la configuracin. Buena documentacin pese a estar en ingles la gran mayora de esta. Se cont con los recursos necesarios para montar y poder simular una red como la del escenario. Se alcanzaron los objetivos propuestos en el escenario. Se logro implementar Proxy como contramedida o refuerzo para el firewall. Se obtuvo conocimiento de la herramienta mas utilizada en Microsoft como firewall.

90

También podría gustarte