Configuración de un Firewall utilizando Microsoft Internet Security and Acceleration Server 2000

1. Objetivos
1.1.- Objetivos Generales • Configurar un servidor para que funcione como firewall, proxy y caché de Internet. 1.1.- Objetivos Específicos • Configurar un Firewall con tres tarjetas de red que conecte a una red interna, una red perimetral y una red externa. • Dar acceso a los clientes de la red interna hacia una red externa, que puede ser Internet, garantizando la seguridad interna durante la comunicación. • Configurar un servidor de caché que permita acelerar el tiempo de respuesta para las peticiones más frecuentes y ahorrar ancho de banda en la conexión a Internet.

2. Fundamento Teórico
Información general del servidor ISA Microsoft Internet Security and Acceleration Server proporciona un servidor de seguridad de empresa multicapa y ampliable, y un servidor de caché de Web escalable y de alto rendimiento.

Actualmente se está produciendo una gran actividad empresarial en Internet. Una gran cantidad de redes corporativas están conectadas a Internet y ahora, más que nunca, es necesario disponer de una puerta de enlace a Internet eficaz y fácil de administrar que proporcione una conexión segura y, a la vez, un mejor rendimiento de la red. Microsoft Internet Security and Acceleration (ISA) Server satisface estas necesidades gracias a su solución completa de conectividad a Internet que contiene un servidor de seguridad empresarial y una solución completa de caché Web. Estos servicios son complementarios: al instalar el servidor ISA en la red, puede utilizar sólo una de estas funciones o ambas a la vez. El servidor ISA protege su red, lo que le permite implementar la directiva de seguridad de su empresa configurando un amplio conjunto de reglas que especifiquen qué sitios, protocolos y contenido puede pasar a través del equipo del servidor ISA. El servidor ISA supervisa las peticiones y respuestas que se emiten entre Internet y los equipos

clientes internos, controlando quién puede obtener acceso a cada uno de los equipos de la red corporativa. El servidor ISA también controla qué equipos de Internet pueden estar a disposición de los clientes internos. Información general sobre el servidor de seguridad y la seguridad ISA Server se puede instalar como un servidor de seguridad dedicado que actúa como puerta de enlace segura a Internet para clientes internos. El servidor ISA protege todas las comunicaciones entre equipos internos e Internet. En un entorno con un servidor de seguridad simple, el equipo del servidor ISA cuenta con dos tarjetas de interfaz de red, una conectada a la red local y la otra conectada a Internet. Esta ilustración muestra dicho entorno. Puede utilizar Microsoft Internet and Security (ISA) Server para configurar el servidor de seguridad, configurando directivas y creando reglas para implementar las directrices de la empresa. Al establecer las directivas de acceso de seguridad, evitará el acceso no autorizado y que entre en la red contenido no válido. Asimismo, puede restringir el tráfico permitido para cada grupo y usuario, aplicación, destino, tipo de contenido y programación. El servidor ISA incluye las funciones siguientes de seguridad y del servidor de seguridad: • Directiva de acceso saliente. Puede utilizar el servidor ISA para configurar reglas de sitio y contenido que controlen cómo obtienen acceso a Internet los clientes internos. Las reglas de sitio y contenido especifican los sitios y el contenido a los que se puede obtener acceso. Las reglas de protocolo indican si un protocolo determinado se encuentra accesible para la comunicación entrante y saliente. • Detección de intrusiones. Los mecanismos de detección de intrusiones integrados pueden alertarle cuando se inicia un ataque específico contra la red. Por ejemplo, puede configurar el servidor ISA para alertarle si se detecta un intento de explorar un puerto. • Asistente para la seguridad. El Asistente para la seguridad del servidor ISA permite establecer el nivel de seguridad del sistema adecuado, según el funcionamiento del servidor ISA en la red.

Integración de Sistemas
ESPOCH Escuela de Ingeniería de Sistemas 4 • Filtros de aplicación. El servidor ISA controla el tráfico específico de aplicaciones con filtros que reconocen datos. El servidor ISA utiliza filtros para determinar si los paquetes deben aceptarse, rechazarse, redirigirse o modificarse. • Autenticación. El servidor ISA admite los métodos de autenticación de usuarios siguientes: Autenticación de Windows integrada, certificados de clientes, autenticación implícita y autenticación básica. Información general de la caché El servidor Microsoft Internet Security and Acceleration (ISA) Server implementa una caché para los objetos solicitados con más frecuencia con el fin de mejorar el rendimiento de la red. El servidor ISA puede utilizarse para permitir la comunicación entre la red local e Internet. En esta comunicación, puede tratarse de clientes internos que obtienen acceso a servidores de Internet. En ese caso, el servidor ISA implementa el almacenamiento en

La ilustración muestra la respuesta del servidor ISA cuando un usuario solicita un objeto. se disminuye el tiempo de respuesta del usuario y se reduce el consumo de ancho de banda de la conexión de Internet. El servidor ISA reenvía las peticiones al servidor Web sólo cuando no se pueden procesar desde la caché. 4. Con las peticiones de Web entrantes. 5. 6. 2. 3. el servidor ISA puede actuar como un servidor Web en el exterior. El servidor ISA puede desplegarse delante de un servidor Web de la organización que actúe como host para un negocio Web o que proporcione acceso a los asociados de negocios. En ese caso. evitando así la operación de obtenerlo desde Internet. El cliente 2 solicita el mismo objeto. La ilustración muestra cómo sacan partido los usuarios del almacenamiento de los objetos en caché del servidor ISA. Almacenamiento en caché de reenvío El servidor ISA puede desplegarse como servidor de almacenamiento en caché de reenvío para proporcionar el acceso a Internet a los clientes internos. Si bien la ilustración sólo muestra un entorno de almacenamiento en caché de reenvío (clientes internos que obtienen acceso a Internet). el proceso es idéntico para la caché inversa. Los objetos procedentes de la caché de disco requieren un proceso sensiblemente menos costoso que los objetos procedentes de Internet. Al no encontrarse el objeto en la caché del servidor ISA. El servidor ISA dispone de una caché centralizada con los objetos de Internet solicitados con mayor frecuencia a los que se puede obtener acceso mediante un cliente de explorador de Web. Información general sobre la arquitectura . También puede tratarse de clientes externos que obtienen acceso a servidores de publicación internos. se mejora el rendimiento del explorador cliente. atendiendo las peticiones de contenido de Web formuladas por los clientes desde la caché. El servidor de Internet devuelve el objeto al servidor ISA.caché de reenvío. El servidor ISA devuelve el objeto desde la caché. éste solicita el objeto desde el servidor de Internet. el servidor ISA implementa las características de almacenamiento en caché inversa. Almacenamiento en caché inverso. De este modo. El servidor ISA comprueba si el objeto se encuentra en la caché. La ilustración muestra los pasos siguientes: 1. El servidor ISA guarda una copia del objeto en la caché y devuelve el objeto al cliente 1. cuando los usuarios de Internet obtienen acceso a un servidor Web de la empresa. El primer usuario (Cliente 1) solicita un objeto Web.

Los clientes proxy Web son todas las aplicaciones Web compatibles con CERN. Las peticiones de los clientes del servidor de seguridad se envían al servicio del servidor de seguridad del equipo del servidor ISA a fin de determinar si se permite el acceso. en los que se aplican las reglas del servidor ISA para determinar si puede procesarse la petición. Si el cliente de SecureNAT solicita un objeto HTTP. El servicio proxy Web también puede almacenar el objeto solicitado en la caché o procesarlo desde la caché del . se puede procesar la petición mediante los filtros de aplicación u otras extensiones. La petición del cliente se envía al servicio del servidor de seguridad a fin de determinar si se permite el acceso. En el nivel de paquetes. el redirector HTTP redirige la petición al servicio proxy Web. el servidor ISA implementa el filtrado de paquetes. clientes de SecureNAT y clientes proxy Web. es posible procesarlos mediante los filtros de aplicación u otros complementos. El servicio proxy Web también puede almacenar el objeto solicitado en la caché o procesarlo desde la caché del servidor ISA. Las peticiones de los clientes de SecureNAT se envían primero al controlador NAT (conversión de direcciones de red). El servicio proxy Web también puede almacenar el objeto solicitado en la caché o enviarlo desde la caché del servidor ISA. Si el cliente del servidor de seguridad solicita un objeto HTTP.El ISA Server funciona a varios niveles de comunicación a fin de proteger la red corporativa. el servidor ISA protege a tres tipos de clientes: Clientes del servidor de seguridad. el redirector HTTP redirige la petición al servicio proxy Web. Si se permite el paso de los datos a través del nivel de filtrado de paquetes. los datos se envían a los servicios proxy Web y del servidor de seguridad. Posteriormente. Los clientes de SecureNAT (conversión de direcciones de red seguras) son equipos que no tienen instalado el software de cliente del servidor de seguridad. Las peticiones de los clientes proxy Web se envían al servicio proxy Web del equipo del servidor ISA a fin de determinar si se permite el acceso. Como se muestra en la ilustración. que sustituye una dirección IP (protocolo Internet) global válida en Internet para la dirección IP interna del cliente de SecureNAT. Los clientes del servidor de seguridad son equipos con el software de cliente del servidor de seguridad instalado y habilitado. Finalmente.

Las reglas se pueden aplicar a conjuntos de destinos internos y a conjuntos de destinos externos. los conjuntos de destinos especificados. Los conjuntos de destinos incluyen uno o más equipos o carpetas en equipos específicos. . • Reglas de ancho de banda. a todos los equipos salvo. Para las reglas de sitio y contenido y las reglas de ancho de banda. puede limitar la aplicación de la regla a grupos de contenido específicos. la petición sólo se atenderá si hay una regla de sitio y contenido definida que. De este modo podrá configurar con mayor precisión las directivas de seguridad.servidor ISA. los conjuntos de destinos se componen de equipos externos (en Internet) para reglas que enrutan peticiones de Web salientes. Las reglas de enrutamiento que enrutan peticiones de Web entrantes se componen de equipos internos Grupos de contenido Los grupos de contenido especifican tipos de MIME (extensiones multipropósito de correo Internet) y extensiones de nombres de archivos. Reglas de protocolo Las reglas de protocolo determinan qué protocolos pueden utilizar los clientes para obtener acceso a Internet. Las reglas de sitio y contenido determinan si los usuarios o conjuntos de direcciones de clientes tienen acceso al contenido de determinados conjuntos de destinos y cuándo. de forma explícita. sino también a un contenido determinado. • Reglas de enrutamiento. el cual se transfiere por medio del servicio proxy Web. ISA Server comprueba las reglas de sitio y contenido. Conceptos Básicos de Seguridad en ISA Server Conjuntos de Destinos Un destino es un nombre de equipo. Cuando un cliente solicita un objeto. Los conjuntos de destinos externos se componen de equipos de fuera de la red local. una dirección IP (protocolo Internet) o un intervalo de direcciones IP y pueden incluir una ruta. Asimismo. Los grupos de contenido se aplican sólo al trafico de HTTP y de FTP enviado por túnel. se deniega el acceso. Para las reglas de enrutamiento. dado que puede limitar el acceso no sólo a un destino en particular. Al crear una regla de sitio y contenido o de ancho de banda. los conjuntos de destinos normalmente se componen de equipos que no se encuentran en la red interna. Las reglas siguientes pueden especificar conjuntos de destinos: • Reglas de sitio y contenido. los conjuntos de destinos normalmente se componen de equipos de la red interna. permita al cliente tener acceso al contenido solicitado y si dicho cliente está autorizado a establecer la comunicación mediante el protocolo especificado. Para las reglas de publicación en Web. • Reglas de publicación en Web. Reglas de sitio y contenido El acceso a Internet puede concederse o denegarse mediante la creación de reglas de sitio y contenido. Las reglas se pueden aplicar a todos los conjuntos de destinos. Si una regla de sitio y contenido deniega explícitamente la petición. Puede definir reglas de protocolo que admitan o denieguen la utilización de una o varias definiciones de protocolo. o a un conjunto de destinos específicos. Los conjuntos de destinos internos son grupos de equipos en la red local.

Si no tiene activado ningún filtro de paquetes para un puerto específico. filtros de aplicación y opciones de configuración de la seguridad del sistema. puede crear un filtro de permiso que permita el tráfico TCP (protocolo de control de transporte) del puerto 25 entre todos los Integración de Sistemas ESPOCH Escuela de Ingeniería de Sistemas 9 hosts internos y externos. determina cómo obtienen acceso los clientes a Internet. Las reglas de publicación en Web determinan la intercepción por parte del servidor ISA de las peticiones entrantes para los objetos HTTP (protocolo de transferencia de hipertexto) en un servidor de Web interno. todos los paquetes de la interfaz externa se eliminan a no ser que estén expresamente permitidos. Las peticiones se reenvían en dirección descendente al servidor interno. y la respuesta del servidor ISA en representación del servidor de Web. se activará la comunicación de SMTP (protocolo simple de transferencia de correo). puede limitar el acceso creando un filtro de bloqueo que impida a un conjunto de hosts externos (intrusos potenciales) enviar paquetes TCP al puerto 25 del equipo del servidor ISA. se puede utilizar el servidor ISA para crear una directiva de acceso que permita el acceso de los clientes internos a hosts específicos de Internet. La directiva de acceso. Seguridad de Internet El servidor ISA combina varios mecanismos de seguridad para aplicar las directivas de seguridad en todos los niveles de la red: una regulación flexible para las peticiones entrantes y salientes. junto con las reglas de enrutamiento. Al habilitar el filtrado de paquetes. Para facilitar esta conectividad. que se ubica detrás del equipo del servidor ISA. Puede configurar dos tipos de filtros de paquetes IP estáticos: filtros de permiso y filtros de bloqueo. Los filtros de bloqueo cierran los puertos especificados. el servicio sólo podrá escuchar en ese puerto si este puerto se abre de forma dinámica. Controlar peticiones salientes Una de las funciones principales del ISA Server es la capacidad para conectar la red local a Internet protegiéndola al mismo tiempo del contenido no deseado. intrusiones y alertas.Reglas de publicación en Web ISA Server utiliza reglas de publicación en Web para aligerar el tráfico asociado al contenido de publicación en Web para Internet sin que ello afecte a la seguridad de la red interna. Puede crear y configurar filtros de bloqueo para definir posteriormente el tráfico autorizado a transferirse por medio del equipo de ISA Server. es decir. Por ejemplo. Si es posible. A continuación. bien de forma estática por filtros de paquetes IP o dinámicamente. Filtros de paquetes IP Con los filtros de paquetes IP (protocolo Internet). la petición se atiende desde la caché del servidor ISA. . puede interceptar y admitir o bloquear paquetes destinados a equipos específicos de la red corporativa. Los filtros de permiso son filtros de excepción: se bloquean todos los tipos de paquetes salvo los especificados. Filtrado de paquetes La función de filtrado de paquetes de ISA Server le permite controlar el flujo de los paquetes IP (protocolo Internet) a y desde un servidor ISA. mediante una directiva de acceso o mediante reglas de publicación.

El servidor ISA admite la petición solamente si una regla de protocolo la permite específicamente y si no la rechaza ninguna regla de protocolo. El servidor ISA procesa las peticiones de forma distinta. Para las peticiones de Web salientes. Reglas de protocolo 2. Filtros de paquetes IP 4. El servidor ISA comprueba si se ha configurado un filtro de paquetes IP para bloquear la petición específicamente. En primer lugar. En el siguiente ejemplo se presenta la configuración de las reglas de directiva que permitan el acceso de todos los usuarios de la red interna a todos los sitios y a toda hora. se comprueban las reglas de enrutamiento. el servidor ISA comprueba las reglas de protocolo. En ese caso. Reglas de sitio y contenido 3. los clientes se pueden especificar por dirección IP o por nombre de usuario. el servidor ISA comprueba las reglas de enrutamiento (si ha solicitado el objeto un cliente proxy Web) o la configuración de encadenamiento del servidor de seguridad (si ha solicitado el objeto un cliente del servidor de seguridad) para determinar si debe atenderse la petición. . Pueden configurarse algunas reglas para aplicarlas a clientes específicos. El servidor ISA admite la petición solamente si una regla de sitio y contenido la permite específicamente y si no la rechaza ninguna regla de sitio y contenido. A continuación. el servidor ISA comprueba las reglas de sitio y contenido. Finalmente. Una petición está permitida si también la admiten la regla de protocolo y la regla de sitio y contenido y si no existe ninguna regla que deniegue de forma explícita la petición. las reglas se procesan en el orden siguiente: 1. en función del tipo de cliente que solicita el objeto y de la configuración del servidor ISA.Cuando el servidor ISA procesa una petición saliente. a fin de determinar si la petición debe rechazarse. las reglas de sitio y contenido y las reglas de protocolo para determinar si está permitido el acceso. Reglas de enrutamiento o configuración de encadenamiento de servidores de seguridad La ilustración muestra el flujo de procesamiento para las peticiones de Web salientes.

de forma segura. • Reglas de publicación de servidor para publicar el contenido del resto de servidores ubicados en la red interna. Cuando un servidor ISA procesa una petición de un cliente externo. comprueba los filtros de paquetes IP. • Una regla de sitio y contenido que permita a todos los usuarios el acceso al contenido de todos los sitios a todas horas. Reglas de enrutamiento La ilustración muestra el flujo de procesamiento para las peticiones de Web entrantes . determinan junto con las reglas de enrutamiento cómo se publican los servidores internos. zona desmilitarizada y subred en pantalla). Integración de Sistemas ESPOCH Escuela de Ingeniería de Sistemas 11 Controlar peticiones entrantes ISA Server también puede permitir. las reglas se procesan en el orden siguiente: 1. • Filtros de paquetes IP para publicar el contenido de los servidores de la red perimetral (también conocido como DMZ. las reglas de publicación y las reglas de enrutamiento para determinar si la petición está permitida y qué servidor interno debe atenderla. Filtros de paquetes IP 2. Tenga en cuenta que esta regla permitirá el acceso de los clientes internos a Internet sin que los clientes externos tengan acceso a la red local. las reglas de publicación en Web y las reglas de publicación de servidor. compuesta por filtros de paquetes IP. Reglas de publicación en Web 3. La directiva de publicación. Puede utilizarse una de las reglas siguientes del servidor ISA para la publicación de servidores: • Reglas de publicación en Web para publicar el contenido de servidores Web. Para las peticiones de Web de entrada. El servidor ISA puede crear una directiva de publicación para publicar los servidores internos de forma segura.• Una regla de protocolo que permita a todos los clientes internos utilizar todos los protocolos a todas horas. el acceso a los servidores internos para los clientes externos.

ésta se denegará. Si una regla de enrutamiento especifica que las peticiones deben enrutarse a un servidor que precede en la cadena o a un sitio alojado alternativo. 4. En el árbol de la consola de Administración de ISA. ésta se denegará. escriba el nombre del conjunto de destinos. . a continuación.com. • Una regla de enrutamiento enruta las peticiones de un conjunto de destinos que incluye msweb atendiéndolas directamente. Si una regla de publicación en Web deniega específicamente la petición.microsoft. el servidor Web interno devolverá el objeto. 3. Cuando un usuario externo solicita desde Internet un objeto de widgets. El conjunto de destinos incluye widgets.1. considere las siguientes reglas: • Una regla de publicación en Web redirige las peticiones de todos los clientes para un conjunto de destinos a un sitio alojado (servidor Web) llamado Msweb. Con el filtrado de paquetes habilitado. la petición se atenderá en el servidor especificado. En Nombre. 2. En primer lugar. se procesa la regla de publicación en Web y se determina que la petición debe redirigirse a Msweb. Si una regla de enrutamiento especifica que las peticiones deben enrutarse a un servidor determinado. si un filtro de paquetes IP deniega específicamente una petición. seleccione Nuevo y. el servidor ISA intercepta la petición. 2. Las propiedades de la caché de la regla especifican que las respuestas a las peticiones no se almacenen en caché. Configuración del Servidor Antes de mencionar el control de las peticiones entrantes y salientes por parte de ISA Server. se presenta algunas configuraciones requeridas para ambos casos: Creación de un conjunto de destinos 1. A continuación. haga clic en Conjunto.com. se procesa la regla de enrutamiento y se determina que la petición debe atenderse directamente en el servidor Web especificado (Msweb). 3. haga clic con el botón secundario en Conjuntos de destinos.microsoft. Por ejemplo.

A continuación. Haga clic en Agregar y.com. Integración de Sistemas • Especifique el nombre del equipo utilizando el nombre de dominio completo (FQDN). (Opcional) En Descripción. o Haga clic en Dirección IP.microsoft. y no //nombre_del_equipo. la ruta y el nombre de archivo no distinguen entre mayúsculas y minúsculas. escriba una descripción del conjunto de destinos.3. a continuación. Por ejemplo. El nombre de equipo. Configuración de un conjunto de destinos Utilice este formato al especificar un destino. escriba las direcciones IP correspondientes. . realice una de las acciones siguientes: o Haga clic en Nombre del equipo y escriba un nombre de equipo. en De y A. escriba la ruta de acceso específica de los equipos especificados. o (Opcional) En Ruta de acceso. escriba nombre_del_equipo.

En el árbol de la consola de Administración de ISA. 5. haga clic en una extensión de archivo o en un tipo MIME (extensiones multipropósito de correo Internet). escriba una nueva extensión de archivo o un tipo MIME. realice una de las acciones siguientes: o Para seleccionar un tipo de contenido existente. escriba el nombre de la definición del protocolo y haga clic en Siguiente. seleccione Nuevo y haga clic en Grupo de contenido. . (Opcional) En Descripción. En Tipos disponibles. haga clic en Nuevo y.• Para incluir una carpeta específica en el conjunto de destinos: /Ruta/Nombre_carpeta • Para incluir todos los archivos en una carpeta: /Ruta/Nombre_carpeta/* • Para seleccionar un archivo específico de una carpeta: /Ruta/Nombre_carpeta/Nombre de archivo Creación de un grupo de contenido 1. en Definición. haga clic con el botón secundario en Grupos de contenido. 4. o Para agregar un nuevo tipo de contenido. 3. En el Asistente para la definición de nuevos protocolos. escriba una descripción del grupo de contenido. Creación de una definición de protocolo 1. 2. a continuación. haga clic con el botón secundario en Definiciones de protocolo. En el árbol de la consola de Administración de ISA. Haga clic en Agregar. En Nombre. escriba el nombre del grupo de contenido. 2.

haga clic en Siguiente. . especifique el puerto. especifique si la definición de protocolo incluye una conexión secundaria. el tipo de protocolo y la dirección de la conexión secundaria. En la página Conexiones secundarias. el tipo de protocolo y la dirección de la conexión principal. especifique el intervalo de puertos. 4. En la página Información acerca de la conexión principal.3. A continuación. A continuación.

Salida (para el protocolo TCP). Ésta incluye el número de puertos. Controlar Peticiones Salientes Configurar la Directiva de Acceso Creación de una regla de sitio y contenido 1. Siga las instrucciones que aparecen en pantalla. 2. Protocolo de control de transporte (TCP) o protocolo de datagramas de usuarios (UDP). Sólo recibir. Enviar y recibir. Primero debemos especificar un nombre descriptivo para la nueva regla: . seleccione Nueva y. • (Opcional) Conexiones secundarias. Es un número de puerto del 1 al 65535 que se utiliza para la conexión inicial. • Dirección. el protocolo y la dirección que se utilizan para conexiones adicionales o para paquetes posteriores a la conexión inicial. Puede configurar una o varias conexiones secundarias. tal como se muestra a continuación. En el árbol de la consola de Administración de ISA. se especifican los siguientes elementos: • Número de puerto. haga clic en Regla. • Protocolo de nivel inferior. Sólo enviar. haga clic con el botón secundario en Reglas de sitio y contenido. Recibir y enviar (para el protocolo UDP) o bien Entrada.Configuración de definiciones de protocolo Al crear una definición de protocolo. a continuación.

es decir si va a permitir o denegar lo que estamos configurando: Luego personalizamos el conjunto de destinos a los cual se aplica la regla que se está creando: .A continuación seleccionamos el tipo de acción que se aplica a la regla.

En la ficha Destino. seleccione una de las opciones siguientes: . 3. En el panel de detalles. seleccione Opciones avanzadas. 2. En el árbol de la consola de Administración de ISA. haga clic en Propiedades. Configuración de un conjunto de destinos para una regla de sitio y contenido 1.El conjunto de destinos especificado puede ser elegido de algunos predeterminados o de los conjuntos de destinos que han sido creados. 4.( ver Configuración de un conjunto de destinos para una regla de sitio y contenido ) A partir de este punto se debe configurar los demás parámetros para la regla de sitio y contenido en base a todos los elementos de directiva disponibles. haga clic en Reglas de sitio y contenido. a continuación. En el menú Ver. tales como grupos de contenidos (ver Configurar el contenido para una regla de sitio y contenido )y conjuntos de direcciones de clientes para la red interna. haga clic con el botón secundario en la regla correspondiente y.

En el panel de detalles. Creación de una regla de protocolo o o o o o 1. a continuación. 3. haga clic en Reglas de sitio y contenido. En el árbol de la consola de Administración de ISA. haga clic en Todos los grupos de contenido. En el árbol de la consola de Administración de ISA. realice una de las acciones siguientes: o Para especificar que la regla se aplica a todo el contenido. 2. Para obtener más información refiérase al tema creación de gr upos de contenido. haga clic en Grupos de contenido seleccionados y seleccione uno o más grupos de contenido. haga clic con el botón secundario en Reglas de protocolo. seleccione Nueva y. haga clic con el botón secundario en la regla de sitio y contenido correspondiente y. (ver configuración de protocolos para una regla de protocolo) . Configurar el contenido para una regla de sitio y contenido 1. Si selecciona Conjunto de destinos seleccionado o Todos los destinos salvo el conjunto seleccionado. Siga las instrucciones que aparecen en pantalla. 2. haga clic en Propiedades. Entre las configuraciones que siguen. a continuación. seleccione Opciones avanzadas. está la configuración del protocolo que se aplica para la regla que se está creando. Para obtener más información refiérase al tema creación y configuración de conjuntos de destinos. o Para especificar que una regla sólo se aplica a una parte del contenido. En la ficha Contenido HTTP. 4. En el menú Ver. seleccione un conjunto de destinos en Nombre. haga clic en Regla.Todos los destinos Todos los destinos externos Todos los destinos internos Conjunto de destinos seleccionado Todos los destinos salvo el conjunto seleccionado 5.

seleccione Opciones avanzadas. haga clic con el botón secundario en Reglas de publicación en Web. haga clic en Propiedades. haga clic en Todo el tráfico IP salvo el seleccionado. Para obtener más información refiérase al tema creación y configuración de definiciones de protocolo. 5. Integración de Sistemas ESPOCH Escuela de Ingeniería de Sistemas 21 4. En el menú Ver. a . En el panel de detalles. a continuación. 2. realice una de las acciones siguientes: o Si la regla se aplica a todos los protocolos. haga clic con el botón secundario en la regla de protocolo correspondiente y. seleccione Nueva y.A partir de este punto se debe configurar los demás parámetros para la regla de protocolo en base a todos los elementos de directiva disponibles tales como direcciones de clientes para la red interna. En la ficha Protocolos. en Protocolos debe seleccionar una o varias definiciones de protocolo. haga clic en Reglas de protocolo. Configuración de protocolos para una regla de protocolo 1. haga clic en Todo el tráfico IP. Si elige Protocolos seleccionados o Todo el tráfico IP salvo el seleccionado. incluso a aquellos que no estén definidos explícitamente en el servidor ISA. o Si la regla se aplica a todo el tráfico IP excepto a los protocolos seleccionados. En el árbol de la consola de Administración de ISA. Controlar Peticiones Entrantes Configurar la Publicación Para crear una regla de publicación en Web 1. 3. haga clic en Protocolos seleccionados. o Si la regla sólo se aplica a los protocolos seleccionados en Protocolo. En el árbol de la consola de Administración de ISA.

En el panel de detalles. asegúrese de que Opciones avanzadas tiene una marca de verificación. 2. Configurar un conjunto de destinos para una regla de publicación en Web 1. haga clic en Regla. 2. 3. haga clic en Reglas de publicación en Web.continuación. En el árbol de la consola de Administración de ISA. En el menú Ver. haga clic con el botón secundario en la regla . A partir de este punto la configuración de la regla es muy similar a los otros tipos de reglas. siga las instrucciones que aparecen en pantalla. una de las configuraciones que se destaca es la siguiente: En esta configuración se especifica la acción de la regla de publicación para el servidor que se encuentra dentro de la red interna. en lo que se refiere a los elementos de directiva (ver Configurar un conjunto de destinos para una regla de publicación en Web). En el Asistente para nuevas reglas de publicación en Web.

a continuación. haga clic con el botón secundario en Filtros de paquetes IP. Filtros de Paquetes IP Para crear un filtro de paquetes IP 1. Si selecciona Conjunto de destinos seleccionado o Todos los destinos salvo el conjunto seleccionado y. haga clic en Propiedades. haga clic en Filtro. 4. A continuación especificamos la acción de la regla. En la ficha Destinos. seleccione Nuevo y. 2.correspondiente y. es decir si permite o deniega la transmisión de paquetes: . Para obtener más información refiérase al tema creación y configuración de conjuntos de destinos. a continuación. en Nombre seleccione en un conjunto de destinos. En el árbol de la consola de Administración de ISA. Siga las instrucciones que aparecen en pantalla. en Esta regla se aplica a. a continuación. seleccione una de las siguientes opciones: o Todos los destinos o Todos los destinos externos o Todos los destinos internos o Conjunto de destinos seleccionado o Todos los destinos salvo el conjunto seleccionado 5.

a continuación. En el panel de detalles. en Servidores que utilizan este filtro. . En el árbol de la consola de Administración de ISA. especificando incluso el protocolo de capas inferiores sobre el cual queremos que se aplique: Para obtener información detallada sobre la configuración de cada elemento de un filtro IP. En el menú Ver. haga clic en Filtros de paquetes IP. 3. realice una de las acciones siguientes: o Haga clic en Todos los servidores de la matriz.Luego podemos personalizar el filtro de paquetes IP. vea las siguiente secciones: Para aplicar un filtro de paquetes IP a un servidor y Para configurar un protocolo para un filtro de paquetes IP Para aplicar un filtro de paquetes IP a un servidor 1. asegúrese de que la casilla de verificación Habilitar este filtro está seleccionada. haga clic en Propiedades. haga clic con el botón secundario del mouse en el filtro de paquetes IP que desea modificar y. 4. asegúrese de que Opciones avanzadas tiene una marca de verificación. 5. 2. En la ficha General. En la ficha General.

proceda del modo siguiente: o En Dirección. a continuación.Haga clic en Sólo este servidor y. haga clic con el botón secundario en el servidor correspondiente y. haga clic en Propiedades. o Haga clic en Personalizado y. 5. Si elige el protocolo UDP. 8. 4. realice una de las acciones siguientes: o Haga clic en Predefinido y. o En Puerto remoto. haga clic en Propiedades. haga clic en uno de los protocolos siguientes: Cualquiera. proceda del modo siguiente: o En Dirección. o En Puerto remoto. Si hace clic en Puerto fijo. En la ficha Tipo de filtro. Si elige Cualquiera. escriba el número en Número. escriba el número de puerto en Número de puerto remoto. Si elige el protocolo TCP. Si hace clic en Código fijo. haga clic en Entrante. Haga clic en la unidad deseada. haga clic con el botón secundario en el filtro de paquetes IP que desea modificar y. haga clic en Todos los puertos. Para configurar un protocolo para un filtro de paquetes IP 1. escriba el número de código en Número. o En Código. o En Puerto local. escriba el número de puerto en Número de puerto remoto. Si elige el protocolo ICMP. Salida o Ambas. Recibir y enviar o Enviar y recibir. Salida o Ambas. a continuación. En el árbol de la consola de Administración de ISA. Saliente o Ambas. o En Puerto local. o En Tipo. haga clic en Todos los tipos o Tipo fijo. En el menú Ver. Sólo enviar. haga clic en Filtros de paquetes IP. proceda del modo siguiente: o En Dirección. Si hace clic en Tipo fijo. En el panel de detalles. especifique la dirección: Entrada. Si hace clic en Puerto fijo. asegúrese de que Opciones avanzadas tiene una marca de verificación. Puerto fijo o Dinámico (1025-5000). Si hace clic en Puerto fijo. haga clic en Todos los códigos o Código fijo. a continuación. TCP. En el panel de detalles. haga clic en el servidor al que desea aplicar el filtro. escriba el número de puerto en Número de puerto local. Si hace clic en Puerto fijo. ICMP. 6. 3. 2. Configurar la Caché Para configurar el tamaño de la caché en un servidor 1. en la lista Protocolo IP. 3. a continuación. haga clic en Todos los puertos o Puerto fijo. haga clic en Todos los puertos o Puerto fijo. a continuación. haga clic en un filtro de la lista. Puerto fijo o Dinámico (1025-5000). UDP o Protocolo personalizado. haga clic en Todos los puertos. Ambas. En el árbol de la consola de Administración de ISA. haga clic en Sólo recibir. o . escriba el número de puerto en Número de puerto local. 7. haga clic en Unidades. haga clic en Entrada. 2.

Parte Práctica 4. A continuación se presenta un diagrama que muestra la estructura lógica de esta configuración. con las respectivas direcciones asignadas para cada red: . 4. En Tamaño máximo de la caché (MB). Se hará el montaje de tres redes distintas: Una red interna que representa a la red LAN de una organización Una red Perimetral formada por un conjunto de servidores que se exponen directamente al Internet Una Red Externa que actúa como Internet simulado y que está formada por un único servidor web. escriba el tamaño de la caché y haga clic en Configurar.4.1.Introducción En esta sección configuraremos un Firewall con tres interfaces de red utilizando Microsoft ISA Server.

1 para la red perimetral .1 para la red interna Integración de Sistemas ESPOCH Escuela de Ingeniería de Sistemas 28 150.Montaje Físico de la Red Para el montaje físico de la red necesitaremos los siguientes materiales: Un equipo con tres interfaces de red. Todos los cables UTP normales irán destinados a la red interna y a la red perimetral.10. mientras que el cable cruzado conectará al servidor web externo con el Firewall (conexión simulada a Internet).0. 4.11.3.168.2. Se deberá asignar las siguientes direcciones IP a las tres interfaces del servidor: 192.1 para la conexión simulada a Internet 150. 5 cables UTP normales y un cable cruzado La configuración de todos estos elementos. se puede apreciar de forma clara en el esquema presentado en la sección anterior.4.0.Instalación y Configuración de Microsoft ISA Server Luego de verificar la conectividad física de la red procederemos a configurar el servidor ISA.0. para que haga las veces de Firewall Un Servidor web para simular un equipo del Internet Un servidor Web para la red perimetral Un Servidor de Correo para la red perimetral Un equipo que haga las veces de cliente de la red interna Un concentrador (HUB) de 8 puertos para la interconexión de las redes perimetral e interna.

0.0.com y dns.0.com (150.octavo.11.octavo.0.168.2 4.com (150.octavo.168.2 Instalar y configurar un servidor Web como Apache o IIS. Instalar y configurar el servicio de FTP Montar una o varias páginas o aplicaciones Web y algunos archivos para realizar pruebas con FTP (para nuestro caso hemos instalado 2 aplicaciones Web desarrolladas con PHP llamadas PHPCorner y EISOnlineLibrary) Instalar y configurar el servicio de DNS y registrar varios nombres de dominio para cada uno de los servicios que funcionen en este servidor (para nuestro caso hemos registrado los hosts www.168.0.octavo.com (150.Configuración de la Red Externa En esta sección instalaremos un equipo que simule un servidor y un cliente de Internet.4.1 La dirección del Gateway se configurará en 150. para lo cual se requiere tener una partición formateada con NTFS Configure la tabla de direcciones locales (LAT) para que incluya el intervalo desde 192.0.1) La dirección del cliente DNS para este equipo será 127.1 4.10.2) Se registrará también en el DNS las direcciones de los servidores de la red perimetral y del DNS (que se instalará en el mismo equipo en que instalará el Firewall) como sigue: o www.10.0.1 y el puerto 8080 .eis.10.eis.com (150.0.0.0.El proceso de instalación es muy sencillo.255. ftp.168.Configuración de la Red Interna Ahora instalaremos un equipo que tendrá el rol de cliente de la red interna.10.1 Integración de Sistemas ESPOCH Escuela de Ingeniería de Sistemas 29 El Gateway predeterminado se configurará en 192.com con la dirección 150.0. teniendo en cuenta las siguientes consideraciones: ISA Server debe ser instalado en modo integrado Debe especificarse un tamaño adecuado para la caché.1 Accediendo a la configuración LAN en las opciones del Internet Explorer se especificará el uso de un Proxy con la dirección 192. Además del servidor ISA es necesario configurar el servicio de DNS de Windows para que reenvíe las peticione s de la red interna hacía un servidor DNS ubicado en Internet.0. La configuración es la siguiente: En las propiedades del Servidor DNS acceder a la ficha “Reenviadores” Activar la casilla “Habilitar reenviadores” Asignar la siguiente dirección IP: 150.com. Deberá configurarse como sigue: Asignar la siguiente dirección: a la interfaz de red 192.3) o dns.0.2 La dirección del cliente de DNS será 192. basta con seguir los pasos de un asistente.0 hasta 192.0.5.0.168.11.2) o ftp.11.2) o mail.255.10.168. El servidor deberá configurarse como sigue: Asignar la siguiente dirección: a la interfaz de red 150.eis.

Montaje del Servidor de Correo en la Red Perimetral Para realizar pruebas con los protocolos SMTP y POP3 se instalará un servidor de correo en la red perimetral con la siguiente configuración: Asignar la siguiente dirección: a la interfaz de red 150.11.Configuración del Acceso a Internet a través del Proxy Web Para que los clientes de la red interna puedan acceder al Internet es necesario configurar al servidor ISA para que responda a las peticiones web salientes.11.11. FTP o Programación: Siempre o Se aplica a: Cualquier petición Verificar que Browser de los clientes esté configurado para utilizar un Proxy Verificar que la Caché de HTTP y FTP estén activados 4.0. Se realizarán los siguientes pasos: Asignar la siguiente dirección: a la interfaz de red 150.1 Instalar y configurar un servidor Web como Apache o IIS y el servicio de FTP Publicar varias páginas o aplicaciones Web y varios archivos en el servidor FTP para realizar pruebas 4.0. La configuración se realiza como sigue: En a ficha “Peticiones Web Salientes” de las propiedades del servidor ISA se utilizarán los siguientes parámetros: o Utilizar la misma configuración de escuchas para todas las direcciones o Puerto TCP: 8080 Verificar que exista una regla de Sitio y Contenido con los siguientes parámetros o Destinos: Todos los Destinos o Programación: Siempre o Acción: Permitido o Se aplica a: Cualquier Petición o Contenido http: Todos los Grupos Construir una regla de protocolo con los siguientes parámetros: o Nombre de la Regla: Acceso a Internet para Red Interna o Acción: Permitir o Protocolo: HTTP.0.0.4.7.11.3 Integración de Sistemas ESPOCH Escuela de Ingeniería de Sistemas 30 Configurar el Gateway con la dirección 150.11.1 Instalar y configurar un servidor de correo (Para nuestro caso hemos utilizado Microsoft Exchange 2000 Server conjuntamente con un dominio de Active Directory) Crear varias cuentas de correo para realizar pruebas .1 Configurar el cliente de DNS con la dirección 150.Montaje del Servidor Web en la Red Perimetral Seguidamente configuraremos un servidor Web / FTP en la red perimetral.11. HTTPS.0.2 Configurar el Gateway con la dirección 150.6.1 Configurar el cliente de DNS con la dirección 150.8.0.

11. Servidor HTTP (puerto 80) Equipo local: este equipo en la red perimetral: 150.0.0. Existen varios mecanismos para hacer públicos los servidores de una organización hacia el Internet. Dirección: Ambas. Protocolo TCP.11.3 Equipo remoto: Todos los equipos remotos o Crear un filtro de paquetes IP con los siguientes parámetros: Nombre del filtro: Filtro red externa – red perimetral para POP3 . Protocolo TCP. Cuando los servidores han sido montados en la red interna se utiliza un mecanismo de publicación de servidores.11. Puerto local fijo: 21 Equipo local: este equipo en la red perimetral: 150.2 Equipo remoto: Todos los equipos remotos Integración de Sistemas ESPOCH Escuela de Ingeniería de Sistemas 31 Configuración para enrutar los paquetes hacia el servidor Web: o Crear un filtro de paquetes IP con los siguientes parámetros: Nombre del filtro: Filtro red externa – red perimetral para SMTP Tipo de Filtro: Predefinido.x.0.11.9.168.Configurar el cliente de correo en algunas máquinas de la red (para nuestro caso utilizaremos clientes de correo en las estaciones 192. mientras que si los servidores se encuentran ubicados en la red perimetral (también considerada como externa).10.0.0.2 Equipo remoto: Todos los equipos remotos o Crear un filtro de paquetes IP con los siguientes parámetros: Nombre del filtro: Filtro red externa – red perimetral para FTP (Conexión de datos) Tipo de Filtro: Personalizado. 150.2 Equipo remoto: Todos los equipos remotos o Crear un filtro de paquetes IP con los siguientes parámetros: Nombre del filtro: Filtro red externa – red perimetral para FTP (Conexión de control) Tipo de Filtro: Personalizado. se utilizará un mecanismo de filtrado y enrutamiento de paquetes IP.Configuración de Permisos para el Acceso a la Red Perimetral desde la Red Externa. protocolo SMTP (puerto 25) Equipo local: este equipo en la red perimetral: 150.0. Puerto local fijo: 20 Equipo local: este equipo en la red perimetral: 150. Dirección: Ambas.2 y en el mismo servidor de correo) 4. En el servidor ISA se realizará la siguiente configuración con el fin de enr utar los paquetes de la red externa a la red perimetral: Configuración para enrutar los paquetes hacia el servidor Web: o Crear un filtro de paquetes IP con los siguientes parámetros: Nombre del filtro: Filtro red externa – red perimetral para http Tipo de Filtro: Predefinido. Para la siguiente práctica hemos seleccionado la segunda alternativa.

octavo.com Las pruebas anteriores verifican el correcto funcionamiento de los servicios de Proxy y de Caché de ISA 2000 Server.3 Equipo remoto: Todos los equipos remotos 4.com o ftp.com o ftp.0.0. Desde el cliente de la red externa (150.eis.0.0.168.2 y 150.2 Puede modificarse las reglas en el servidor ISA y probarlas una a una.com o www.Tipo de Filtro: Predefinido.10.10.octavo. 150. Se recomienda: o Cambiar la acción de las reglas de Sitio y Contenido y de Protocolo de Permitido a Denegado y viceversa o Cambiar las programaciones de las reglas de Sitio y Contenido y de Protocolo de manera que se apliquen en horarios específicos o Cambiar el conjunto de clientes sobre los que se aplican las reglas de Sitio y Contenido y de Protocolo de manera que se permita el acceso a Interne t a ciertos grupos de equipos o Cambiar los grupos de contenido de las reglas de Sitio y Contenido y de Protocolo para que los usuarios tengan ciertas restricciones sobre los contenidos a los que pueden acceder o Deshabilitar ciertos filtros de paquetes IP para comprobar que no se realiza el enrutamiento de paquetes o Configurar algunos filtro de paquetes para permitir o denegar el uso de la utilidad ping en toda la red .11.11.com Puede realizarse un intercambio de correo entre todos los hosts en la red. utilizando la dirección www. Protocolo POP3 (puerto 110) Equipo local: este equipo en la red perimetral: 150.0.0. se recomienda hacerlo entre los equipos 192.2) se puede probar el acceso a los siguientes sitios utilizando un Browser: o www.2.10.2) se puede comprobar el acceso al servidor Web de la red perimetral mediante un Browser.eis.168.octavo. Pruebas Realizadas Desde el cliente de la red interna (192.