Seguridad en la infraestructura de red

ISA Server 2006(A)

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

INDICE Tabla de direccionamiento .................................................................................................... 4 Documentación de dispositivos finales .................................................................................. 5 Maquinas Virtuales ............................................................................................................... 6
SVR-DNS-DHCP-01 ................................................................................................................................... 10 SVR-FW-01 ............................................................................................................................................... 12 Firewall Policy .......................................................................................................................................... 23

Blog: http://jfherrera.wordpress.com

2

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Topología de red

Blog: http://jfherrera.wordpress.com

3

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Tabla de direccionamiento
Default Gateway 10.10.10.62 N/A N/A 10.10.10.129 DHCP

Device Name SVR-DNS-DHCP01

Interface Name NIC NIC (LAN1 > Interna) NIC (LAN2 > DMZ) NIC (Bridge > Externa) NIC

IP Address 10.10.10.60 10.10.10.62 10.10.10.126 10.10.10.130 DHCP

Subnet Mask 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.252 DHCP

SVR-FW-01

Winxp1

Blog: http://jfherrera.wordpress.com

4

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Documentación de dispositivos finales
Device Name (Purpose ) SVRDNSDHCP-01 (DNS/DH CP) SVR-FW01 (ISA Server) WINS Serve r Addre ss N/A High Bandwid th Applicati ons N/A

Operating System/Ver sion

IP Address / Suffix

Default Gateway Address

DNS Server Address

Network Applicati ons

Windows Server 2003 SP2

10.10.10.60 /26 10.10.10.62 /26 10.10.10.12 6/26 10.10.10.13 0/30

10.10.10.62

10.10.10 .60 10.10.10 .60 10.10.10 .60 8.8.8.8 8.8.4.4 N/A N/A N/A

DNS DHCP ISA Sever 2006 N/A N/A N/A N/A N/A

N/A N/A 10.10.10.12 9/30

Windows Server 2003 SP2

Blog: http://jfherrera.wordpress.com

5

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Maquinas Virtuales
Iniciamos el asistente para crear un Nuevo Team siguiendo la ruta File > New > Team…

Blog: http://jfherrera.wordpress.com

6

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

En este punto hemos agregado las tres máquinas virtuales, las cuales están con los OS instalados y con las actualizaciones al día (SOLAMENTE), a acepción del servidor SVR-DNS-DHCP-01 que está configurado con el servicio DNS (dominio.local) y DHCP (pool 10.10.10.0/26 para la LAN1).

En este punto agregamos los Segmentos de red LAN1, LAN2 y Bridge, la LAN2, Bridge se creó solo para el ISA Server ya que va a tener tres NIC (Tarjetas de red), los demás host pertenecerán a la LAN1.

Como podemos observar en estos momentos ningún OS está en un segmento especifico, para hacerlos miembros de un segmento especifico damos clic sobre el lik Edit team settings y el cual se encuentra en el recuadro Commands.

Blog: http://jfherrera.wordpress.com

7

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

En la ventana que nos levanta seleccionamos la pestaña LAN Segments y configuramos el ancho de que se desee para cada segmento, presionamos en OK.

En esta captura de imagen vemos que en nuestro caso ninguna máquina virtual tiene un adaptador de red, entonces damos clic sobre cada una de las máquinas virtuales y le asignamos un adaptador de red con la acepción que el SVR-FW-01 (ISA) va a tener tres adaptadores uno en cada segmento (LAN1 , LAN2 y Bridge).

Blog: http://jfherrera.wordpress.com

8

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Entonces la configuración final de nuestros adaptadores quedara así, finalmente pulsamos en el botón Ok.

Blog: http://jfherrera.wordpress.com

9

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Nota: Debemos tener presentes y correctamente configurada la interface Bridge ya que esta interface debe estar correctamente asociada con la interface que se utilizara del equipo físico, para comprobarlo pulsamos en el menú Edit > Virtual Network Editor… SVR-DNS-DHCP-01 Como se menciono anteriormente el equipo etiquetado como SVR-DNS-DHCP-01 tendrá los servicios de DNS y DCHP, a continuación encontraremos una serie de Screenshot en los cuales se describen rápidamente la configuración para dichos servicios.

Observamos el hostname y direccionamiento del STACK TCP/IP utilizado para este host.

Blog: http://jfherrera.wordpress.com

10

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Esta es la configuración aplicada al servicio de DHCP.

Blog: http://jfherrera.wordpress.com

11

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Y finalmente esta es la configuración que se aplicó al servicio DNS, permitiendo las actualizaciones dinámicas en la zona directa e inversa por parte de los clientes de la LAN1 y LAN2. SVR-FW-01 Muy bien ahora continuaremos con el firewall, el cual tendrá las redes Interna (LAN1), DMZ (LAN2) y Externa (Bridge).

Es una buena práctica etiquetar los adaptadores de red, para así poder identificarlos rápidamente y poder configurarlos correctamente.

Blog: http://jfherrera.wordpress.com

12

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Si se nos dificulta identificar que NIC pertenece a que segmento de red o a la red externa podemos desactivar los adaptadores por medio de VMware pulsando clic derecho sobre el icono de conexión de red, seleccionando la opción Disconnect y así identificar los adaptadores fácilmente.

Blog: http://jfherrera.wordpress.com

13

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

ISA Server 2006 Muy bien en este apartado instalaremos y configuraremos ISA Server 2006 en SVR-FW-01, para ello debemos ya tener a nuestra disposición el instalador del ISA.

Levantamos el asistente de instalación de ISA Server pulsando en Install ISA Server 2006.

Seguimos el asistente de instalación. Blog: http://jfherrera.wordpress.com 14

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Seleccionando el tipo de escenario que se utilizara, en nuestro caso seleccionamos Install both ISA Server services and Configuration Storageserver pulsamos en Next para continuar, aceptando el licenciamiento y validando los componentes a instalar.

Seleccionamos create a new ISAServer entrerprise.

Blog: http://jfherrera.wordpress.com

15

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Seleccionamos el adaptador de red que se va a destinar para la red Interna en nuestro caso LAN1.

Seleccionamos Next para las siguientes ventanas del asistente y pulsamos en Install.

Blog: http://jfherrera.wordpress.com

16

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Finalizada la instalación seleccionamos la ficha de comprobación Invoke ISA Server Management when the wizard closes.

Iniciada la consola de administración damos clic sobre la opción Network, y como podemos observar está configurado como Edge Firewall, como nuestro Servidor esta optimizado para tres redes lo que haremos será seleccionar la plantilla 3-Leg Perimeter.

Seguimos el asistente para la crear el nuevo entorno.

Blog: http://jfherrera.wordpress.com

17

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

En la configuración de la red interna lo dejaremos tal cual y presionamos en Next.

Seleccionamos la LAN2 en la configuración Perimetral y pulsamos en Next.

Blog: http://jfherrera.wordpress.com

18

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Seleccionamos el tipo de política que se aplicara por defecto, en nuestro caso Block all, y posteriormente iremos abriendo comunicaciones necesarias.

Finalmente damos clic en Apply para así cargar el nuevo entorno. Plantillas ISA Server ISA Server 2006 viene con muchas plantillas definidas. A continuación veremos algunos de los detalles de cada plantilla. Podemos seleccionar uno de ellos que se acople más con el entorno de red corporativo.

Blog: http://jfherrera.wordpress.com

19

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Servidor de seguridad perimetral Esta es una topología de red estándar para pequeñas y medianas organizaciones. El ISA Server es una puerta principal que controla el tráfico entre la intranet e Internet. El Servidor ISA Server necesita 2 interfaces de red.

3-Leg perímetro Esta es una topología de red estándar para medianas y grandes organizaciones. Hay otra red que es la red perimetral añadida al servidor ISA en comparación con el borde del cortafuego. La red perimetral o DMZ (zona desmilitarizada) es una red que es menos seguro para servir de servidor Web, servidor de correo electrónico, servidor DNS, etc. Para que los usuarios de Internet pueden acceder a estos servicios sin acceso a la red interna. El Servidor ISA Server necesita 3 interfaces de red.

Firewall frontal Se trata de una topología de red en la que la seguridad es imprescindible para la organización. En este caso, hay más de un servidor de seguridad. Cuando el servidor es atacado por hakers no solo deben traspasar ese sino que todavía hay un nuevo firewall para proteger su red interna. Esta plantilla, el servidor ISA será actuar como servidor de seguridad frente entre la red de Internet y el perímetro y las necesidades de dos interfaces de red.

Blog: http://jfherrera.wordpress.com

20

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Firewall trasero Se trata de una topología de red en la que la seguridad es imprescindible para la organización. La configuración es la misma que en el Frente de plantilla, excepto que el servidor de seguridad ISA Server que se está configurando el servidor de seguridad de nuevo esa plantilla red. Este separa la red interna y perimetral, ISA Server necesita dos interfaces de red.

Único adaptador de red Se trata de una topología de la red de ISA Server y en la cual actúa como servidor proxy solamente. ISA Server puede hacer el almacenamiento en caché para mejorar el rendimiento para los usuarios el uso de Internet en la organización. Esta plantilla, ISA Server requiere sólo una única interfaz de red como el nombre de la plantilla.

Blog: http://jfherrera.wordpress.com

21

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

En este punto debemos tener presente que para las plantillas Firewall frontal y Firewall trasero se debe utilizar más de un servidor ISA.

Es importante darle un vistazo a la tabla de enrutamiento local, podemos ver que todo en tráfico desconocido se envía por el Gateway 10.10.10.129, a su vez se mandan los paquetes por la interface Externa (10.10.10.130), esta tabla la podemos visualizar emitiendo el comando route print o netstat -r en Command Prompt (CMD).

Blog: http://jfherrera.wordpress.com

22

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Firewall Policy Ok, esta es la sección en la consola de administración del ISA Server en la que se trabajara prácticamente siempre. El ISA Server trae ya por defecto unas reglas predefinidas, las cuales están ocultas. Para ver dichas reglas seguimos la siguiente ruta en la consola de administración del ISA Server menú View > Show System Policy Rules.

En esta captura observamos que la mayoría de reglas se permiten solo a el tráfico que tiene origen Local Host (ISA Server), en otras palabras solo se permite comunicaciones originadas desde el servidor de ISA Server en resto se deniega ya que hay una política por defecto Deny.

Blog: http://jfherrera.wordpress.com

23

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

La primera regla que crearemos será la que nos permita todo el tráfico del servicio DNS solo desde el servidor SVR-DNS-DHCP-01, para que dicho servidor pueda realizar las consultas DNS hacia los servidores forwarders o roots (Consultas recursivas). Para ello damos clic derecho sobre Firewall Policy y seguimos la ruta New > Access Rule…

Ingresamos en el campo de texto el nombre para la nueva regla Allow Query DNS SVR-DNS-DHCP01 y pulsamos en Next.

Permitimos este servicio seleccionando la opción Allow y pulsamos en Next. Blog: http://jfherrera.wordpress.com 24

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Seleccionamos el servicio DNS y pulsamos en Next.

Seleccionamos Add > New > Computer.

Blog: http://jfherrera.wordpress.com

25

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Llenamos los campos con los datos apropiados, la IP 10.10.10.60 es la dirección IP asignada al servidor SVR-DNS-DHCP-01 que está prestando los servicios DNS para la red local (LAN1).

Nuestro servidor ya se encuentra en la carpeta Computer, lo seleccionamos y pulsamos Add y Next.

En la opción destino seleccionamos la red Externa y pulsamos en Next nuevamente en Next y Finish.

Damos clic en Apply para que cargue la nueva política y ya nos debe permitir las consultas DNS desde nuestro servidor corporativo (SVR-DNS-DHCP-01).

Blog: http://jfherrera.wordpress.com

26

Seguridad en la infraestructura de red - ISA Server 2006 (A) Blog– http://jfherrera.wordpress.com Microsoft ISA Server 2006

Thanks, Continue… Good Luck!
Last update 24-02-2011

Blog: http://jfherrera.wordpress.com

27

Sign up to vote on this title
UsefulNot useful