Escolar Documentos
Profissional Documentos
Cultura Documentos
Redes II
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
3
NDICE
Presentacin
Red de contenidos
TEMA 2
13
TEMA 3
27
35
TEMA 5
: Reglas de acceso
45
TEMA 6
51
61
TEMA 8
67
75
TEMA 10
: Publicacin de servicios.
79
TEMA 11
91
TEMA 12
101
TEMA 13
105
CIBERTEC
CARRERAS PROFESIONALES
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
5
PRESENTACIN
CIBERTEC
CARRERAS PROFESIONALES
RED DE CONTENIDOS
Seguridad de Redes II
Introduccin e
Instalacin de ISA
Server 2006
Introduccin
ISA Server
Instalacin
ISA Server
Arquitectura de ISA
Server 2006
Cliente ISA
Server
Firewall
Reglas de
Acceso
Elementos
Reglas de
Acceso
Seguridad de Redes II
Configuracin de ISA
Server como Firewall
Config.
Firewall
Config.
Firewall
II
CARRERAS PROFESIONALES
CIBERTEC
Configuracin VPN y el
Cache de ISA Server
Config.
Recursos
Internos
Publicacion
de
Servicios
VPN
Caching
ISA Server
Monitoreo
SEGURIDAD DE REDES II
7
UNIDAD DE
APRENDIZAJE
1
TEMA
Conocer los escenarios que se pueden implementar con ISA Server 2006.
TEMARIO
Funcionalidades y Caractersticas.
ACTIVIDADES PROPUESTAS
CIBERTEC
CARRERAS PROFESIONALES
Nuevas Funcionalidades
-
Administracin
Publicacin de Servidores
-
Autenticacin
Soporte Firewall
CARRERAS PROFESIONALES
CIBERTEC
Administracin de Certificados
Mejorada.
Herramientas de gestin sencilla y fcil
de aprender.
Sistema de alertas para la deteccin
de ataques.
Herramientas para la publicacin
automtica de Exchange y SharePoint
Balanceo de carga para publicacin
web.
Calidad de servicio mediante el filtro
Web Diffserv.
Soporte para Exchange 2007.
Cache basada en BITS para la
distribucin de actualizaciones de
software.
Autenticacin LDAP
Logon nico Sign On.
Autentificacin basada en formularios
para sitios web
Autenticacin multifactorial mejorada
con soporte para tarjetas inteligentes,
RADIUS, OTP) y delegacin (NTLM,
Kerberos)
Se ha mejorado los asistentes para la
creacin de reglas.
Mejores funciones de recuperacin en
caso de ataques.
Inspeccin de contenidos multinivel y
en profundidad.
SEGURIDAD DE REDES II
9
CIBERTEC
CARRERAS PROFESIONALES
10
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
11
Disco Duro
Adaptador de red
CIBERTEC
CARRERAS PROFESIONALES
12
Resumen
ISA Server 2006, es un producto desarrollado por Microsoft para proteger una
infraestructura de red corporativa frente a amenazas procedentes de Internet.
ISA Server 2006, puede ser implementado con los siguientes escenarios:
Edge Firewall
3-Leg perimeter
Front Firewall
Back Firewall
Single Network Adapter
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
13
UNIDAD DE
APRENDIZAJE
1
TEMA
2
INSTALACIN DE ISA SERVER
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Efectan la instalacin del ISA Server 2006.
CIBERTEC
CARRERAS PROFESIONALES
14
Requerimientos de Software
ISA Server 2006 puede ser instalado nicamente en computadoras que
ejecuten el sistema operativo Windows 2003 Server.
Cuando instala ISA Server 2006 en un sistema operativo Windows 2003
Server, necesita los siguientes requerimientos.
Microsoft Windows Server 2003 con Service Pack 1 o Microsoft Windows
Server 2003 R2.
Requerimientos de Hardware
Los requerimientos mnimos de hardware para instalar ISA Server 2006 son:
CARRERAS PROFESIONALES
CIBERTEC
Hardware Recomendado
Requerimientos mnimos de hardware
con un disco duro adicional para
caching.
Procesador Pentium 4 2.0-3.0 Ghz
Procesadores Duales Xeon 2.0-3.0 Ghz
Espacio libre en el disco duro 8-10GB
para caching.
SEGURIDAD DE REDES II
15
Tipos de Instalacin
Cuando inicias la instalacin de ISA Server 2006, tendrs que escoger 2 tipos
de instalacin:
Instalacin tpica. Esta opcin instala el servicio y el administrador de ISA
Server
Instalacin personalizada. Esta instalacin le permite seleccionar los
siguientes componentes:
Una de las cosas que tiene que saber durante la instalacin de ISA Server, es si
permite trabajar con versiones inferiores del cliente Firewall. ISA Server soporta
versiones inferiores del cliente firewall, incluyendo el cliente firewall de ISA Server
2000 y 2004 y el cliente Winsock Proxy (De Microsoft Proxy 2.0). A pesar que estos
clientes no pueden usar encriptacin cuando se conectan a ISA Server, entonces
quiz quiera prevenir el uso de estas versiones en sistemas operativos Windows
CIBERTEC
CARRERAS PROFESIONALES
16
que se conecten a ISA Server. Por defecto, la instalacin de ISA Server 2006 no
permite conexiones no encriptadas desde el cliente firewall. Para habilitar a los
clientes antiguos, seleccione la opcion Allow non-encrypted Firewall Client
connections para otorgar la conexin de los clientes firewall que estn usando
versiones inferiores durante la instalacin.
Servicio SNMP
Servicio FTP
Servicio NNTP
Servicio de administracin IIS
Servicio WWW
Laboratorio
Instalar ISA Server 2006
En esta practica, instalar ISA Server 2006 en la maquina virtual
SERVER_ISA_Aula
1. Abrir el Explorador de Windows y navegar a C:\UTILSO\ISA Server
2. Doble clic en isaautorun.exe
3. En la pgina Microsoft ISA Server 2006 Setup, clic Install ISA Server
2006
4. En la pgina Welcome to the Installation Wizard for Microsoft ISA
Server 2006 Setup, clic en Next.
5. En la pgina de License Agreement, revisar los trminos y las
condiciones del contrato de licencia del usuario final. Luego clic I
accept the terms in the license agreement, y luego clic en Next.
6. En la pgina Customer Information, acepte por defecto, y luego clic en
Next.
7. En la pgina Setup Type, clic Custom. Clic Next.
8. En la pgina Custom Setup, Clic Next.
9. En la pgina Internal Network, clic Add.
10. Clic Add Adapter
11. Clic Network Adapters marque el cuadro LAN y luego clic en Ok.
12. Revisar el rango de direcciones de la red interna, y luego clic Ok.
13. En la pgina Internal Network, clic Next.
14. En la pgina Firewall Client Connections, clic Next.
15. En la pgina de Services Warning, clic Next.
16. En la pgina Ready to Install the Program, clic Install.
17. En la pgina Installation Wizard Completed, clic Finsh.
18. clic Yes para reiniciar la computadora.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
17
CIBERTEC
CARRERAS PROFESIONALES
18
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
19
CIBERTEC
CARRERAS PROFESIONALES
20
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
21
CIBERTEC
CARRERAS PROFESIONALES
22
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
23
Laboratorio
Instalar el Service Pack 1 para ISA Server 2006
En esta prctica, instalar el Service Pack 1 para ISA Server 2006 en la
computadora SERVER_ISA_Aula
1.
2.
3.
4.
CIBERTEC
CARRERAS PROFESIONALES
24
Tipos de clientes
ISA Server, brinda acceso seguro a Internet para todo estos clientes.
ISA Server, soporta tres tipos de clientes: Cliente Firewall, Cliente SecureNAT,
y Cliente Web Proxy.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
25
Resumen
Una de las cosas que tiene que escoger durante la instalacin ISA Server es
si se permite trabajar con versiones inferiores del cliente Firewall.
ISA Server, soporta versiones inferiores del cliente firewall, incluyendo el
cliente firewall del ISA Server 2000 y el cliente WinSock Proxy (De Microsoft
Proxy 2.0).
Como parte del proceso de instalacin de ISA Server 2006, los siguientes
servicios son deshabilitados:
CIBERTEC
CARRERAS PROFESIONALES
26
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
27
UNIDAD DE
APRENDIZAJE
1
TEMA
INSTALACIN
ISA SERVER.
Saber instalar y configurar los diferentes clientes que soporta ISA Server.
TEMARIO
ACTIVIDADES PROPUESTAS
CIBERTEC
CARRERAS PROFESIONALES
28
Laboratorio
1.3.1 Instalacin y monitoreo de los Clientes ISA Server 2006.
En este laboratorio, configurar el registro de ISA Server para monitorear las
conexiones clientes hacia ISA Server.
1. Para realizar este laboratorio se necesitar trabajar con dos equipos:
1. El Servidor ISA_Server_Aula y la maquina virtual CLIENTE
2. Iniciar sesin con el nombre de usuario administrador, y la contrasea
P@ssw0rd.
2. Configure ISA Server 2006 para que registre las conexiones de los
clientes
1. Abrir ISA Server Management, expanda SERVER y luego, haga clic
en Monitoring.
2. En la pestaa Logging, En el panel Details clic Start Query.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
29
CIBERTEC
CARRERAS PROFESIONALES
30
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
31
CIBERTEC
CARRERAS PROFESIONALES
32
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
33
CIBERTEC
CARRERAS PROFESIONALES
34
Resumen
La herramienta de monitoreo de ISA Server 2006 es una interfaz de
supervisin y registro que permite realizar el seguimiento del estado en que se
encuentra ISA Server, mostrando una lista de alertas de determinados
eventos que sucede con los servicios de ISA Server.
Si desea saber ms acerca de estos temas, puede consultar la siguiente
pgina.
http://technet.microsoft.com/en-us/library/bb794817.aspx
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
35
UNIDAD DE
APRENDIZAJE
2
TEMA
HABILITAR
INTERNET
EL ACCESO A LOS
RECURSOS
DE
Describir cmo trabaja el servidor ISA Server 2006 como servidor PROXY.
Saber configurar el ISA Server para brindar acceso seguro a los recursos de
Internet.
TEMARIO
ACTIVIDADES PROPUESTAS
Identifican y configuran reglas de red.
CIBERTEC
CARRERAS PROFESIONALES
36
ISA Server como un Firewall. ISA Server, entrega una completa solucin
como servidor Firewall que permite el filtrado en mltiples capas. Como un
Firewall, ISA Server, asegura el acceso hacia Internet controlando el trfico
no autorizado que puede ingresar a la red interna.
ISA Server como un Servidor Proxy. Cuando los clientes Firewall y Proxys
se conectan al servidor para acceder a los recursos de Internet, ISA Server
acepta las peticiones de los clientes, y crea una nueva peticin que es enviada
al servidor de Internet. ISA Server, esconde detalles de la red interna desde
Internet. nicamente, la direccin IP externa de ISA Server es transmitida
hacia Internet. ISA Server, tambin, esconde detalles de la red para los
clientes SecureNAT usando nateo que convierte las direcciones IP internas a
la direccin IP externa que tiene ISA Server.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
37
CIBERTEC
CARRERAS PROFESIONALES
38
La siguiente tabla describe las diferentes opciones para configurar el Web Proxy:
Cuadro de Dialogo
Pestaa web Proxy
Escoja
configuracin
Habita HTTP
Habita SSL
Autentificacin
Mtodos
autentificacin
CARRERAS PROFESIONALES
CIBERTEC
esta Para:
Configure ISA Server
para que escuche las
conexiones HTTP en un
nmero
de
puerto
especfico.
Configure ISA Server y
escuch las conexiones
HTTPS puerto especfico.
Si habilita SSL, debera
tambin configurar un
certificado
que
ser
usado
para
la
autentificacin
y
encriptacin SSL. Los
navegadores no pueden
usar est configuracin,
pero esta configuracin
puede ser usado en
escenarios Web chaining.
de Configure el mtodo o
mtodos
de
autentificacin soportado
por ISA Server
SEGURIDAD DE REDES II
39
Autentificacin
Seleccione el dominio
Servidores RADIUS
Configuraciones
avanzadas
Configuraciones
avanzadas
CIBERTEC
CARRERAS PROFESIONALES
40
3.3.1
Representa
ISA server 2006
Todas las direcciones IP que no han
sido asociadas con otra red
Todas las direcciones IP especificadas
como internas durante la instalacin
Todas las direcciones IP para clientes
VPN conectados, actualmente.
Todas las direcciones IP de los clientes
VPN en cuarentena
ISA Server viene pre-configurado con las siguientes redes que no pueden ser
borradas:
La red Local Host. est red representa a ISA Server. Use esta red para
controlar todo el trfico que viene desde o va a ISA Server a diferencia del
trfico que fluye a travs de ISA server. Como con cualquier red, puede
definir reglas de acceso que definen como el trfico de la red puede fluir
hacia y desde la red Local Host. Tpicamente, ISA Server necesita estar
habilitado para acceder a los servicios en otras redes. Por ejemplo, ISA
Server quizs necesite comunicarse como un controlador de dominio, un
servidor RADIUS, o un servidor DNS en la red interna. ISA Server es preconfigurado con un sistema de polticas del sistema permiten este tipo de
acceso. La red Local Host no puede ser modificada.
La red externa. Est red incluye todas las computadoras (direcciones IP)
que no estn explcitamente asociadas con ninguna otra red. La red
externa es, generalmente considerada como una red no segura y
representa todas las computadoras e Internet. La red externa no puede ser
modificada.
La red interna. Est red incluye todas las computadoras que fueron
especificadas como internas durante el proceso de instalacin.
Clientes VPN. Est red contienen las direcciones actuales de los clientes
VPN que estn conectados.
Clientes VPN en cuarentena. Est red contienen las direcciones de los
clientes VPN que an no han sido limpiados de la cuarentena.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
41
Red. Un elemento de la regla red representa una red, que son todas las
computadoras conectadas a un slo adaptador de red de ISA Server.
Cuando configure una regla de red, puedes usar cualquiera de las redes
por defecto, o algunas redes que ha configurado en ISA Server.
Sistema de red. El elemento sistema de red de una regla representa un
grupo de una o ms redes. Por efecto, ISA Server incluye dos sistemas de
red: todas las redes, que incluye todas las redes conectadas a ISA Server,
y todas las redes protegidas, que incluye todas las redes excepto, la red
externa. Puede, tambin, crear un sistema de red que incluya cualquier
combinacin de redes en el servidor.
Computadora. El elemento computadora de la regla representa una sola
computadora, identificada por la direccin IP.
Sistema computadora. El sistema computadora incluye una coleccin de
computadoras identificadas por sus direcciones IP, un objeto subnet, o un
objeto o un rango de direcciones.
Rango de direcciones. Un rango de direcciones es un sistema de
computadoras representadas por un rango continuo de direcciones IP.
Subset. Una subset representa una red subneteada, especificada por la
direccin de red y la mscara.
Sistema URL. El elemento sistema URL de la regla es un sistema de URLs
como son http://www.hotmail.com o http://www.google.com/
Sistema nombre de dominio. El elemento sistema nombre de dominio de
una regla es un sistema de uno o ms nombres de dominio, en el formato
X.google.com
Escuchador web. Elemento escuchador web de la regla es una direccin
IP donde ISA Server escuchar las peticiones web.
CIBERTEC
CARRERAS PROFESIONALES
42
RUTEO :
Cuando se especifica este tipo de conexin, la peticin del cliente en la red
origen es enviada directamente a la red destino. La direccin origen del cliente
es incluida en la peticin. La relacin de confianza de ruteo es bidireccional.
Esto es, si la relacin de confianza de ruteo es creada de A hacia B, tambin,
existir desde la red B hacia la red A.
NAT :
Cuando se especifica este tipo de conexin, ISA Server reemplaza la direccin
IP del cliente que est en la red origen con su propia direccin IP. La relacin
de confianza NAT es unidireccional. Esto indica que las direcciones desde la
red origen son siempre traducidas cuando pasamos a travs de ISA Server.
Por ejemplo, por efecto una relacin de confianza de red usando NAT es
definida entre Internet y la red interna. Cuando un cliente hace una peticin a
Internet, la direccin IP de la computadora cliente interna es reemplazada por
la direccin de ISA Server antes que la peticin sea pasada al servidor que
est en Internet. Por otro lado, cuando un paquete desde Internet es retornado
a la computadora cliente, la direccin del servidor no es traducida. Las
computadoras cliente en la red interna puede acceder a las direcciones que
estn en Internet, pero las computadoras que estn en Internet no pueden
acceder a las direcciones IP internas.
Cuando la relacin de confianza no est configurada entre las redes, ISA
Server bloquea todo el trfico entre las dos redes.
Acceso al Local Host. Esta regla define una relacin de ruteo entre la red
localhots y todas las otras redes.
Clientes VPN haca la red interna. Esta regla define la relacin de ruteo
entre la red interna y los clientes VPN en cuarentena y los clientes de red
VPN.
Acceso a Internet. sta regla define una relacin de confianza NAT entre
la red interna, los clientes VPN en cuarentena, y los clientes de red VPN y
la red externa.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
43
Resumen
ISA Server viene con algunas redes por defecto que no pueden ser borradas:
a.
b.
c.
d.
e.
El servidor Proxy puede usar mltiples criterios para filtrar las peticiones de los
clientes.
El servidor Proxy puede inspeccionar todo el trfico entrante y saliente que
fluye de la conexin a Internet y determinar si hay un trfico que debera ser
negado.
CIBERTEC
CARRERAS PROFESIONALES
44
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
45
CIBERTEC
CARRERAS PROFESIONALES
46
UNIDAD DE
APRENDIZAJE
2
TEMA
5
REGLAS DE ACCESO
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
Reglas de acceso
ACTIVIDADES PROPUESTAS
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
47
Objetos de red
CIBERTEC
CARRERAS PROFESIONALES
48
pero
denieguen
el
acceso
al
grupo
Tipos de contenido:
Este elemento de la regla brinda diferentes tipos de contenido comn para
que pueda aplicarlos a una regla. Por ejemplo, puede usar el elemento tipo
de contenido en una regla para bloquear toda descarga que incluya el
contenido de archivos con extensin .exe o .vbs
Horarios:
Este elemento de la regla permite definir a qu horas las reglas se van a
aplicar. Si se necesita definir una regla de acceso que permita el acceso
hacia Internet, nicamente, durante horas especficas, se puedes crear el
elemento horario de la regla que definan estas horas, y luego usar este
elemento horario cuando se crean la regla de acceso.
Objeto de red:
Este elemento de la regla te permite crear un sistema de computadoras a
las cuales se les va aplicar la regla, o a las que se les va a excluir de la
regla. Tambin, puede configurar un sistema de nombres de dominio
(google.com) y URLs (http://www.google.com/traductor) que puede usar
para permitir o denegar el acceso a dominios o URLs especficos.
Explicacin
Accin
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
49
Laboratorio
1. Configurar una regla de acceso que permita trfico WEB desde ISA Server
2006 hacia la Red Interna
1. En el rbol de la consola de ISA Server Management, expanda el nodo
SERVER, luego expande el nodo Firewall Policy.
2. En la pestaa Task, clic en Create New Access Rule.
3. En la pgina New Access Rule Wizard, escribe el nombre Local Host to
Internal Network, luego clic en Next.
4. En la pgina Rule Action, seleccione Allow.
5. En la pgina Protocols, seleccione los protocolos que se van a aplicar a
esta regla, en el cuadro desplegable escoja Selected protocols y luego,
clic en Add, expanda el nodo Common Protocols y agregue los siguientes
protocolos: http,https, clic en Close y luego, clic en Next.
6. En la pgina Access Rule Sources Clic en Add. Expanda el nodo
Networks y seleccione Local Host, clic en Add y luego clic en Close.
7. En la pgina Access Rule Sources clic en Next.
8. En la pgina Access Rule Destinations Clic en Add. Expanda el nodo
Networks y seleccione Internal, clic en Add y luego clic, en Close.En la
pgina Access Rule Sources clic en Next.
9. En la pgina User Sets clic en Next para que esta regla se aplique a todos
los usuarios.
10. En la pgina Completing the New Access Rule Wizard clic en Finish.
11. En la maquina virtual SERVER_ISA_Aula abra Internet Explorer y escriba
la direccion ip correspondiente.
Nota: Para que ISA Server 2006 pueda acceder a Redes Externas (Internet),
tendra que modificar la regla de acceso que acaba de crear y agregar en la
red destino el objeto Externa que representa la red de Internet en ISA
Server.
2. Configurar una regla de acceso que permita trfico Web desde la Red
Interna
hacia la Red Interna.
1. Desde la computadora CLIENTE inicie sesin con el usuario
administrador y la contrasea P@ssw0rd.
2. Ejecute Internet Explorer y escriba la direccin IP correspondiente, lea el
mensaje que aparece en el navegador.
3. En la mquina virtual SERVER_ISA_Aula localiza los eventos registrados
que han usado el protocolo http y el puerto destino 8080. Confirma que la
peticin fue denegada por la Regla por Defecto.
4. En el rbol de la consola de ISA Server Management, expanda el nodo
SERVER, luego expande el nodo Firewall Policy.
5. En la pestaa Task, clic en Create New Access Rule.
6. En la pgina New Access Rule Wizard, escribe el nombre Internal
Network to Internal Network, luego clic en Next.
7. En la pgina Rule Action, seleccione Allow.
8. En la pgina Protocols, seleccione los protocolos que se van a aplicar a
esta regla, en el cuadro desplegable escoja Selected protocols y luego,
clic en Add, expanda el nodo Common Protocols y agregue los siguientes
protocolos: http,https, clic en Close y luego clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
50
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
51
Resumen
Una regla de acceso define las condiciones para que el trfico sea permitido o
denegado entre las redes.
Los elementos de una regla de acceso son objetos de configuracin en ISA
Server que puede usar para crear una regla de acceso especfica.
CIBERTEC
CARRERAS PROFESIONALES
52
UNIDAD DE
APRENDIZAJE
2
TEMA
6
CONFIGURACIN
DE ACCESO
TEMARIO
ACTIVIDADES PROPUESTAS
Identifican y configuran los elementos de una regla de acceso.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
53
Configuraciones
Tipo de protocolo
Direccin
Rango de puertos
Nmero de protocolo
Propiedades ICMP
Conexiones secundarias
CIBERTEC
Explicacin
Este incluye TCP, UDP, ICMP, o los
tipos de niveles del protocolo IP
Para UDP, este incluye enviar, recibir,
enviar recibir, o recibir enviar. Para
TCP, este incluye enviar y recibir
Para los protocolos TCP y UDP, este es
el rango de puertos entre 1 y 65534 que
es usado para la conexin inicial.
Los niveles del protocolo IP, este es el
nmero del protocolo.
Para el protocolo ICMP, esto es el tipo
y cdigo ICMP.
Esta configuracin es opcional; este es
el rango de puertos, tipos de
protocolos, y la direccin usada para
las conexiones adicionales o paquetes
que siguen la conexin inicial. Puedes
configurar una o ms conexiones
secundarias.
CARRERAS PROFESIONALES
54
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
55
CIBERTEC
CARRERAS PROFESIONALES
56
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
57
CIBERTEC
CARRERAS PROFESIONALES
58
Laboratorio
1. Configurar el Servidor Proxy para permitir el acceso solo a los usuarios
del grupo Internet Allow, entre las 8 am - 4 pm, y tambin, denegar el acceso
al dominio www.hi5.com.
Configurar los siguientes elementos de una regla: usuario, horario, nombre
de dominio.
Para crear el sistema usuario, use el siguiente procedimiento.
1. Abra la herramienta administrativa ISA Server Managment, clic en
Firewall Policy.
2. Es la pestaa Toolbox, clic Users.
3. Clic en New, en la pgina Welcome to the New User Sets Wizard, en el
cuadro de texto User set name escriba Internet Allow. Clic en Next.
a. En la pgina User, clic en Add y luego, clic en Windows Users and
Groups. Clic en Locations, y seleccione Enteri Directory. Y luego
Clic en Ok.
b. Ingrese el nombre del objeto en este caso el nombre del grupo
Internet Allow, y luego clic en Check Names, Clic en Ok y luego,
clic en Next.
4. En la pgina Completing to the New User Set Wizard, revise la
configuracin y luego clic en Finsh.
Para crear el elemento horario, use el siguiente procedimiento.
1. Abra la herramienta administrativa ISA Server Managment, clic en
Firewall Policy.
2. Es la pestaa Toolbox, clic Schedules
3. Clic en New, en la pgina New Schedule, complete la siguiente
informacin:
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
59
CIBERTEC
CARRERAS PROFESIONALES
60
Resumen
ISA Server viene pre-configurado con los siguientes sistemas de usuario:
Todos los usuarios autentificados:
Todos los usuarios
Servicio de red y sistema
Se pueden crear nuevos protocolos usando el administrador de ISA Server.
ISA Server, incluye una variedad amplia de protocolos pre-configurados que
puedes usar cuando creas reglas de acceso. En casi todos los casos, los
protocolos pre-configurados entregan toda la flexibilidad necesaria cuando
configuras reglas de acceso.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
61
CIBERTEC
CARRERAS PROFESIONALES
62
UNIDAD DE
APRENDIZAJE
3
TEMA
7
CONFIGURAR ISA SERVER COMO FIREWALL
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
Filtrado de paquetes.
ACTIVIDADES PROPUESTAS
Identifican y configuran ISA Server como un firewall
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
63
Uno de los roles primarios, de ISA Server 2006 es funcionar como un servidor
firewall entre Internet y la red interna. El firewall limita el flujo del trfico de red
desde una red a otra. Si bien existen muchos productos que permiten hacer este
tipo de trabajo, muchas organizaciones implementan ISA Server 2006 como un
firewall. Esa es una de las razones por las que dominar esta aplicacin es
importante.
3.2.1 Estructura del paquete TCP/IP
Toda la comunicacin de red en Internet usa TCP/IP como el protocolo de
comunicacin. Para configurar ISA Server 2006 como un Firewall, tiene que
entender las caractersticas de la comunicacin TCP/IP.
Cada paquete TCP/IP est construido de mltiples
componentes corresponden a las siguientes cuatro capas:
componentes.
Los
Capa de transporte:
Esta capa brinda los servicios de comunicacin de sesin y datagrama. La
base de los protocolos de la capa transporte son protocolo de control de
transmisin y el protocolo de datagrama del usuario.
Capa de aplicacin:
En esta capa las aplicaciones acceden a los servicios de las otras capas y
tambin define el protocolo de aplicacin usado para intercambiar
informacin. Protocolo de Transferencia de Hipertexto (http), Protocolo de
Transferencia de Archivo (FTP), Protocolo Simple de Transferencia de
Correo (SMTP), Telnet, Sistema de nombre de dominio (DNS)son algunos
ejemplos de los protocolos de la capa aplicacin.
Campo de la Cabecera IP
Funcin
Direccin origen
Direccin destino
Protocolo
CIBERTEC
CARRERAS PROFESIONALES
64
dispositivo destino.
Protocolo TCP
TCP es un protocolo seguro orientado a la conexin, esto significa que primero se
debe establecer una sesin entre los dispositivos antes de que puedan
intercambiar data. La confiabilidad se logra asignando una secuencia numrica por
cada paquete transmitido. El reconocimiento es usado para verificar que la data ha
sido recibida. TCP brinda una conexin punto a punto, orientado a la conexin, y
servicios de comunicacin segura.
La siguiente tabla describe los campos en la cabecera TCP.
Funcin
Puerto origen
Puerto destino
Secuencia numrica
Nmero de reconocimiento
Protocolo UDP
UDP es un protocolo no confiable orientado a la desconexin, esto significa que
hace el mejor esfuerzo para la transmisin de data en mensajes. Esto significa
que no le importa si los datagramas llegan o si no contienen la secuencia correcta.
El protocolo UDP no recupera la data prdida usando retransmisiones, debido a
que no usa el byte de reconocimiento. La cabecera UDP contiene informacin del
puerto origen y destino, pero no incluye informacin secuencial o de
reconocimiento. El asegurar que los paquetes UDP sean enviados correctamente,
es responsabilidad de los protocolos de la capa de aplicacin.
Windows Sockets
La mayora de aplicaciones en Internet se ejecutan sobre la plataforma Windows y
hacen uso del Windows Sockets para comunicarse con los protocolos de las capas
inferiores. Windows Sockets entrega servicios que permiten a las aplicaciones
lanzarse a un puerto en particular y a una direccin IP en un determinado
dispositivo, inicializa y acepta una conexin, enva y recibir data, y cierra una
conexin.
Un Socket est definido por la asociacin de un protocolo a una direccin en el
dispositivo. En TCP/IP, la direccin de socket es la combinacin de la direccin IP
y el puerto. De esta manera dos sockets, uno por cada fin de la conexin, forman
una ruta direccional de comunicaciones.
Para que se d la comunicacin la aplicacin debe especificar el protocolo, la
direccin IP de la computadora destino, y el puerto de la aplicacin destino.
Despus que la aplicacin est conectada, la informacin puede ser enviada y
recibida.
3.2.2 Filtrado de paquetes
El rol primario de un firewall es prevenir que el trfico de la red externa ingrese a la
red interna a menos que el trfico sea permitido de manera explcita. Una de las
maneras que un firewall realiza esto es a travs del filtrado de paquetes.
El filtrado de paquetes controla el acceso hacia la red desde la capa de red por
medio de la inspeccin y permite o deniega el paquete IP que se va transmitir a
travs del firewall. Cuando el firewall inspecciona un paquete IP, este examina,
nicamente, la informacin en las cabeceras de la capa de red y transporte,
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
65
CIBERTEC
CARRERAS PROFESIONALES
66
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
67
Resumen
IP es el protocolo primario de la capa de red responsable del direccionamiento
y ruteo de paquetes entre los dispositivos. Un paquete IP consiste de una
cabecera IP y la carga data IP.
El filtrado de paquetes controla el acceso hacia la red desde la capa de red
por medio de la inspeccin y permite o deniega el paquete IP que se va
transmitir a travs del firewall.
El filtrado de aplicacin permite al firewall abrir los paquetes TCP/IP e
inspeccionar la data de aplicacin para comandos no aceptado e informacin.
UDP es un protocolo no confiable orientado a la desconexin, esto significa
que hace el mejor esfuerzo para la transmisin de data en mensajes.
CIBERTEC
CARRERAS PROFESIONALES
68
UNIDAD DE
APRENDIZAJE
3
TEMA
CONFIGURACIN DE
FIREWALL PARTE II
ISA
SERVER
COMO
TEMARIO
Plantillas de Red.
ACTIVIDADES PROPUESTAS
Identifican y configuran ISA Server como un firewall
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
69
CIBERTEC
CARRERAS PROFESIONALES
70
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
71
CIBERTEC
CARRERAS PROFESIONALES
72
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
73
3. Filtro de aplicacin:
Los filtros de aplicacin expanden el paquete de red e inspeccionan la data de
aplicacin. Si el paquete usa el http o HTTPS, el mensaje es enviado a travs
del filtro web proxy hacia el filtro HTTP web, para que sea inspeccionada la
data de aplicacin. El filtro web Proxy, tambin, controla y accede a la cach
del web.
3.3.5 Implementar ISA Server 2006 como un FIREWALL
En muchas organizaciones, ISA Server est implementado como un firewall. ISA
Server brinda una solucin firewall segura que puede ser implementado en
muchas diferentes configuraciones.
El proceso de configuracin de ISA Server como un firewall incluye los siguientes
pasos:
Laboratorio:
De acuerdo a las directivas del profesor, aplicar los conceptos del firewall.
Determinar los tipos de funcionalidad firewall requeridos para posibles escenarios
y discuta las respuestas con un compaero.
CIBERTEC
CARRERAS PROFESIONALES
74
Resumen
IP es el protocolo primario de la capa de red responsable del direccionamiento
y ruteo de paquetes entre los dispositivos. Un paquete IP consiste de una
cabecera IP y la carga data IP.
El filtrado de paquetes controla el acceso hacia la red desde la capa de red por
medio de la inspeccin y permite o deniega el paquete IP que se va transmitir a
travs del firewall.
El filtrado de aplicacin permite al firewall abrir los paquetes TCP/IP e
inspeccionar la data de aplicacin para comandos no aceptado e informacin.
UDP es un protocolo no confiable orientado a la desconexin, esto significa
que hace el mejor esfuerzo para la transmisin de data en mensajes.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
75
CIBERTEC
CARRERAS PROFESIONALES
76
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
77
UNIDAD DE
APRENDIZAJE
4
TEMA
9
CONFIGURAR EL ACCESO A RECURSOS INTERNOS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Describir como ISA Server 2006 puede ser usado para configurar acceso a
los recursos internos.
Configurar la publicacin Web
TEMARIO
ACTIVIDADES PROPUESTAS
Identifican las tcnicas que permiten configurar el acceso a los recursos
internos
CIBERTEC
CARRERAS PROFESIONALES
78
ISA Server 2006 usa reglas de publicacin WEB y para publicar los recursos
internos de la red hacia Internet sin comprometer la seguridad interna de la red.
Las reglas de publicacin Web determinan cmo ISA Server reparte las peticiones
HTTP y HTTPS desde Internet para los servidores webs internos. Las reglas de
publicacin de servidor definen la manera en que ISA Server responde a las
peticiones desde Internet para otros recursos de red en la red interna. El
administrador de ISA Server necesita saber cmo usar estas reglas para publicar
los recursos de la red interna de manera segura hacia Internet.
4.1.1 Reglas de publicacin Web
ISA Server usa las reglas de publicacin WEB para hacer disponibles los sitios
web a los usuarios en Internet. Una regla de publicacin Web es una regla del
firewall que especifica como ISA Server har el ruteo de las peticiones entrantes
hacia los servidores webs internos.
4.1.2 Funciones de las reglas de publicacin WEB
Se recomienda usar las reglas de publicacin web para brindar:
Mapeo de ruta
El mapeo de ruta permite esconder detalles de la configuracin interna del sitio
web por medio de la redireccin de peticiones externas para partes de sitios
web a ubicaciones alternas dentro del sitio web interno. Esto significa que se
puede limitar el acceso hacia reas especficas dentro de sus sitios web.
Autenticacin de usuarios
Se puede configurar ISA Server para que se solicite a los usuarios externos se
autentiquen antes que las peticiones se hayan reenviado al servidor web. Esto
protege los servidores webs internos de ataques de autenticacin. Las reglas
de publicacin web soportan varios mtodos de autenticacin incluyendo
RADIUS, basic, digest, certificados digitales, y RSA SecureID.
Cach de contenido:
El contenido de los servidores web internos puede ser almacenado en la cach
de ISA Server, esto mejora el tiempo de respuesta hacia los clientes de
Internet mientras disminuye la carga en los servidores web internos.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
79
Traduccin de enlace:
Con la traduccin de enlace, se pueden brindar acceso hacia pginas web
complejas que incluyan referencias hacia otros servidores web internos que no
son accesibles, directamente, desde Internet. Sin la traduccin de enlace,
algn enlace hacia un servidor que no es accesible desde Internet aparecera
como un enlace roto.
Tunel SSL:
Con el tnel SSL, ISA Server reenva los paquetes encriptados entre el
cliente y el servidor web. En este escenario, ISA Server no puede
inspeccionar el contenido de los paquetes.
Puente SSL:
Con el puente SSL, ISA Server puede encriptar y desencriptar todo el
trfico de red entre el servidor y el cliente. En este escenario, ISA Server
puede aceptar las peticiones SSL desde los clientes, y puede luego
convertir estas peticiones a HTTP y reenviarlas hacia el servidor WEB
publicado. ISA Server puede, tambin ser configurado para re-encriptar el
trfico enviado hacia el servidor web publicado para brindar seguridad
adicional. En un escenario del puente SSL, ISA Server de inspeccionar los
paquetes http mientras ellos no estn encriptados.
CIBERTEC
CARRERAS PROFESIONALES
80
Resumen
ISA Server 2006 usa reglas de publicacin WEB y para publicar los recursos
internos de la red hacia Internet sin comprometer la seguridad interna de la
red.
Se recomienda usar las reglas de publicacin web para brindar:
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
81
UNIDAD DE
APRENDIZAJE
4
TEMA
10
PUBLICACIN DE SERVICIOS
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
Identifican las tcnicas que permiten publicar los servicios hacia Internet
de manera segura.
CIBERTEC
CARRERAS PROFESIONALES
82
Opcin de configuracin
Explicacin
Accin
Usuarios
Trfico origen
Nombre publicado
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
83
Mapeo de la ruta
Puente
Traduccin de enlace
CIBERTEC
CARRERAS PROFESIONALES
84
La red:
Esta opcin especifca la red en la que ISA Server escuchar las
peticiones web entrantes. La red que seleccione depender de donde
vengan las peticiones web. Por ejemplo, si el sitio web publicado
permite peticiones de cliente desde la red externa (Internet), luego la
red externa deber ser seleccionada para el escuchador web. Luego de
seleccionar la red, tambin se puede especificar si es que el
escuchador web escuchar las peticiones en todas las direcciones IP
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
85
o especificar ciertas
Nmero de puerto:
Es el nmero de puerto que usar el servidor WEB para escuchar las
peticiones WEB. Por defecto ISA Server escucha en el puerto 80 por
las peticiones HTTP, pero esta configuracin puede ser modificada.
Tambin, se puede habilitar el escuchador web para atender las
peticiones SSL (el puerto por defecto es 443). Si escoge SSL, el
certificado apropiado debera estar instalado en la computadora que
ejecuta ISA Server entonces la computadora que ejecuta ISA Server
puede autentificar y validar al cliente.
Escoge
esta
configuracin
opcin
Pestaas redes
Seleccione el escuchador IP
Pestaas preferencia
Autentificacin
Configuraciones avanzada
CIBERTEC
CARRERAS PROFESIONALES
86
Configura
las
opciones
autentificacin RSA SecureID.
de
Explicacin
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
87
CIBERTEC
CARRERAS PROFESIONALES
88
Opcin de configuracin
Explicacin
Accin
Trfico
Trfico origen
Trfico destino
Redes
Horario
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
89
Categora
Opcin
configuracin
CIBERTEC
CARRERAS PROFESIONALES
90
puerto alternativo en el
servidor publicado
Puertos origen
Puertos origen
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
91
Resumen
La publicacin web es una manera segura y flexible para publicar el contenido
de los servidores web internos hacia internet.
Las reglas de publicacin web mapean las peticiones entrantes hacia los
servidores web apropiados localizados en la red interna o perimtrica.
A menos que configure un escuchador web para las peticiones entrantes, ISA
Server descarta todas las peticiones web entrantes antes de aplicar las reglas
de publicacin servidor web.
Si selecciona la opcin para requerir autentificacin, todos los usuarios tienen
que autentificarse usando uno de los mtodos de autentificacin especificado
en las peticiones web entrantes.
Una regla de publicacin servidor para un protocolo particular es,
esencialmente, un mapeo NAT reverso.
CIBERTEC
CARRERAS PROFESIONALES
92
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
93
UNIDAD DE
APRENDIZAJE
4
TEMA
11
Saber configurar las conexiones VPN para brindar acceso seguro a equipos o
redes remotas.
TEMARIO
ACTIVIDADES PROPUESTAS
Aprenden a configurar redes virtuales con ISA Server.
CIBERTEC
CARRERAS PROFESIONALES
94
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
95
CIBERTEC
CARRERAS PROFESIONALES
96
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
97
CIBERTEC
CARRERAS PROFESIONALES
98
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
99
CIBERTEC
CARRERAS PROFESIONALES
100
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
101
Resumen
CIBERTEC
CARRERAS PROFESIONALES
102
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
103
UNIDAD DE
APRENDIZAJE
4
TEMA
12
IMPLEMENTACIN
SERVER
DEL
CACHING
DE
ISA
TEMARIO
Configurar las propiedades generales de Cach.
Configurar Reglas de Cach.
Configurar trabajos de descarga de contenido.
ACTIVIDADES PROPUESTAS
Identifican y configuran los servicios de cache para el uso adecuado
del ancho de banda que permite la conexin a Internet.
CIBERTEC
CARRERAS PROFESIONALES
104
ISA Server 2006 proporciona acceso seguro y controlado entre redes y sirve de
proxy de almacenamiento en cach de web ofreciendo capacidades de rpida
respuesta web y de descarga.
El almacenamiento en cach de los objetos ms usados proporciona a los
usuarios el contenido web ms actualizado, ISA Server determina,
automticamente, que sitios Web son los ms usados y con qu frecuencia se
debe actualizar su contenido en funcin del tiempo que lleva un objeto en la cach
y del momento en que se consult por ltima vez. ISA Server puede cargar de
antemano contenido Web en la cach durante perodos de poco uso de la red sin
necesidad de la intervencin del administrador de red.
Puede cargar de antemano la cach con un sitio Web completo segn una
programacin definida. Las descargas programadas aseguran que el contenido de
la cach es el ms actualizado para cada usuario al tiempo que permiten que el
contenido de los servidores Web sin conexin est disponible para los usuarios.
4.4.1 Configurar las propiedades generales de Cache.
1. En Microsoft Internet Security and Acceleration Server 2006
management console, expanda el nombre del servidor, luego
expanda Configuration, seleccione Cache.
2. En el panel de Tasks, haga clic en la opcin Define Cache Drives
(enable caching).}
3.
4.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
105
CIBERTEC
CARRERAS PROFESIONALES
106
Resumen
ISA Server 2006 proporciona acceso seguro y controlado entre redes y sirve
de proxy de almacenamiento en cache de web ofreciendo capacidades de
rpida respuesta web y de descarga.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
107
UNIDAD DE
APRENDIZAJE
4
TEMA
13
MONITOREO DE ISA SERVER Y
COPIA DE SEGURIDAD
LOGRO DE LA UNIDAD DE APRENDIZAJE
TEMARIO
ACTIVIDADES PROPUESTAS
CIBERTEC
CARRERAS PROFESIONALES
108
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
109
CIBERTEC
CARRERAS PROFESIONALES
110
Clonar un servidor:
Se puede exportar la configuracin de ISA Server desde una computadora
a otra computadora. Por ejemplo, despus de configurar un ISA Server en
la computadora de un departamento, se puedes exportar la configuracin a
un archivo .XML. Luego podemos importar esta configuracin a otra
computadora en otro departamento.
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
111
CIBERTEC
CARRERAS PROFESIONALES
112
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
113
Resumen
Monitoreo del Visor de Eventos:
Use el visor de eventos para obtener informacin acerca de los servicios que
fallan, aplicaciones con errores, y advertencias cuando los recursos del
sistema.
Revise las alertas de ISA Server
Estas alertas entregan informacin acerca de la condicin de los servicios y los
errores de ISA Server.
Monitoreo de la conectividad de los servicios de red:
ISA Server, entrega la opcin para configurar el monitoreo de conectividad
entre el ISA Server y otros servidores.
Principales ventajas de importar y exportar la configuracin del servidor:
1. Clonar un servidor
2. Guardar la configuracin parcial
3. Enviar una configuracin para solucionar problemas
4. Retorno a la configuracin antigua
ISA Server, tambin, incluye caractersticas de copia de seguridad y
restauracin que nos permiten guardar y restaurar la informacin de la
configuracin del servidor.
CIBERTEC
CARRERAS PROFESIONALES