You are on page 1of 123

Pasos Para montar y Configurar Isa Server 2006 Caso Drovica

Isa Server Drovica Indice

2

Configuración Inicial de los NIC…………………………………………………………………04 Instalación de ISA……………………………………………………………………………………09 Configuración de ISA……………………………………………………………..………………..13 Regla del DHCP Externa…………………………………………………………………….13 Configuración de tipo de Firewall (3 LEG)….………………………………………..17 Configuración de Servidor ISA 01……………………………………………………….21 Configuración de Redes…………………………………………………………………….22 Redes…………………………………………………………………………………….22 Conjunto de Redes………………………………………………………………….29 Reglas de Red………………………………………………………………………..29 Encadenamiento WEB……………………………………………………………..30 General ISA………………………………………………………………………………………31 Asignación de Directivas…………………………………………………………..32 Definición de Clientes Firewall…………………………………………………..33 Configuración de encadenamiento Firewall……………………………….…33 Especificación de preferencias Acceso Telefónico………………………..33 Especificaciones de Ldap y Radius……………………………………………..34 Configuración Traductor de vinculo global….……………………………...34 Especificación configuración de revocación de certificados………….35 Definir preferencias de compresión de http……………………………..…36 Especificaciones preferencias del DIFFSERV ………………………………37 Habilitar detección de intrusos y detección de ataques al DNS……..38 Configurar migración de Ataques FLOOD, congestión al servidor…38 Definir Protección IP………………………………………………………………..39 Configuración de Servidor Isa 01…………………………………………………………40 Complementos…………………………………………………………………………………..41 Filtros de aplicación.…………………………………………………………………41 Filtros WEB………………………………………………………………………….….41 Configuración del CACHE ISA 01…………………………………………………………42 Reglas del CACHE…………………..…………………………………………………….43 No Caché a Factory………………………………………………………………..43 No Caché a Bancos……………..………………..………………………………..45 Regla por defecto de Isa………..………………………………………………..46 Ultima regla del caché……………………………………………………………..48 Configuración del RPC (Método de transporte para replica).......…………….50 Reglas de Isa 01…………………………………………………………………….……………….51 Resolver desde MI DNS……………………………………………………..………………51 Resolver DNS hacia el Internet…………………………………………..………………53 Infraestructura Local (Directiva creado por ISA)…….…………..…………..….54 De Clientes VPN a la Interna (Directiva creada por ISA)…………..…………..56 Acceso a Internet Sin restricciones……………………………………………………..58

Isa Server Drovica

3

Reglas de Drovica (Creadas por administrador)…………………………………………60 Configuración de Grupos en Active Directory y dominios de accesos…….60 No Messenger …………………………………………………………………………………68 Lista Negra………………………………………………………………………………………73 Regla de servicios de correo………………………………………………………………76 Configuración de Outlook y en lance con los servicios de correo …………..78 Prensa digital………………………………………………………………………………….81 Transporte……………………………………………………………………………………..83 Correos Web…….……………………………………………………………………………83 RRHH y Configuración de redirección a equipos…………….…………………..85 Contadores ……………………………………………………………………………………90 Gobiernos………………………………………………………………………………………92 Bancos…………………………………………………………………………………………..94 Proveedores……………………………………………………………………………………96 Acceso Web al Host……………………………………………………………………….100 Acceso a Factory……………………………………………………………………………102 Enlace Entre los dos Isa………………………………………………………………………….104 Instalación del ISA 02…………………………………………………………………………….106 Configuración del ISA 02……………………………………………………………..…………107 Nueva configuración de la RED INTERNA…………………………………………………111 Configuración GENERAL del ISA 02………………………………………………………..112 Asignación de Directivas…………………………………………………………..112 Definición de Clientes Firewall…………………………………………………..114 Configuración de encadenamiento firewall……………………………….…115 Especificación de preferencias Acceso Telefónico………………………..115 Especificaciones de Ldap y Radius……………………………………………..116 Configuración Traductor de vinculo global………….……………………...117 Especificación configuración de revocación de certificados………….118 Definir preferencias de compresión de http……………………………..…118 Especificaciones preferencias del DIFFSERV ………………………………119 Habilitar detección de intrusos y detección de ataques al DNS……..120 Configurar migración de Ataques FLOOD, congestión al servidor…121 Definir Protección IP………………………………………………………………..122

10 N/A IP ISP Dns Secundario N/A N/A IP ISP 192.0 IP ISP IP ISP Nota de la interna: No aplica puerta de enlace porque este equipo esta recibiendo directo flujo de Internet en conclusión no lleva.168. Nota Externa: estos IP son suministrados del ISP.1.1.255. la configuración seria de esta forma: Nic Interna DMZ Externa Ip Mascara Puerta de enlace N/A N/A IP ISP Dns Primario 192.1. esta configuración se llama trípode.1 255.255. Nota de la DMZ: esta dirección IP que tiene la Nic DMZ será que utilizaran como puerta de enlace en todos los equipos que estén en la zona desmilitarizada. Una vez que ya nuestras tarjetas están identificadas y con los ips asignados Ahora vamos a configurar la parte interna de la tarjeta: Interna: .168.255.255. una vez instalado y configurados las 3 tarjetas procedemos a colocarle nombres y las direcciones IP.16.9 255.0 172.Isa Server Drovica 4 Lo primero que hay que hacer es instalar las tarjetas de red en este caso necesitamos 3 tarjetas de red porque vamos a necesitar una zona desmilitarizada (DMZ) o perimetral.

Isa Server Drovica 5 DMZ Y EXTERNA .

Isa Server Drovica 6 Así debe quedar la configuración del DNS en la NIC externa y en la DMZ .

Isa Server Drovica Así debe quedar la configuración del WINS en la NIC externa y DMZ 7 .

ahora tenemos que dar el sig orden esto lo hacemos en las propiedades de las conexiones de red Vamos a opciones avanzadas Las tarjetas deben quedar con este orden (este orden es la forma en que el computador le dice al isa cual es la prioridad de las tarjetas y de esa forma el isa Server las va a cargar en las platillas) .Isa Server Drovica 8 Las tarjetas deben quedar con esa configuración.

ahora hacemos ping a todas las tarjetas del ISA y luego ping a la dirección de la tarjeta nic del DC (Controlador de Dominio) y luego Vamos a las propiedades del sistema tecla Windows + pausa. luego a Nombre de Equipo y Luego botón de ¨Cambiar¨ se supone que el isa esta en un grupo de trabajo pues simplemente vamos a la barra de DOMINO y colocamos el dominio (Drovica. le damos ingreso a estos datos y enter. luego me pide resetear y ya esta unido al Dominio. Ya que probamos que tenemos Internet vamos a pegar al Isa al Domino drovica. Realizamos las actualizaciones de Windows en el servidor isa (Srv-Isa-01) Desconectamos el ISA del Internet Ahora procedemos a instalar el ISA SERVER 2006 .com) luego me pregunta Usuario y contraseña del administrador de la red.Isa Server Drovica 9 Ahora realizamos EL parcho correspondiente para los servidores y reseteamos una vez que botea el servidor. probamos que exista Internet hay que tomar en cuenta que al momento de instalar isa se bloquea flujo de Internet.

Isa Server Drovica 10 .

Isa Server Drovica 11 Una vez instalado procedemos a instalar el SP (service pack) correspondiente Reseteamos y creamos la primera regla del isa .

Isa Server Drovica 12 Luego de la instalación me quedo sin Internet y lo primero que hacemos es la red cambiar la regla de de las 30 grandes y en ella agregar en el DE Externa de lo contrario de lo contrario cuando la NIC externa que tomo los valores de ISP cambien por regeneración de ip no vamos a navegar porque el DHCP no esta activado y no renueva la dirección con este simple cambio solucionamos eso Lo hacemos así: .

Isa Server Drovica Ubicamos la regla 10 13 Doble click en esa regla .

Isa Server Drovica 14 .

Isa Server Drovica 15 .

Isa Server Drovica 16 Presionamos aceptar y aplicamos los cambios Con esto garantizamos la renovación del DHCP de la externa de lo contrario la pierde y no hay navegación después que la externa pierde la ip con el proveedor de servicio .

Isa Server Drovica Ahora cambiamos la topología el isa viene por defecto con 17 En este caso la cambiamos a trípode .

Isa Server Drovica 18 .

Isa Server Drovica 19 .

al cambiar la estructura el Isa me crea otras políticas relacionadas con la nueva configuración. crea 6 directivas mas las cuales veremos a continuación .Isa Server Drovica 20 Nota importante si no cambio primero la estructura de la red y hago primero las reglas y luego cambio cuando se ejecute el cambio de red pierdo todas las reglas esto debido a que esta es una estructura nueva.

Isa Server Drovica Configuración del Servidor Srv-Isa-01 21 .

la configuración de caché será en otro capitulo) . forma (ahora veremos Redes y General.Isa Server Drovica 22 La configuración del 3 Leg queda de la sig.

Isa Server Drovica 23 .

Isa Server Drovica 24 .

Isa Server Drovica 25 .

Isa Server Drovica 26 .

Isa Server Drovica 27 .

Isa Server Drovica 28 .

Isa Server Drovica 29 .

Isa Server Drovica 30 .

Isa Server Drovica 31 Ahora vamos a ver la configuración de “GENERAL” En esta sección vamos a configurar ciertos iconos pero de igual forma los veremos todos identificaremos los iconos pulsados con un circulo rojo .

Isa Server Drovica 32 .

Isa Server Drovica 33 El Outlook viene en la configuración del Firewall en 1 y debe ser 0 como esta en el grafico .

Isa Server Drovica 34 .

Isa Server Drovica 35 .

Isa Server Drovica 36 .

Isa Server Drovica 37 .

Isa Server Drovica 38 .

Isa Server Drovica 39 .

Isa Server Drovica 40 Ahora vamos con el resto de los componentes de la configuración incluyendo el caché .

Isa Server Drovica 41 .

Para ello creamos una unidad con ese espacio.Isa Server Drovica Configuración del Caché: 42 Antes de hacer la configuración del Isa Server de la función de caché se debe crear el espacio en disco en el servidor se recomiendan al menos unos 6 GB para esta función. obviamente este tamaño va estar definido por la necesidad de la empresa. si se coloca mas el caché va a ser muy pesado y no va a dar el resultado adecuado y si por lo contrario se coloca menos el caché se llenara muy rápido. la formateamos y luego vamos al Isa a activar la zona caché Definición del caché Luego creamos las Directivas para caché aplicamos hasta la fecha en Drovica las cuales explicaremos las 3 que .

Isa Server Drovica 43 1.No caché al Factory .

Isa Server Drovica 44 .

Isa Server Drovica 45 2.No caché Bancos .

Isa Server Drovica 46 3.Regla por defecto de Isa .

Isa Server Drovica 47 .

Isa Server Drovica 4.Ultima Regla de Caché 48 .

Isa Server Drovica 49 .

NOTA importante No recomiendo cambiar en los sitios el método de transporte a IP se recomienda dejarlo RPC .Isa Server Drovica 50 Configuración del para el RPC. técnica importante para dar salida a las Replicas entre sitios si no se configura esto todo queda por defecto cada 15 min.

Regla de Resolver desde Mi DNS .Isa Server Drovica 51 Ahora vamos a trabajar y/o crear las políticas que crea el Isa la primera que tocamos o creamos es: 1.

Isa Server Drovica 52 Solapa de programación y tipo de contenido no se tocan están por defecto (Nota ojo verificar si además de ir al host local va también al equipo DNS) .

Isa Server Drovica 2.del DNS hacia el Internet 53 .

Infraestructura Local (Directiva creada por ISA) .Isa Server Drovica 54 3.

Isa Server Drovica 55 .

Isa Server Drovica 4.De clientes VPN a la red Interna 56 .

Isa Server Drovica 57 .

Isa Server Drovica 5.Acceso a Internet sin restricciones 58 .

Isa Server Drovica 59 .

Antes de hacer cualquier cosa con el Isa debemos hacer un trabajo en el Active Directory es una trabajo de organización de los usuarios por grupos debido a que el Isa trabaja por Grupo de usuarios OU donde estarán los Grupos de Isa Grupo de Usuarios según Dpto.Isa Server Drovica 60 Directivas de trabajo y puesta a tono de ISA Isa coloca por defecto las directivas de Negación en primer plano esto es porque el va evaluado directiva por directiva verifica si la solicitud del cliente se niega de no ser así pasa a la otra directiva hasta llegar a la directiva correspondiente y ejecutar la acción dependiendo del usuario. y/o OU Dominios Aplicados En este grupo estarán todos los grupos a los cuales se le aplicaran las políticas para la configuración automática del Proxy . es por ello la importancia de la posición de las directivas tanto de Denegar como las de Permitir esto es el 80% de los problemas del Isa las posiciones de las directivas.

Isa Server Drovica 61 Este es el ejemplo de Grupo al cual se le aplicara el Proxy .

este grupo esta identificado con Acceso LIBRE es decir no tendrá restricciones (recordemos que aun no hemos tocado las directivas de isa) Fíjese que no es miembro de ningún grupo que lo pueda limitar esta libre .Isa Server Drovica 62 Ahora veremos grupo de administradores.

Isa Server Drovica 63 Ahora un caso de un grupo de usuarios limitados por los dominios Descripción de cuales son los dominios a los cuales podrá acceder este grupo de usuarios Usuario(s) que conforman el grupo .

Isa Server Drovica 64 Miembro al grupo que pertenece en este caso al grupo de Usuarios al cual se le aplicara la directiva de Configuración de Proxy .

vale acotar que para la configuración de los dominios se debe realizar de la siguiente forma *. Los dominios de isa significa a donde apunta el usuario la regla determinara si el usuario o grupo de ellos tiene acceso a este dominio. en otras palabras en las directivas del isa de defina a quien se le aplican las directivas y a donde tienen salida los usuarios de determinada directiva.com pueda tener el dominio con esta configuración se enmascara el prefijo que con esta configuración se ingresa el dominio como tal En conclusión ambas configuraciones deben estar definidas en el conjunto del dominio que se esta creando.Isa Server Drovica Definición de dominios para los usuarios: 65 Una vez definidos los grupos procedemos a definir en el isa los Dominios y allí mismo en las directivas del isa es que se relacionaran los dominios con los grupos de usuarios.ve Solicitud del Usuario (facebook) Internet Solicitud negada fuera de los dominios registrados para este usuario o grupo de Ahora veremos algunos ejemplos de dominios permitidos en el Isa. si tiene lo abre y da acceso de lo contrario el usuario no podrá salir de ese grupo de dominios al cual esta confinado Hp. ejemplo: Hp.com .co.net Google.hp.com /google.com Cantv.

Isa Server Drovica 66 Nombre del conjunto de dominios al cual los usuarios referidos serán confinados Obviamente pulsamos agregar para Añadir dominios al conjunto .

ejemplo listas negras Una vez definida los grupos de los dominios procedemos a realizar las Directivas de Isa Server .Isa Server Drovica 67 De esta forma que acabamos de ver es como se configuran los dominios obviamente estos dominios estarán relacionados con las actividades del grupo al cual se le asignara Nota: Estos Dominios se pueden utilizar tanto para permitir como para denegar dependiendo del caso.

No Messenger 68 Para esta directiva en especial debemos configurar el tipo de contenido lo hacemos de la siguiente forma primero creamos la Política luego creamos la directiva. el caso es que Messenger tiene varias versiones y hay que estar colocando el nuevo contenido . en esta política lo que se hace es filtrar el flujo de http y por medio del contenido bloquea la aplicación.Isa Server Drovica Iniciaremos con las Directivas personalizadas del isa: 1.

Isa Server Drovica 69 .

Isa Server Drovica

70

Isa Server Drovica

71

Nombre de Tipo de Contenido Descripción del Nombre del Contenido

Aquí tipeamos o ubicamos en el combo un prefijo de aplication/x – (Contenido). Nota a pesar que el Isa es en español la palabra que se coloca es en ingles

Isa Server Drovica

72

Aquí vemos en lista nuestro contenido ya disponible

Marcamos Nuestro contenido ya que como se ve en la selección de contenida el filtro de http se aplicara al contenido seleccionado que es el que acabamos de crear

Isa Server Drovica 73 2.Listas Negras .

si se le da salida a google también se le dará al youtube es decir que todos los usuarios tendrían youtube la solución para ello es aplicar la negación a los Gerentes que están libres y al Internet Limitado que es por donde se fugaría la pagina y se le da una excepción a los administradores de esa forma se soluciona el problema de YOUTUBE . dando así plena libertad de navegación Debido a que los Gerentes están libres con esto se les impide que naveguen en los dominios de las listas negras Nota importante en las lista negra esta la pagina de www.Isa Server Drovica 74 Esta regla tiene como excepción al grupo Internet administradores.com y en la configuración que tenemos google esta en las Internet Limitado a su vez todos los grupos tienen acceso a Internet Limitado.com el problema es que youtube pertenece a google.youtube.

Isa Server Drovica 75 .

Isa Server Drovica 76 3 – Acceso a los Servicios de Correos Esta configuración es a nivel de protocolos para la configuración de Outlook .

Isa Server Drovica 77 .

Isa Server Drovica 78 Configuración del Outlook .

Isa Server Drovica 79 Se debe seleccionar esta opción para que cuando se baje el correo quede una copia en el repositorio del correo .

es decir para que no los baje de Hotmail Desactivar esta opcion .Isa Server Drovica 80 Para dejar copia de los correos en el proveedor original.

Isa Server Drovica 4.Prensa Digital 81 .

Isa Server Drovica 82 .

Hotmail. gmail.Isa Server Drovica 5.Transporte (igual a la configuración de los demás dominios) 83 6.Correos WEB (vale acotar que esta regla esta deshabilitada porque ya todos los usuarios están configurados para trabajar por Outlook y no es necesario ir al servidor de correos (yahoo. Web del Proveedor de correos . etc) Es decir el usuario entra el la Pág.

Isa Server Drovica 84 .

gob y .Isa Server Drovica 85 7. En el caso donde se apunta el ip como IVSS y MINTRA hay que crear EQUIPOS .gov en algunos casos hay que colocar la dirección IP del servidor al cual se esta llamando.Internet de RRHH Este es un punto interesante debido a que trabaja con paginas del gobierno y aquí ocurre un fenómeno que son las extensiones del los dominios gubernamentales el estado venezolano aun no regula sus extensiones es por ello que se deben colocar tanto el .

Isa Server Drovica Crear los equipos 86 .

Isa Server Drovica 87 .

Isa Server Drovica 88 Dominios y equipos a donde esta confinado el usuario .

Isa Server Drovica 89 .

Acceso Web a los contadores .Isa Server Drovica 90 8.

Isa Server Drovica 91 .

Acceso a Gobiernos 92 .Isa Server Drovica 9.

Isa Server Drovica 93 .

Isa Server Drovica 94 10.Accesos a los Bancos .

Isa Server Drovica 95 .

Isa Server Drovica 11- Proveedores

96

Isa Server Drovica

97

Isa Server Drovica

98

12- Acceso Limitado

Isa Server Drovica 99 .

Acceso Web Al host Local (es decir al Isa) 100 .Isa Server Drovica 13.

Isa Server Drovica 101 Nota: esta para todos los usuarios se supone que al Isa tienen acceso solo los administradores pero también se puede colocar el Grupo de administradores y listo así se restringe aun mas el la seguridad .

Isa Server Drovica 102 14.Permitir acceso a Factoty .

Isa Server Drovica 103 .

255.Isa Server Drovica Enlace entre los Isa Server 104 Una vez configurado nuestro Isa principal vamos a la instalación del Isa secundario para ello debemos tomar en cuenta lo siguiente.0 Dns: 192.1.168. debido a que los isa NO poseen puerta de enlace ellos Jamás se van a ver y sin la puerta de enlace nunca habrá comunicación es por ello que se debe realizar el procedimiento que se describe a continuación (si esto no se hace no habrá comunicación y no se podrá montar el Isa Server Secundario y que enlace con el master) Debemos utilizar el comando de consola “Route” y con el establecer la ruta que poseerán los Isa Tomando en cuenta que estamos en el isa 01 la configuración es Ip: 192.168.255.168.100 C:\>route ADD 192.0 192.168.9 esto es con la finalidad que tome a toda la red todo el rango del segmento 9 -p: Parámetro para que sea persistente la ruta si no se le coloca al momento de resetear la pierde la comunicación .255.1.168.9.9 Mask: 255.100 METRIC 2 -P Comando b Aplicacion b Ip destino b Mascara b Ip de la mascara b Puerta de enlace del RRAS donde estoy es decir en este caso de el del viñedo b Metrica: b Costo b Define los Intentos que va hacer para llegar al destino Como se puede ver el ip es 192.9.0 y no 192.0 PUERTA DE ENLACE: 0.1.168.0 MASK 255.168.255.9.0.10 Nota: recordemos que la comunicación que tenemos es por RRAS cuyo ip es 192.9.0.

Isa Server Drovica En este punto no tiene –p y no será persistente la conexión 105 Ruta ya establecida No hay Persistencia porque no tiene el –p en el comando inicial Ahora veremos como queda con el -p .

1.9.9 esto es con la finalidad que tome a toda la red todo el rango del segmento 1 -p: Parámetro para que sea persistente la ruta si no se le coloca al momento de resetear la pierde la comunicación Una vez establecida la conexión procedemos a realizar la instalación del Segundo Isa .1.Isa Server Drovica Del lado de Naguanagua Será 106 C:\>route ADD 192.1.255.100 METRIC 2 -P Comando b Aplicacion b Ip destino b Mascara b Ip de la mascara b Puerta de enlace del RRAS donde estoy es decir en este caso de Naguanagua b Metrica: b Costo b Define los Intentos que va hacer para llegar al destino Como se puede ver el ip es 192.168.255.0 y no 192.168.0 MASK 255.168.0 192.168.

Isa Server Drovica 107 Pide la configuración y enlace que ya establecimos y comienza a instalar .

Isa Server Drovica 108 Una vez instalado el Isa 02 se proceden hacer la configuración correspondiente a las a ese isa como se realizo en el ISA 01. Como deseamos una configuración indistinta los que hacemos es exportar las directivas de isa01 y luego las importamos al isa 02 lo mismo hay que hacer con las de cache exportar y luego importar con la salvedad que hay que hacer nuevamente la configuración de cache recordemos que es un isa totalmente nuevo Se debe crear una nueva Matriz (es decir un nuevo sitio) .

Isa Server Drovica 109 .

Isa Server Drovica 110 Una vez creada la nueva matriz podremos observar que en el área de de redes encontramos cambios en algunas solapas configuración del Servidor .

Isa Server Drovica 111 Nuevo Scope de Direcciones .

Isa Server Drovica Ahora veremos como queda la zona GENERAL en el Isa 02 112 .

Isa Server Drovica

113

Isa Server Drovica

114

Isa Server Drovica

115

Isa Server Drovica 116 .

Isa Server Drovica 117 .

Isa Server Drovica 118 .

Isa Server Drovica 119 .

Isa Server Drovica 120 .

Isa Server Drovica 121 .

Isa Server Drovica 122 .

Isa Server Drovica 123 .