Firewalls Win

SEGURIDAD PERIMETRAL
FIREWALLS EN WINDOWS
Direccin General de Servicios de Cmputo Acadmico
FIREWALLS EN WINDOWS
Primera Edicin
COMPILACIN
ING. JESS RAMN JIMNEZ ROJAS
LUIS FERNANDO FUENTES SERRANO
ING. JUAN LPEZ MORALES
LUIS ALBERTO ARELLANO FIGUEROA
UNIVERSIDAD NACIONAL AUTNOMA DE MXICO

MXICO 2005
UNIVERSIDAD NACIONAL AUTNOMA DE MXICO
Rector
Juan Ramn de la Fuente
Secretario General
Enrique del Val Blanco
Director General de Servicios De Cmputo Acadmico
Dr. Alejandro Pisanty Baruch
Directora de Cmputo para la Investigacin
Dra. Genevieve Lucet Lagriffoul
Jefe del Departamento de Seguridad en Cmputo
Lic. Juan Carlos Guel Lpez
SEMINARIO ADMIN-UNAM SEGURIDAD PERIMETRAL

Tema: Firewalls en Windows
Editor
Direccin General de Servicios de Cmputo Acadmico
Direccin de Cmputo para la Investigacin
Nmero de la edicin: Junio 2005.
2005 Universidad Nacional Autnoma de Mxico
Esta edicin y sus caractersticas son propiedad de la
Universidad Nacional Autnoma de Mxico.
Ciudad Universitaria, Mxico, DF
Ni la totalidad ni parte de esta publicacin puede reproducirse,
registrarse o transmitirse en ninguna forma ni por ningn medio,
sin la previa autorizacin escrita del editor.
Impreso y hecho en Mxico
Seminario Admin-UNAM "Seguridad Perimetral"
Firewalls en Windows
Jess Ramn Jimnez Rojas
Luis Fernando Fuentes Serrano
Juan Lpez Morales
Departamento de Seguridad en Cmputo UNAM-CERT
DGSCA-UNAM
jrojas@seguridad.unam.mx
lfuentes@correo.seguridad.unam.mx,
jlopez@correo.seguridad.unam.mx
Luis Arellano Figueroa
Instituto de Ingeniera
FI-UNAM
larellanof@iingen.unam.mx
ndice
1.
1.1.
1.2.
1.3.
1.4.
2.
2.1.
3.
3.1.
3.2.
3.3.
3.4.
4.
4.1.
4.2.
5.
5.1.
5.2.
5.3.
5.4.
5.5.
5.6.
5.7.
6.
7.
7.1.
Introduccin............................................................................................................................ 2
Proteccin Avanzada.......................................................................................................... 2
Facilidad de Uso................................................................................................................. 3
Mejoras en el funcionamiento. ........................................................................................... 3
Diferencias entre ISA Server 2000 y ISA Server 2004. ..................................................... 4
Requerimientos ....................................................................................................................... 4
Escalabilidad de ISA Server............................................................................................... 5
Instalacin de ISA 2004.......................................................................................................... 6
Verificar la instalacin de ISA Server 2004..................................................................... 17
Reforzando la seguridad del Servidor ISA Server 2004................................................... 18
Instalacin del SP1 de ISA Server 2004 Edicin Estndar .............................................. 18
Verificar la instalacin del SP1 de ISA Server 2004........................................................ 22
Determinacin de la pertenencia a dominios........................................................................ 22
Consolidacin de la seguridad de la infraestructura de Windows.................................... 23
Funciones de servidor del servidor ISA ........................................................................... 24
Asignando funciones administrativas. .................................................................................. 25
Funciones y actividades.................................................................................................... 26
Permisos ........................................................................................................................... 26
Privilegios mnimos.......................................................................................................... 26
Inicio de sesin y configuracin....................................................................................... 27
Listas de control de acceso discrecional........................................................................... 27
Reduccin de la superficie de ataque ............................................................................... 27
Deshabilitar caractersticas del servidor ISA ................................................................... 28
Antes de filtrar paquetes en la red ........................................................................................ 28
Ahora s hablemos un poco de reglas ................................................................................... 29
Elementos de una regla..................................................................................................... 30
1
______________________________________________________
Departamento de Seguridad en Cmputo/UNAM-CERT

7.2.
Objetos de red................................................................................................................... 31
7.3.
Conjunto de Redes............................................................................................................ 31
7.4.
Controlar el acceso a Internet ........................................................................................... 31
7.5.
Orden de reglas en ISA Server ......................................................................................... 31
8. Configurando la directiva http .............................................................................................. 32
9. Publicacin de Web .............................................................................................................. 32
9.1.
Publicando el servidor Web ............................................................................................. 33
9.2.
Protocolo de puente .......................................................................................................... 34
9.3.
Publicacin de sitios Web con el mismo nombre de dominio.......................................... 35
9.4.
Orden de reglas en la publicacin. ................................................................................... 35
9.5.
Filtrar contenido del Web................................................................................................. 35
10.
Configuraciones de acceso a servicios en la red perimetral (Server publishing) ............. 36
10.1.
Filtrado SMTP ............................................................................................................. 37
10.2.
Funcionamiento de la publicacin de servidor............................................................. 38
10.3.
Uso de la regla de publicacin de servidor .................................................................. 38
10.4.
Publicacin de servidores DNS.................................................................................... 38
10.5.
Deshabilitar reglas........................................................................................................ 38
11.
Publicacin usando PAT (Port Address Translation)....................................................... 39
12.
Monitoreo de la red .......................................................................................................... 40
13.
Referencias ....................................................................................................................... 41
1. Introduccin
Internet Security and Acceleration Server (ISA) 2004 ofrece una proteccin avanzada a las organizaciones
en dos aspectos crticos. Por un lado, se trata de un firewall que filtra no slo la entrada de contenidos si no
tambin examina a nivel de aplicacin evitando de esta forma los ataques enmascarados. Y por otro lado,
realiza las funciones de proxy y servidor Web cach, con lo que se optimiza el trfico y la conexin a
Internet logrando de esta forma una navegacin ms controlada y segura.
En esta nueva versin Microsoft ha mejorado considerablemente la interfaz del producto, mucho ms fcil
de usar y rpido de implementar. Asimismo, cabe destacar su mayor capacidad administrativa con un
sistema centralizado desde el que se gestiona el contenido de la VPN (red privada virtual) y de los accesos
remotos de los usuarios.
ISA server 2004 proporciona un avanzado firewall multicapas, VPNs y solucin Web proxy y cach que
puede ser usada para crear una conexin segura entre el Internet y la red de la compaa.
Caractersticas de ISA Server 2004
A continuacin se enumerar algunas de las caractersticas de ISA Server 2004 as como algunas diferencias
importantes con la versin anterior.
1.1.
Proteccin Avanzada.
Uno de los beneficios de implementar ISA Server 2004 es que promociona una proteccin avanzada para la
red. Estas son algunas de las caractersticas incluidas:
2
______________________________________________________
Inspeccin de paquetes por capas. ISA Server 2004 opera como un firewall que examina cada
flujo de paquetes. La inspeccin incluye el filtrado de paquetes en la cual solo se examinan
determinados paquetes, filtrado de todos los paquetes en la cual se examinan todos los paquetes y
filtrado de aplicaciones en la cual se examinan las aplicaciones. Esta inspeccin multicapas ayuda
a proteger servicios como Internet Information Server (IIS), Exchange Server, SharePoint y otros
recursos de la red interna contra intrusos, virus y uso no autorizado.
Filtrado en la capa de aplicacin. Muchas de las nuevas amenazas ocurren en la capa de

aplicacin. ISA Server 2004 proporciona un filtrado avanzado en la capa de aplicacin que
habilita el trfico complejo de las aplicaciones para el Internet mientras asegura altos niveles de
seguridad, rendimiento y proteccin contra este tipo de ataques.
Unifica el firewall y el servidor de VPN. ISA Server 2004 promociona un nico punto de
administracin para configurar acceso a la VPN de la red interna e integra la administracin y
funcionalidad del firewall y la VPN. Como servidor de VPN, ISA Server 2004 es la VPN del
punto final lo que significa que esta puede inspeccionar los paquetes de la red y habilitar la
cuarentena para VPNs.
Multi-Redes. ISA Server 2004 soporta mltiples redes y habilita la configuracin de la red y las
reglas del firewall que filtran el flujo del trfico entre todas las redes.
1.2.
Facilidad de Uso
ISA Server 2004 incluye caractersticas que hacen su uso ms fcil:
Eficiencia en la administracin de herramientas: La consola de administracin de ISA Server

es fcil de aprender y proporciona una interfaz nica para la configuracin y el monitoreo. ISA
Server tambin proporciona una nica base de reglas, as que todos las reglas del firewall pueden
ser vistas y modificadas en una sola locacin. Esto facilita el uso de ste para administradores de
seguridad que se inicien en el desarrollo de ISA Server 2004, evitando con esto brechas de
seguridad debido a malas configuraciones.
Plantilla de red. ISA Server proporciona platillas de red que hace la implementacin de estas
algo fcil dentro de ambientes IT como departamental o divisiones de oficinas. Mltiples reglas de
Firewall pueden ser configuradas para aplicar plantillas de red.
Integracin del producto. La integracin de ISA Server con el servicio de directorio de

Microsoft Windows Active Directory, soluciones de terceros en VPNs, y otros productos
existentes de seguridad simplifican la tarea de asegurar las aplicaciones corporativas, usuarios, y
datos.
Facilidad de uso para los clientes. Para integrar ISA Server con la infraestructura de Acive
Directory o para usar el servicio RADIUS (Remote Authentication Dial-In User Service) para
proporcionar autentificacin, en los cuales se puede hacer transparente el uso de ISA Server 2004.
Para clientes externos, ISA Server proporciona una firma nica capaz de autentificar mltiples
estndares del Internet.
1.3.
Mejoras en el funcionamiento.
ISA Server 2004 proporciona un acceso rpido y seguro para aplicaciones corporativas y datos, tal como
Microsoft Exchange Server y servidores Web internos.
3
______________________________________________________
Optimizado para el funcionamiento. ISA Server esta diseado para proporcionar un alto
funcionamiento en la infraestructura para habilitar tanto entradas como salidas de acceso a
Internet.
Funcionalidad Integrada. ISA Server proporciona una nica solucin integrada de servidor que
pone solo los servicios necesarios en la frontera de la red, incluyendo seguridad en el firewall,
VPN y cach de Web.
Escalabilidad. Con el crecimiento de la red, ISA Server soporta escalabilidad con una
arquitectura flexible de multi-red y opciones para desarrollar mltiples ISA Server, tanto en la
misma locacin de la compaa o a travs de mltiples locaciones.
Cach Web. ISA Server 2004 mejora el funcionamiento de la red y reduce el uso del ancho de
banda para acceso a Internet con cach Web, por lo que la informacin accedida de Internet con
frecuencia es almacenada en el ISA Server.
1.4.
Diferencias entre ISA Server 2000 e ISA Server 2004.
ISA Server 2004 proporciona numerosas mejoras en la funcionalidad en comparacin con ISA Server 2000,
a continuacin se mencionan algunas de estas:
2.
Soporte de mltiples redes. ISA Server 2004 soporta mltiples redes, cada una con distintas
relaciones que la otra red. ISA Server 2000 soporta solo tres redes, la red interna definida por la
tabla de direccin local (LAT), la red externa, y la red del permetro (mejor conocida como zona
desmilitarizada DMZ). ISA Server 2004 incluye una VPN y el colocar VPNs en cuarentena. Es
posible configurar un ilimitado nmero de redes en ISA Server 2004.
VPN e integracin de cuarentena. ISA Server 2004 extiende Routing and Remote Access para
proporcionar acceso a VPNs. ISA Sever 2004 tambin agrega a esta versin la cuarentena a
VPNS, la cual puede ser usada para proporcionar acceso limitado a la red para clientes VPN hasta
que estos pasen un examen de seguridad.
Requerimientos
Requisitos mnimos
Procesador
Pentium III a 500 MHz superior (ISA Server 2004 Standard Edition admite
hasta cuatro CPU en un servidor)
Memoria
256 MB de RAM o ms (se recomienda)
Disco duro
Particin local con formato NTFS y 150 MB de espacio disponible en el disco

duro; se requiere espacio adicional para el contenido de cach Web
4
______________________________________________________
Sistema Operativo
Microsoft Windows Server 2003 (Standard o Enterprise Edition), Microsoft

Windows 2000 Server o Advanced Server with Service Pack 4 (SP4)
Windows 2000 Datacenter Server.
Nota: Para ISA Server 2004 Enterprise Edition, Windows Server 2003
(Standard or Enterprise Edition).
Si se instala ISA Server 2004 Standard Edition en un sistema operativo
Windows 2000 Server, debe instalar lo siguiente: Service Pack 4 de
Windows 2000 o una versin posterior, e Internet Explorer 6 o una versin
posterior.
Si se usa la versin Windows 2000 Server o Advanced Server con Service
Pack 4, debe instalar el hotfix especificado en el artculo 821887de Microsoft
Knowledge Base.
Si se instala ISA Server en un servidor con Windows 2000, las siguientes
opciones no son soportadas:
La configuracin de L2TP (Layer 2 Tunneling Protocol) IPSec preclave compartida no es soportada.
El modo Cuarentena para clientes VPNs no es soportada cuando se usa
una poltica con RADIUS (Remote Authentication Dial-In User
Service.)
Otros dispositivos
Adaptador de red compatible con el sistema operativo del equipo para

comunicarse con la red interna; un adaptador de red adicional, mdem o
adaptador RDSI (ISDN) para cada red adicional conectada al equipo ISA
Server
Unidad de CD-ROM o DVD-ROM
Monitor VGA o de resolucin superior
Teclado y Microsoft Mouse o dispositivo sealador compatible
http://www.microsoft.com/isaserver/evaluation/sysreqs/default.mspx
Versin de evaluacin de ISA Server en:
http://www.microsoft.com/isaserver/evaluation/trial/isaevaldl.mspx
http://www.microsoft.com/isaserver/evaluation/trial/default.mspx
Adems se requiere obtener el Internet Security and Acceleration (ISA) Server 2004 Standard Edition
Service Pack 1 (SP1)
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=69c5d85c-5c80-473c-9cb460dda75d568d#filelist
2.1.
Escalabilidad de ISA Server
ISA Server puede ser escalable para soportar cualquier organizacin, por incremento del nivel del hardware
en ISA Servers individuales o por implementacin de mltiples ISA Servers. Los siguientes factores deben
influir en una seleccin de la configuracin del hardware:
Ancho de Banda de la conexin de Internet. ISA Server esta diseado para proporcionar una
alta transmisin de datos, incluso si cada paquete es inspeccionado en las mltiples capas. En
5
______________________________________________________

muchos casos, la cantidad de datos que se pueden transmitir por ISA Server excedern la cantidad
de datos de la conexin a Internet.
3.
Configuracin de las polticas de firewall. El nmero de reglas del firewall y la complejidad de

las reglas afectar al rendimiento del servidor. Por ejemplo aplicaciones avanzadas de filtrado
requieren ms recursos del servidor que filtrado de paquetes.
Requerimientos de bitcoras. El nivel de registro de bitcoras requerido afectar los recursos del
servidor, particularmente en el espacio en disco duro. Si se tienen cientos de clientes conectados a
travs del servidor, y se tiene configurado un alto nivel de registro de bitcoras, se requerir arriba
de 10 gigabytes de disco para mantener los registros. Durante la propagacin de ataques de virus y
gusanos, el espacio requerido para los registros incrementar significativamente.
Nmero y tipo de servidores publicados. Cuanto ms servidores publicados en el ISA Server,

ms recursos son necesarios. Esto es especialmente cierto si se publican sitios Web seguros debido
a los recursos extras requeridos para cifrar y descifrar el trfico con Secure Sockets Layer (SSL).
Instalacin de ISA 2004.
El siguiente paso consiste en instalar el software de ISA Server 2004. La instalacin es un proceso
relativamente simple, pero iremos siguiendo en detalle cada paso para asegurarnos de que se entienda
adecuadamente todo cuanto sucede.
Siga estos pasos para instalar el software de ISA Server 2004 en una mquina Windows Server 2003 con
dos tarjetas de red:
1. Introduzca el CD de ISA Server Edicin Estndar, si no tiene configurado el Autorun
haga doble clic sobre el archivo isaautorun.exe. En caso de que se haya descargado el
software de evaluacin, haga doble clic sobre el archivo ejecutable. El proceso de
instalacin mostrar la siguiente pantalla, en la cual se debe hacer clic en YES (SI).
Si descargo la versin de evaluacin se observar la siguiente imagen donde se observa el

proceso de descompresin del archivo.
6
______________________________________________________
2. En la pgina Microsoft Internet Security and Acceleration Server 2004 se

encuentran 3 guas: Leer notas de la versin, Leer el manual de introduccin y Leer
la Gua de migracin. Es recomendable leer estas guas para tener una mejor
compresin de ISA Server. Finalmente, haga clic sobre el vnculo Instalar ISA Server
2004.
7
______________________________________________________

3. Haga clic en Siguiente en la pgina Asistente para la instalacin de Microsoft ISA
Server 2004.
4. Seleccione la opcin Acepto los trminos del contrato de licencia en la pgina

Contrato de licencia y haga clic en Siguiente.
8
______________________________________________________

5. En la pgina Informacin del Cliente, introduzca su nombre y el de su organizacin
en los cuadros de texto Nombre de usuario y Organizacin. Para el caso de las
versiones de evaluacin el Nmero de serie del producto se genera automticamente.
De clic en Siguiente.
6. En la pgina Tipo de Instalacin, seleccione la opcin Personalizada. Si no se desea

instalar el software de ISA Server 2004 en el disco C:, pulse el botn Cambiar para
modificar la ubicacin de los archivos de programa en el disco duro. De clic en
Siguiente.
9
______________________________________________________
7. En la pgina Instalacin Personalizada se pueden elegir los componentes a instalar.

De forma predeterminada, se instalan Servicios de Firewall el cual controla el acceso y
trfico entre redes y Administracin del servidor ISA que permite realizar una
administracin centralizada de ISA Server. Recurso compartido de instalacin de
cliente crea un recurso compartido para centralizar la instalacin del cliente firewall y
finalmente el componente Filtro de Mensajes, utilizado para controlar el paso de spam y
archivos adjuntos de correo desde o hacia Internet, no se instala por defecto. Se necesitar
instalar el servicio SMTP de IIS 6.0 en el firewall ISA Server 2004 antes de instalar el
Filtro de Mensajes. De clic en Recurso compartido de instalacin de cliente y
seleccione Esta caracterstica se instalar en la unidad de disco duro local. De clic en
Siguiente.
8.
En la pgina Red Interna, de clic en el botn Agregar. El concepto de red interna
es diferente a como ISA Server 2000 utilizaba la LAT. En el caso de ISA Server 2004, la
red interna contiene servicios de red de confianza con los cuales el firewall ISA Server
2004 debe comunicarse. Por ejemplo, los controladores de dominio del Active Directory,
DNS, DHCP, clientes de servicios de terminal y otros. La Poltica de Sistema del firewall
se aplica automticamente a la red interna.
10
______________________________________________________
9.
En la pgina de configuracin de Red Interna, de clic en el botn Seleccionar
adaptador de red.
11
______________________________________________________

10. En el cuadro de dilogo Seleccionar adaptador de red, quite las marcas de
seleccin de Agregar los siguiente intervalos privados Mantenga seleccionada la
opcin Agregar los intervalos de direcciones en base a la tabla de enrutamiento de
Windows. Marque en el cuadro de seleccin junto a la tarjeta de red conectada a la red
interna y pulse Aceptar. Por omisin ISA Server coloca las direcciones privadas
definidas por IANA (Internet Assigned Number Authority) como parte de la red Interna,
estas son 10.x.x.x, 192.168.x.x y 169.254.x.x.
11. De clic en Aceptar en el cuadro de dilogo que informa de que se ha definido una red
interna basndose en la tabla de rutas de Windows.
12
______________________________________________________
12. De clic en Aceptar en la lista de rangos de direcciones de la red interna.
13. De clic en Siguiente en la pgina Red Interna.
13
______________________________________________________

14. En el cuadro de dialogo configuracin de conexin de cliente firewall de clic en
siguiente.
15. En el cuadro de dialogo Servicios de clic en Siguiente.
14
______________________________________________________

16. De clic en Instalar en la pgina Listo para instalar el programa.
17. Con esto iniciara el proceso de instalacin.
15
______________________________________________________
18. En la pgina Finalizacin del Asistente para la instalacin, marque la opcin

Invocar la Administracin del servidor ISA cuando se cierre el asistente y despus,
de clic en Finalizar.
19. A continuacin se abrir la consola de administracin de Microsoft Internet Security

and Acceleration Server 2004. De forma predeterminada el usuario es dirigido hacia el
nodo superior en el panel de la izquierda. Adems, tambin se abre una pgina Web con
Proteccin del equipo servidor ISA.
16
______________________________________________________
3.1.
Verificar la instalacin de ISA Server 2004
Para verificar la correcta instalacin de instalacin de ISA Server 2004 hay diversas partes que se deben de
verificar.
Verificar que los servicios de ISA Server estn instalados e iniciados. Realizando una instalacin
por omisin de ISA Server, esta crea e inicia los siguientes servicios:
o Firewall de Microsoft
o Control de Microsoft ISA Server
o Programador de trabajos de Microsoft ISA Server
o Almacenamiento de Microsoft ISA Server
Verificar que el servicio Microsoft SQL Server 2000 Desktop Engine (MSDE) este instalado e
iniciado. ISA Server instala el MSDE y agrega los siguientes servicios:
o MSSQL$MSFW Este servicio es iniciado y configurado para iniciar automticamente.
o MSSQLServerADHelper Este servicio no es iniciado y es configurado para iniciar
manualmente.
Instalando el servicio MSDE tambin crea los archivos de registro para el ISA Server. Por omisin
estos archivos de registros estn localizados en %programfiles%\Microsoft ISA Server\ISALogs
La instalacin de ISA Server crea tres archivos de registros de instalacin. Estos tres archivos
estn localizados en el directorio %windir%\temp y son nombrados ISAWRAP_###,
ISAMSDE_### y ISAFWSV_### donde ### es un nmero. El archivo ISAWRAP contiene un
resumen de la instalacin, incluyendo si la instalacin fue exitosa o no. Los otros dos archivos
proporcionan informacin detallada acerca de la instalacin de MSDE e ISA Server.
Verifica el Visor de Sucesos. Si la instalacin falla en la bitcora de aplicacin se podrn
encontrar mensajes de error que proporcionen informacin para resolver el problema. Si por el
17
______________________________________________________
3.2.
contrario la instalacin fue exitosa en el visor de sucesos se encontraran eventos de que los
servicios de ISA Server fueron iniciados con xito.
Usando la consola de administracin de ISA Server, es posible verificar las alertas de ISA Server.
Si la instalacin se completo con xito, una alerta es creada mostrando que el Servicio del Firewall
fue creado.
Reforzando la seguridad del Servidor ISA Server 2004.
Un paso importante en la proteccin de servidor ISA consiste en comprobar que el equipo servidor ISA est
seguro fsicamente y que ha aplicado las recomendaciones de configuracin de seguridad bsicas, entre las
que se incluyen:
Administracin de actualizaciones
Instalacin de Services Packs.
Proteccin fsica del equipo
Determinacin de la pertenencia a dominios
Consolidacin de la seguridad de la infraestructura de Windows
Administracin de funciones y permisos
Reduccin de la superficie de ataque posible
Como prctica recomendada de seguridad, se recomienda instalar siempre las actualizaciones ms recientes
del sistema operativo, el servidor ISA y otros componentes que instala el servidor ISA: Microsoft SQL
Server 2000 Desktop Engine (MSDE) y Office Web Components 2002 (OWC). Realice las siguientes
acciones:
Obtenga las actualizaciones del sistema operativo. Busque actualizaciones en el sitio de Windows
Update.
Obtenga las actualizaciones del servidor ISA. Consulte el Centro de descarga de ISA Server 2004
en http://go.microsoft.com/fwlink/?LinkId=28791 para obtener la informacin de actualizacin
ms reciente.
Busque las actualizaciones ms recientes de Microsoft SQL Server 2000 Desktop Engine (MSDE)
y Office Web Components 2002 (OWC), en los Boletines de seguridad de Microsoft en
http://www.microsoft.com/technet/security/current.aspx.
Tambin se recomienda analizar la seguridad del sistema peridicamente mediante Microsoft Baseline
Security Analyzer (MBSA).
3.3.
Instalacin del SP1 de ISA Server 2004 Edicin Estndar
El SP1 de ISA Server 2004 fue liberado el 11 de marzo de 2005 y soluciona los siguientes problemas e
incluye las siguientes revisiones (hotfix):
Artculo 884569: Los servicios ISACTRL y WSPSRV no se inician al instalar ISA Server 2004 en
un equipo de multiprocesador
Artculo 884560: No puede usar RADIUS cuando utiliza la autenticacin basada en formularios de
Outlook Web Access (OWA) en una regla de publicacin de Web
Artculo 884580: Los programas de cliente FTP de modo activo no tienen acceso a un servidor
FTP tras Internet Security and Acceleration Server 2004
18
______________________________________________________
Artculo 888422: Error de CookieAuthFilter para credenciales de inicio de sesin que incluyen
una diresis
Artculo 891510: Error en la comprobacin de CRL en publicacin de Web cuando el certificado
ROOT carece de extensin CDP
Artculo 885683: Mensaje de error "401 No autorizado" al usar el Cliente Firewall de Internet
Security and Acceleration Server 2004 para tener acceso a una pgina Web
Artculo 893171: Problemas con el Cliente Firewall de ISA Server 2004 en Windows 98
a)
Bajar el SP1 de ISA Server. (ver la seccin de requerimientos).
b) Leer el archivo readme.html que se encuentra en la pgina donde se obtuvo el SP1.

c)
Ejecutar el archivo ISA2004-KB891024-X86-ESN.msp
d) En la pgina Asistente para la instalacin de Microsoft ISA Server 2004 Service Pack 1. De
clic en Siguiente.
e)
En la pgina Contrato de Licencia seleccione Acepto los trminos del contrato de licencia y de
clic en Actualizar.
19
______________________________________________________
f)
A continuacin se proceder a la instalacin del SP1.
20
______________________________________________________
g) En la pgina Finalizacin del Asistente para la instalacin de clic en Finalizar.
Aparecer un cuadro de dialogo donde le pedir reiniciar el sistema para aplicar los cambios. De clic
en Si
21
______________________________________________________
3.4.
Verificar la instalacin del SP1 de ISA Server 2004
1. En la pgina Web de donde se obtuvo el SP1 para ISA Server 2004 apunt la versin del SP1.
2. Abra la consola de Administracin del servidor ISA a travs de Inicio, Todos los programas,
Microsoft ISA Server y Administrador del Servidor ISA. En esta consola en la parte de AYUDA
seleccionar Acerca de Microsoft ISA Server 2004. Aparecer la siguiente ventana donde buscaremos los
datos de la versin, si los ltimos nmeros de esta ventana son iguales a los de la pgina Web, habremos
realizado una instalacin correcta del SP1 de Microsoft ISA Server 2004.
4.
Determinacin de la pertenencia a dominios
En muchos casos, puede configurar el equipo servidor ISA como miembro de un dominio. Por ejemplo, si
crea una directiva que se base en la autenticacin de usuarios de dominio, el servidor ISA debe pertenecer a
un dominio.
Si el equipo servidor ISA protege la frontera de la red, se recomienda instalarlo en un bosque independiente
(en vez de hacerlo en el bosque de la red corporativa). De esta forma, se contribuye a proteger el bosque
interno, aunque se organice un ataque en el bosque del equipo servidor ISA. Para apreciar las ventajas
administrativas y de seguridad del servidor ISA como miembro de dominio, se recomienda implementar el
equipo servidor ISA en un bosque independiente con una confianza de una sola direccin al bosque
corporativo. (La confianza de una sola direccin slo se admite en dominios de Windows Server 2003.)
22
______________________________________________________

Tenga en cuenta que al instalar el servidor ISA como un miembro de dominio, puede asegurar el equipo
servidor ISA mediante una directiva de grupo en vez de configurar nicamente una directiva local.
Por motivos de seguridad, si no precisa funcionalidad de dominio o de servicio de directorio de Active
Directory para el equipo servidor ISA, considere la posibilidad de instalarlo en un grupo de trabajo. Por
ejemplo, si el servidor ISA va a proteger el extremo de la red, considere la posibilidad de instalar el equipo
en un grupo de trabajo.
4.1.
Consolidacin de la seguridad de la infraestructura de Windows
Tal como se ha mencionado anteriormente, en esta gua se supone que ha aplicado las configuraciones
recomendadas en la Gua de seguridad de Windows Server 2003, la cual puede ser consultada en:
http://www.microsoft.com/latam/technet/seguridad/articulos/ddmmyy_guia_seguridad_windows_server_20
03.asp.
En concreto, debe aplicar la plantilla de seguridad de directiva de seguridad de lnea de base de Microsoft
en el capitulo 3 de la gua. Sin embargo, no implemente los filtros de seguridad del protocolo Internet
(IPSec) ni ninguna de las directivas de funcin de servidor.
Asimismo, debe tener en cuenta la funcionalidad del servidor ISA y proteger el sistema operativo en
consecuencia.
En la siguiente tabla se enumeran los servicios principales que se deben habilitar para que el servidor ISA y
el equipo servidor ISA funcionen correctamente.
Nombre del servicio
Sistema de sucesos COM+
Servicios de cifrado
Registro de sucesos
Servicios IPSec
Administrador de discos lgicos
Razn principal
Sistema operativo principal
Sistema operativo principal (seguridad)
Sistema operativo principal (administracin de
discos)
Servicio del administrador de discos Sistema operativo principal (administracin de
lgicos
discos)
Firewall de Microsoft
Requerido para el funcionamiento normal del
servidor ISA
Control de Microsoft ISA Server
servidor ISA
Programador de trabajos de Microsoft Requerido para el funcionamiento normal del
ISA Server
servidor ISA
Almacenamiento de Microsoft ISA Requerido para el funcionamiento normal del
Server
servidor ISA
MSSQL$MSFW
Requerido cuando se utiliza el registro MSDE para
el servidor ISA
Conexiones de red
Sistema operativo principal (infraestructura de red)
Proveedor de compatibilidad con
seguridad LM de Windows NT
Plug and Play
Almacenamiento protegido
Administrador de conexin de acceso Requerido para el funcionamiento normal del
23
______________________________________________________
Modo de inicio
Manual
Automtico
Automtico
Automtico
Automtico
Manual
Automtico
Automtico
Automtico
Automtico
Automtico
Manual
Manual
Automtico
Automtico
Manual

Nombre del servicio
remoto
Llamada a procedimiento remoto
(RPC)
Inicio de sesin secundario
Administrador de cuentas de
seguridad
Servidor
Tarjeta inteligente
SQLAgent$MSFW
Notificacin de sucesos del sistema
Telefona
Servicio de disco virtual (VDS)
Instrumental de administracin de
Windows (WMI)
Adaptador de rendimiento de WMI
4.2.
Razn principal
servidor ISA
Modo de inicio

Automtico
Automtico
Requerido para el recurso compartido de cliente

firewall del servidor ISA
Requerido cuando se utiliza el registro MSDE para
el servidor ISA
servidor ISA
Sistema operativo principal (administracin de
discos)
Sistema operativo principal (WMI)
Automtico
Sistema operativo principal (WMI)
Automtico
Manual
Manual
Automtico
Manual
Manual
Automtico
Manual
Funciones de servidor del servidor ISA
El equipo servidor ISA puede funcionar en capacidades, o funciones adicionales segn el modo en que lo
utilice. En la tabla siguiente se enumeran las funciones de servidor posibles, se describe cundo se pueden
necesitar y se enumeran los servicios que se deben activar cuando se habilita la funcin.
Funcin de servidor Escenario de uso
Servidor de
Los usuarios y grupos asignados a
enrutamiento y acceso esta funcin pueden supervisar el
remoto
equipo servidor ISA y la actividad
de red, pero no pueden configurar
la funcionalidad de supervisin
especfica.
Servidor de
remoto
especfica.
Servidor de
remoto
especfica.
Servidor de
remoto
Servicios necesarios
Enrutamiento y acceso remoto
Modo de inicio
Manual
Administrador de conexin de
acceso remoto
Manual
Telefona
Manual
Estacin de trabajo
Automtico
24
______________________________________________________

Funcin de servidor
Escenario de uso
especfica.
Servidor de
remoto
especfica.
Terminal Server para Seleccione esta funcin para
administracin de
habilitar la administracin remota
escritorios remotos del equipo servidor ISA.
Terminal Server para Seleccione esta funcin para
administracin de
habilitar la administracin remota
escritorios remotos del equipo servidor ISA.
5.
Servicios necesarios
Modo de inicio
Servidor
Automtico
Servidor
Automtico
Servicios de Terminal Server
Manual
Asignando funciones administrativas.
Puedes asignar funciones administrativas en el servidor ISA Server con lo cual podras distribuir la carga
de trabajo, para realizarlo siga los siguientes pasos:
a)
Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server y, a continuacin,
haga clic en Administracin del servidor ISA.
b) En el rbol de consola de Administracin del servidor ISA, haga clic en Microsoft ISA Server
2004 y a continuacin, en el nombre_de_servidor.
c)
En la pestaa Tareas, haga clic en Definir funciones administrativas.
25
______________________________________________________

d)
En la pgina de bienvenida del Asistente para la delegacin de administracin del servidor ISA,
haga clic en Siguiente.
e)
Haga clic en Agregar.
f)
En Grupo (recomendado) o usuario, escriba el nombre del grupo o usuario al que se asignarn
los permisos administrativos especficos.
g)
En Funcin, seleccione la funcin administrativa aplicable.
5.1.
Funciones y actividades
Cada funcin del servidor ISA tiene asociada una lista especfica de tareas del servidor ISA. En la siguiente
lista se enumeran algunas tareas de administracin del servidor ISA junto con las funciones en que se
realizan.
Actividad
Ver escritorio digital, alertas,
conectividad, sesiones, servicios
Confirmar alertas
Ver informacin de registro
Crear definiciones de alerta
Crear informes
Detener e iniciar sesiones y servicios
Ver directiva de firewall
Configurar directiva de firewall
Configurar cach
Configurar VPN
5.2.
Permisos de
Supervisin bsica
X
X
Permisos de
Permisos de
Supervisin ampliada Administrador total
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Permisos
Aplique el principio de privilegios mnimos al configurar permisos para los administradores del servidor
ISA. Determine cuidadosamente los usuarios que tienen permiso para iniciar sesin en el equipo servidor
ISA y elimine el acceso de los que no resulten fundamentales para el funcionamiento del servidor.
5.3.
Privilegios mnimos
Aplique el principio de privilegios mnimos, segn el cual un usuario tiene los privilegios mnimos
necesarios para realizar una tarea especfica. De este modo se garantiza que si la cuenta de un usuario se
pone en peligro, el efecto se minimiza por los privilegios limitados que tiene dicho usuario.
Mantenga el grupo Administradores y otros grupos de usuarios lo ms pequeos posible. Por ejemplo, un
usuario que pertenezca al grupo Administradores del equipo servidor ISA puede realizar cualquier tarea en
dicho equipo.
Tenga en cuenta que a los usuarios del grupo Administradores se les asigna implcitamente la funcin de
administrador total del servidor ISA, lo que significa que tambin tienen derechos completos para
26
______________________________________________________

configurar y supervisar el servidor ISA. Para obtener ms informacin acerca de las funciones, consulte la
seccin Funciones administrativas.
5.4.
Inicio de sesin y configuracin
Al iniciar sesin en el equipo servidor ISA, hgalo con la cuenta con los privilegios mnimos necesarios
para realizar la tarea. Por ejemplo, para configurar una regla, debe iniciar sesin como administrador del
servidor ISA. No obstante, si slo desea ver un informe, inicie sesin con menos privilegios.
En general, utilice una cuenta con permisos restrictivos para efectuar tareas rutinarias no administrativas y
utilice una cuenta con ms permisos nicamente cuando realice tareas administrativas especficas.
5.5.
Listas de control de acceso discrecional
Con una nueva instalacin, las listas de control de acceso discrecional (DACL) del servidor ISA estn
configuradas correctamente. Adems, el servidor ISA vuelve a configurar las DACL de forma apropiada
cuando se modifican las funciones administrativas (para obtener ms informacin, consulte la seccin
Funciones administrativas) y cuando se reinicia el servicio Control del servidor ISA (isactrl).
Debido a que el servidor ISA vuelve a configurar peridicamente las DACL, no debe utilizar la herramienta
Configuracin y anlisis de seguridad para configurar las DACL por archivo en los objetos del servidor
ISA. De lo contrario, puede haber conflictos entre las DACL configuradas por Directiva de grupo y las
DACL que el servidor ISA intenta configurar.
No modifique las DACL configuradas por el servidor ISA. Tenga en cuenta que el servidor ISA no
configura DACL para los objetos de la siguiente lista. Debe configurar cuidadosamente las DACL para los
objetos de la siguiente lista, asignando permisos nicamente a usuarios especficos de confianza:
Carpeta de informes (cuando se opta por publicar los informes).

Archivos de configuracin creados al exportar o realizar una copia de seguridad de la
configuracin.
Archivos de registro de los que se hace copia de seguridad en otra ubicacin.
Asegrese de configurar cuidadosamente las DACL, concediendo permisos nicamente a usuarios y grupos
de confianza. Asimismo, asegrese de crear DACL estrictas en los objetos que el servidor ISA utiliza
indirectamente. Por ejemplo, al crear una conexin ODBC que utilizar el servidor ISA, asegrese de
mantener el nombre de origen de datos (DSN) seguro.
Configure DACL estrictas para todas las aplicaciones que se ejecutan en el equipo servidor ISA. Asegrese
de configurar DACL estrictas para los datos asociados del sistema de archivos y del Registro.
5.6.
Reduccin de la superficie de ataque
Para proteger todava ms el equipo servidor ISA, aplique el principio de superficie de ataque reducida.
Para reducir la cantidad de superficie de ataque, siga estas directrices:
27
______________________________________________________
5.7.
No ejecute aplicaciones y servicios innecesarios en el equipo servidor ISA. Deshabilite los

servicios y las funciones que no sean fundamentales para la tarea actual, tal como se describe en la
seccin Consolidacin de la seguridad de la infraestructura de Windows.
Deshabilite las caractersticas del servidor ISA que no utilice. Por ejemplo, si no necesita cach,
deshabiltela. Si no precisa la funcionalidad VPN del servidor ISA, deshabilite el acceso de
clientes de VPN.
Identifique los servicios y tareas que no son fundamentales para el modo en que administra la red
y, a continuacin, deshabilite las reglas de directiva del sistema asociadas.
Limite la aplicacin de las reglas de directiva del sistema nicamente a las entidades de red
requeridas. Por ejemplo, el grupo de configuracin de directiva del sistema de Active Directory,
habilitado de forma predeterminada, se aplica a todos los equipos de la red interna. Puede limitarlo
de modo que se aplique a un grupo de Active Directory especfico de la red interna.
Deshabilitar caractersticas del servidor ISA
Segn sus necesidades de red especficas, es posible que no precise el amplio conjunto de caractersticas
incluidas en el servidor ISA. Debe analizar cuidadosamente sus necesidades especficas y determinar si
necesita lo siguiente:
Acceso de clientes de VPN

Cach
Complementos
Si no necesita una caracterstica concreta, deshabiltela.

Para ms informacin de cmo reforzar el servidor ISA Server 2004 verifique Gua de consolidacin de
la seguridad de ISA Server 2004 en:
http://www.microsoft.com/spain/technet/recursos/articulos/securityhardeningguide.mspx
6.
Antes de filtrar paquetes en la red
Antes de comenzar a elaborar reglas de acceso en nuestra red y realizar el filtrado de paquetes en nuestra
organizacin se deben tener en cuenta muchos aspectos importantes que muchas veces se dejan al final y
retrazan todo el procedimiento de la seguridad perimetral, como por ejemplo:
Polticas de la organizacin.
Cmo est organizada la red en la dependencia?
Organizacin de usuarios.
Servicios que requiere la organizacin.
Servicios que otorga la organizacin.
Planteamiento del nuevo esquema con los directivos (apoyo de los directivos al proyecto).
28
______________________________________________________
7.
Ahora s hablemos un poco de reglas
Las reglas de acceso determinan la forma en que los clientes de una red de origen tienen acceso a los
recursos de una red de destino.
El servidor ISA incluye una lista de protocolos bien conocidos, incluyendo los protocolos Internet ms
frecuentes. Igualmente, puede agregar o modificar protocolos adicionales.
29
______________________________________________________
7.1.
Elementos de una regla
Un elemento de regla del servidor ISA es un objeto utilizado para precisar las reglas del servidor ISA. Por
ejemplo, un elemento de regla de subred representa a una subred dentro de una red. Puede crear una regla
que se aplique nicamente a una subred o una regla que se aplique a toda una red, excepto a la subred.
Otro ejemplo de elemento de regla es un conjunto de usuarios, que representa a un grupo de usuarios. Si
crea un conjunto de usuarios y lo utiliza en una regla del servidor ISA, puede crear una regla que slo se
aplique a ese conjunto de usuarios.
Hay cinco tipos de elementos de regla:
Protocolos. Este elemento de regla contiene los protocolos utilizados para limitar la capacidad
de aplicacin de las reglas de acceso. Por ejemplo, puede permitir o denegar el acceso a uno o
varios protocolos, en lugar de a todos ellos.
Usuarios. Con este elemento de regla, puede crear un conjunto de usuarios al que aplicar de
forma explcita una regla o al que excluir de una.
Tipos de contenido. Este elemento de regla ofrece tipos de contenido comunes a los que es
posible aplicar una regla. Tambin puede definir nuevos tipos de contenido.
Programaciones. Este elemento de regla permite indicar las horas de la semana durante las que
se aplicar la regla.
Objetos de red. Este elemento de regla permite crear conjuntos de equipos o de direcciones IPs
a los que se les puede aplicar una regla o excluir de una.
TCP/IP protocol suite
30
______________________________________________________

7.2.
Objetos de red
Un elemento de regla de red representa a una red, es decir, a todos los equipos conectados (directamente o a
travs de uno o varios ruteadores) a una tarjeta de red nica del equipo servidor ISA. Las redes se definen
mediante el nodo Redes de Administracin del servidor ISA.
7.3.
Conjunto de Redes
Un elemento de regla de conjunto de redes representa a un grupo de una o varias redes. Puede utilizar este
elemento de regla para aplicar reglas a una o varias redes.
7.4.
Controlar el acceso a Internet
Para controlar el acceso a Internet, el equipo servidor ISA debe actuar como puerta de enlace
predeterminada a Internet para la red que se est ajustando. De no ser as, los equipos de la red pueden
tener acceso a Internet a travs de otra puerta de enlace sin necesidad de pasar por el equipo servidor ISA.
Podemos tener un conjunto de subredes a las cuales aplicarles distintas reglas
7.5.
Orden de reglas en ISA Server
Debe tener en cuenta siempre el orden de las reglas al crear reglas de acceso, ya que si por ejemplo se
quiere limitar a un conjunto de usuarios y se desea permitir todo a otro conjunto, la regla que deniega el
acceso al conjunto de usuarios limitados debe preceder a la regla que permite todo a los otros usuarios. Si
esta regla aparece despus en el orden, cuando llegue una peticin de un usuario de limitado, el servidor
ISA leer primero la regla de permiso y conceder acceso a todos los sitios de Internet (es mejor decir
Niego todo y luego doy permiso a ).
31
______________________________________________________
8.
Configurando la directiva http
El servidor ISA es un servidor de seguridad de capa de aplicaciones, que aplica un filtro de aplicacin al
trfico HTTP. Gracias a la capacidad del servidor ISA para examinar las peticiones HTTP, pueden
bloquearse las aplicaciones canalizadas a travs de HTTP en funcin de la configuracin del filtro de
aplicacin HTTP. El filtro de aplicacin HTTP ofrece control granular de las peticiones HTTP aceptadas
por la directiva de servidor de seguridad. Puede utilizar la directiva HTTP para bloquear aplicaciones.
La directiva HTTP incluye los siguientes valores:
9.
Longitud mxima del encabezado de la peticin (MTU)
Longitud de carga de las peticiones
Proteccin de direcciones URL
Bloqueo de contenido ejecutable
Mtodos denegados
Acciones especificadas para determinadas extensiones de archivo
Denegar encabezados especficos
Modificar encabezados de servidor y va
Denegar firmas especficas
Publicacin de Web
Microsoft Internet Security and Acceleration (ISA) Server 2004 utiliza reglas de publicacin de Web para
solucionar problemas relacionados con la publicacin de contenido Web en Internet sin poner en peligro la
seguridad de la red interna.
Las reglas de publicacin de Web determinan la interceptacin por parte del servidor ISA de las peticiones
entrantes para los objetos HTTP (protocolo de transferencia de hipertexto) en un servidor Web interno, y la
respuesta del servidor ISA en representacin del servidor Web. Las peticiones se reenvan en direccin
descendente al servidor Web interno, que se conecta a la red a travs del equipo servidor ISA. Si es posible,
la peticin se atiende desde la cach del servidor ISA.
Se puede utilizar la funcin de publicacin para poner el contenido a disposicin de los grupos de usuarios
o de todos los usuarios, normalmente, desde un servidor de red interna o de red perimetral (conocida
tambin como DMZ, zona desmilitarizada o subred filtrada).
Las reglas de publicacin de servidor se configuran para hacer accesible el contenido mediante otros
protocolos. Con la publicacin de servidor, se puede publicar todo un servidor mediante un protocolo y
restringir el acceso a determinados equipos o redes. No puede publicar contenido HTTP con reglas de
publicacin de servidor.
La publicacin de Web ofrece control detallado del acceso al contenido. Las reglas de publicacin de Web
presentan un gran nmero de caractersticas, incluidas las siguientes:
Asignar peticiones a rutas internas especficas. Puede limitar las partes de los servidores a las
que se puede tener acceso.
32
______________________________________________________
Restringir el acceso a determinados usuarios, equipos o redes. Puede restringir el acceso

para mejorar la seguridad.
Requerir la autenticacin de usuarios. La autenticacin de usuarios puede transferirse al

servidor Web, suprimiendo la necesidad de autenticarse de nuevo.
Ofrecer traduccin de vnculos. Puede administrar los vnculos a servidores internos.
Ofrecer protocolo de puente SSL. Puede cifrar el trfico entre el equipo servidor ISA y el
servidor Web.
9.1.
Publicando el servidor Web
Para publicar un servidor Web en una red interna, se necesita, como mnimo,:
Una conexin a Internet.
Un equipo que acte como equipo servidor ISA. Los equipos servidor ISA deben tener, como
mnimo, dos tarjetas de red. Una tarjeta se conectar a la red externa (que representa a Internet)
y otra se conectar a la red interna.
Un equipo que actuar como servidor Web, ubicado en la red interna.
Un equipo externo a la red con una conexin a Internet para probar la configuracin.
Se recomienda utilizar la funcin de copia de seguridad del servidor ISA para realizar una copia de
seguridad de la configuracin antes de efectuar cualquier modificacin. Si los cambios realizados provocan
un comportamiento inesperado, puede volver a la configuracin anterior, de la que se realiz una copia de
seguridad.
Al configurar la regla para redirigir las peticiones a un sitio alojado, el servidor ISA recupera el objeto a
partir de la ruta especificada en la peticin del equipo host. Por ejemplo, imagine que especifica que el
servidor ISA redirija las peticiones de example.microsoft.com/development a un equipo host llamado Dev.
33
______________________________________________________

Cuando un cliente solicita un objeto de example.microsoft.com/development, el servidor ISA recupera el
objeto en la carpeta de desarrollo en el equipo Dev.
Las reglas de publicacin de Web determinan el destino solicitado al leer el encabezado del host.
9.2.
Protocolo de puente
Al crear una regla de publicacin de Web, puede proteger an ms la comunicacin HTTP. Aunque la
comunicacin inicial utilice HTTP, una vez que el servidor ISA reciba la peticin, puede redirigirse la
comunicacin utilizando SSL. Si la peticin se redirige como una peticin SSL, se cifrarn los paquetes. A
esta redireccin tambin se le conoce como protocolo de puente.
Puede establecer que las peticiones HTTP o SSL se procesen como peticiones FTP (protocolo de
transferencia de archivos) en el servidor Web. Si el cliente externo solicita un objeto mediante HTTP o
SSL, el servidor ISA puede redirigir la peticin al servidor Web interno mediante FTP. Si configura el
protocolo de puente de esta forma, podr especificar el puerto que debe utilizarse al enlazar las peticiones
de FTP.
El servidor Web que precede en la cadena puede requerir un certificado de cliente. En tal caso, configure el
servidor ISA para que se autentique con un certificado de cliente especfico.
Si configura la regla de publicacin de Web para que requiera un canal seguro, todas las peticiones de
clientes para los destinos especificados deben encontrarse en el puerto indicado para las conexiones SSL.
34
______________________________________________________

9.3.
Publicacin de sitios Web con el mismo nombre de dominio.
Los clientes identifican los sitios Web publicados por su nombre de dominio completo (FQDN), tal y como
los public el servidor ISA. Es decir, el nombre de dominio completo del sitio Web es el nombre
configurado en la regla de publicacin de Web. Si se publican varios servidores Web con el mismo nombre
de dominio completo, el cliente supone que los dos sitios publicados son realmente el mismo. En otras
palabras, el cliente Web puede enviar la informacin destinada a un servidor Web al otro servidor Web.
9.4.
Orden de reglas en la publicacin.
Las reglas de publicacin de Web se procesan junto con las reglas de directiva de Firewall. Se procesan en
orden, para cada peticin de Web entrante. Cuando la regla coincide con una peticin, sta se enruta y se
almacena en cach de la forma especificada. Si no coincide ninguna regla con la peticin, el servidor ISA
procesa la regla predeterminada y descarta la peticin.
9.5.
Filtrar contenido del Web
Para impedir de forma rpida y sencilla que los usuarios se descarguen archivos ejecutables usando HTTP.
Conviene advertir que la poltica HTTP no puede examinar el interior de archivos .ZIP para saber si hay
algn ejecutable de Windows dentro de l.
35
______________________________________________________
10.
Configuraciones de acceso a servicios en la red perimetral (Server publishing)
Pongamos de ejemplo un servidor de correo.

Cuando se crean reglas de publicacin de servidor de correo, ISA Server 2004 crea las reglas de
publicacin necesarias para permitir el acceso de los clientes a los servidores de correo. Segn el tipo de
servidor de correo especificado, se configuran las reglas de publicacin de Web o de servidor, que permiten
el acceso a los servidores de correo mediante los protocolos que especifique.
Puede seleccionar uno de los tipos de acceso siguientes ofrecidos por el servidor de correo publicado:
Acceso de cliente Web. Permite el acceso de los clientes a servidores Microsoft Outlook Web
Access, Outlook Mobile Access o Exchange Application Services. Si selecciona esta opcin, el
servidor ISA configurar las reglas de publicacin de Web correspondientes.
Acceso de cliente. Permite que los clientes usen la llamada a procedimiento remoto (RPC), el
Protocolo de acceso de mensajes de Internet, versin 4rev1 (IMAP4), el Protocolo de oficina de
correos, versin 3 (POP3) o el Protocolo simple de transferencia de correo (SMTP) para tener
acceso al correo. Al seleccionar esta opcin, se crea una regla de publicacin de servidor para cada
protocolo seleccionado.
Comunicacin de servidor a servidor. Permite el acceso a los servidores SMTP (correo) y a los
servidores NNTP (noticias).
36
______________________________________________________

Al publicar un servidor de correo, es recomendable configurar el nombre FQDN del servidor de correo con
el nombre DNS externo del equipo servidor ISA. De este modo, el nombre interno del servidor de correo
no estar disponible pblicamente y, por lo tanto, no ser propenso a ataques.
10.1.
Filtrado SMTP
Si el filtro SMTP est instalado y habilitado, puede aplicar el filtrado SMTP.
El servidor ISA utiliza la publicacin de servidor para procesar las peticiones entrantes en servidores
internos como, por ejemplo, servidores FTP (puerto 21), servidores SQL (puerto alto), etc. Las peticiones
se envan seguidamente al servidor interno que se ubica detrs del equipo servidor ISA.
La funcin de publicacin de servidor permite a casi todos los equipos de la red interna publicar en
Internet. La seguridad no se pone en peligro porque todas las peticiones entrantes y respuestas salientes se
transfieren a travs del servidor ISA. Cuando un servidor se publica mediante un equipo servidor ISA, las
direcciones IP publicadas coinciden con las direcciones IP del equipo servidor ISA. Los usuarios que
solicitan objetos creen que estn estableciendo una comunicacin con el servidor ISA (al solicitar el objeto,
ellos especifican el nombre o la direccin IP de dicho servidor). No obstante, en realidad, estn solicitando
la informacin del servidor de publicacin. Esto se produce cuando la red en la que se encuentra el servidor
publicado tiene una NAT (Network Address Traslation) desde la red en la que se encuentran los clientes
que tienen acceso al servidor publicado. Al configurar una relacin de redes enrutadas, los clientes utilizan
la direccin IP real del servidor publicado para obtener acceso a l.
Las reglas de publicacin de servidor determinan el funcionamiento de la publicacin del servidor, sobre
todo, el filtrado de todas las peticiones entrantes y salientes procesadas por el equipo servidor ISA.
37
______________________________________________________
Las reglas de publicacin de servidor asignan peticiones entrantes a los servidores adecuados detrs del
equipo servidor ISA.
Estas reglas proporcionan, de un modo dinmico, el acceso de los usuarios de Internet al servidor de
publicacin que se haya especificado.
El servidor publicado es un cliente de SecureNAT. Por lo tanto, no se requiere ninguna configuracin
especial del servidor publicado tras crear la regla de publicacin de servidor en el servidor ISA. Observe
que el servidor ISA debe configurarse como el Gateway predeterminado en el servidor publicado.
10.2.
Funcionamiento de la publicacin de servidor
El servidor ISA lleva a cabo los siguientes pasos durante la publicacin del servidor:
1.
2.
3.
Un equipo cliente de Internet solicita un objeto desde una direccin IP que corresponde a la del
servidor de publicacin. La direccin IP est asociada en realidad al equipo servidor ISA. Se trata
de la direccin IP de la tarjeta de red externa perteneciente al equipo servidor ISA.
El equipo servidor ISA procesa la peticin, asignando la direccin IP a una direccin IP interna de
un servidor interno.
El servidor interno devuelve el objeto al equipo servidor ISA, y ste lo transfiere al cliente que lo
solicit.
10.3.
Uso de la regla de publicacin de servidor
En la mayora de los casos, puede utilizar una regla de acceso, en lugar de una regla de publicacin de
servidor, para poner el servidor a disposicin de los clientes. A continuacin se describen algunos puntos
que debe tener en cuenta:
Debe utilizar una regla de publicacin de servidor cuando exista una relacin de redes NAT entre
la red del servidor publicado y la red del cliente.
Una regla de publicacin de servidor slo puede publicar un nico servidor identificado. Para
publicar varios servidores, son necesarias varias reglas.
Con las reglas de publicacin de servidor, puede configurar las opciones para sobrescribir puertos.
10.4.
Publicacin de servidores DNS
El servidor ISA no traduce la direccin IP de los servidores DNS. Para publicar un servidor DNS, configure
una relacin de redes enrutadas entre la red de host local y la red que incluye el servidor DNS. Asimismo,
el servidor ISA debe conocer la direccin IP del servidor DNS.
10.5.
Deshabilitar reglas
Al deshabilitar una regla de publicacin de servidor, cualquier intento de establecer conexin con el
servidor ser rechazado. Sin embargo, tenga en cuenta que el servidor ISA no cierra las conexiones activas.
Dichas conexiones pueden detenerse mediante la desconexin de las sesiones relacionadas.
38
______________________________________________________
11.
Publicacin usando PAT (Port Address Translation)
De forma predeterminada, al crear una regla de directiva de servidor de seguridad, el servidor ISA est
atento al puerto especificado, si bien acepta peticiones de clientes en cualquier puerto. Puede limitar la
regla para aceptar peticiones slo de puertos de origen especificados para las reglas de acceso y las reglas
de publicacin de servidor.
Adems, para las reglas de publicacin de servidor, puede especificar el puerto que utilizar el servidor ISA
para aceptar las peticiones de clientes entrantes destinadas al servidor publicado. Si decide publicar en un
puerto distinto al predeterminado, el servidor ISA recibir las peticiones de clientes para el servicio
publicado en el puerto no estndar y, a continuacin, reenviar las peticiones al puerto designado en el
servidor publicado. Por ejemplo, una regla de publicacin de servidor puede especificar que las peticiones
de clientes para los servicios del Protocolo de transferencia de archivos (FTP) se conecten a travs del
puerto 22 en el equipo servidor ISA antes de redireccionarlas al puerto 21 en el servidor publicado.
Adems, puede especificar, para las reglas de publicacin de servidor, que el servidor publicado acepte las
peticiones de clientes para el servicio publicado en un puerto distinto al predeterminado. Por ejemplo, si
desea publicar dos servidores FTP, puede publicar un servidor FTP en el puerto predeterminado para un
conjunto de usuarios y publicar el otro en otro puerto no estndar para un conjunto de usuarios diferente.
39
______________________________________________________
12.
Monitoreo de la red
La vista Escritorio digital del servidor ISA resume la informacin de supervisin de las sesiones, alertas,
servicios, informes y conectividad, as como el estado general del sistema. La vista predeterminada
Escritorio digital muestra la siguiente informacin:
Conectividad. Comprueba la conectividad entre el servidor ISA y otros equipos o direcciones

URL.
Alertas. Enumera los sucesos que han tenido lugar en el equipo servidor ISA.
Servicios. Enumera los servicios del equipo servidor ISA y su estado actual.
Sesiones. Enumera el total de las sesiones de los clientes.
Informes. Enumera los informes creados recientemente.
Estado del sistema. Muestra la informacin de rendimiento del equipo servidor ISA.
Cada rea del escritorio digital cuenta con una indicacin visual de estado. Una X en un crculo rojo indica
un posible problema, un icono amarillo indica una advertencia y una marca de verificacin en un crculo
verde indica que no hay ningn problema.
Puede personalizar la vista Escritorio digital para ocultar cierta informacin.
40
______________________________________________________
13.
Referencias
ISA Server 2004, Dr. Thomas W. Shinder, Editorial Syngress, 2005.

Blog referente a ISA Server.
http://isainsbs.blogspot.com/
Artculos
http://www.microsoft.com/spain/technet/productos/isa/default.mspx
http://www.isaserver.org/
41
______________________________________________________
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cmputo
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
42
______________________________________________________

Firewalls Win

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Firewalls Win

Enviado por

Direitos autorais:

Formatos disponíveis

SEGURIDAD PERIMETRAL

Direccin General de Servicios de Cmputo Acadmico

UNIVERSIDAD NACIONAL AUTNOMA DE MXICO

UNIVERSIDAD NACIONAL AUTNOMA DE MXICO

SEMINARIO ADMIN-UNAM SEGURIDAD PERIMETRAL

Seminario Admin-UNAM "Seguridad Perimetral"

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

Filtrado en la capa de aplicacin. Muchas de las nuevas amenazas ocurren en la capa de

ISA Server 2004 incluye caractersticas que hacen su uso ms fcil:

Eficiencia en la administracin de herramientas: La consola de administracin de ISA Server

Integracin del producto. La integracin de ISA Server con el servicio de directorio de

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

Diferencias entre ISA Server 2000 e ISA Server 2004.

256 MB de RAM o ms (se recomienda)

Particin local con formato NTFS y 150 MB de espacio disponible en el disco

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

Microsoft Windows Server 2003 (Standard o Enterprise Edition), Microsoft

Adaptador de red compatible con el sistema operativo del equipo para

Escalabilidad de ISA Server

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

Configuracin de las polticas de firewall. El nmero de reglas del firewall y la complejidad de

Nmero y tipo de servidores publicados. Cuanto ms servidores publicados en el ISA Server,

Instalacin de ISA 2004.

Si descargo la versin de evaluacin se observar la siguiente imagen donde se observa el

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

2. En la pgina Microsoft Internet Security and Acceleration Server 2004 se

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

4. Seleccione la opcin Acepto los trminos del contrato de licencia en la pgina

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

6. En la pgina Tipo de Instalacin, seleccione la opcin Personalizada. Si no se desea

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

7. En la pgina Instalacin Personalizada se pueden elegir los componentes a instalar.

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

12. De clic en Aceptar en la lista de rangos de direcciones de la red interna.

13. De clic en Siguiente en la pgina Red Interna.

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

15. En el cuadro de dialogo Servicios de clic en Siguiente.

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

17. Con esto iniciara el proceso de instalacin.

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

18. En la pgina Finalizacin del Asistente para la instalacin, marque la opcin

19. A continuacin se abrir la consola de administracin de Microsoft Internet Security

Departamento de Seguridad en Cmputo/UNAM-CERT

Seminario Admin-UNAM "Seguridad Perimetral"

Verificar la instalacin de ISA Server 2004

Departamento de Seguridad en Cmputo/UNAM-CERT