Universidad Tecnológica de El Salvador Internet II

Práctica de laboratorio
Unidad 2
Subtema: INSTALACIÓN Y CONFIGURACIÓN DE ISA SERVER 2006
EN WINDOWS SERVER 2003

Objetivos

• Instalar de ISA Server 2006

• Proteger los recursos de la red interna mediante el control del tráfico

entrante y saliente.

Recursos a utilizar

Lista los recursos de Hardware a utilizar

• PC con procesador Pentium III a 733 MHz o superior.

• 512 megabytes (MB) de RAM o más recomendada.

• Partición local de 150 MB formateado NTFS; se requiere espacio

adicional para habilitar contenido cache Web.

Lista los recursos de Software a utilizar

• Microsoft Windows Server 2003 (Edition Standard o Enterprise)

Tiempo estimado para la práctica: 40 minutos

Prácticas previas sugeridas

Cátedra de Redes | Escuela de Informática 1
 Universidad Tecnológica de El Salvador Internet II

• Instalación de Windows 2003 Server

Información básica sobre ISA SERVER 2006

ISA Server 2006 es un gateway integrado de seguridad perimetral que

contribuye a la protección del un entorno de TI frente a amenazas procedentes

de Internet, y además ofrece a los usuarios un acceso remoto rápido y seguro a

sus aplicaciones y datos corporativos. ISA Server 2006 puede utilizarse en tres

escenarios principales de uso:

Publicación segura de aplicaciones: Esta funcionalidad de ISA Server 2006

permite que las organizaciones puedan disponer de acceso a sus servidores

Exchange, SharePoint u otras aplicaciones Web de forma segura desde fuera

de la red corporativa.

Gateway de interconexión para redes de oficinas: Las organizaciones

pueden utilizar ISA Server 2006 como gateway para enlace de oficinas remotas,

facilitando su conexión y seguridad, y aprovechando al máximo el ancho de

banda disponible.

Protección del acceso a Internet: Este servicio de ISA Server 2006 permite

proteger los entornos corporativos frente a amenazas basadas en tecnologías

de Internet, procedentes del exterior o de la propia red corporativa.

Cátedra de Redes | Escuela de Informática 2

 Universidad Tecnológica de El Salvador Internet II

Desarrollo de la guía

INSTALACIÓN ISA SERVER 2006

Insertar el CD de instalación de ISA Server 2006 en la unidad de CD. Aparecerá

la ventana de Inicio.

Hacer clic en el vínculo Instalar

ISA Server 2006.

Cátedra de Redes | Escuela de Informática 3

 Universidad Tecnológica de El Salvador Internet II

Hacemos clic en el botón

siguiente

Aceptamos los términos de la licencia y Siguiente.

Luego, el Asistente, nos pide información del cliente (la persona que va a usar
ISA Server). Y el número de serie del producto.

Cátedra de Redes | Escuela de Informática 4

 Universidad Tecnológica de El Salvador Internet II

Ahora, el Asistente de Instalación, nos pide información acerca del escenario en

el que va a ser implementado el servidor ISA. Activamos la opción Instalar los
servicios de servidor ISAy el Servidor de almacenamiento de configuración

En la siguiente imagen, podemos ver la descripción de los componentes que se

instalarán y el requisito de espacio en disco para cada característica. Si deseas,
puedes cambiarla, de lo contrario presionas Siguiente.
Cátedra de Redes | Escuela de Informática 5
 Universidad Tecnológica de El Salvador Internet II

Damos clic en Siguiente, ya que este es el primer servidor de Almacenamiento

de Configuración para nuestra nueva empresa.

Después de haber realizado esto, nos aparece una advertencia relacionada con
la Nueva Empresa y el Servidor, la pasamos por alto porque este es nuestro
primer Servidor.

Cátedra de Redes | Escuela de Informática 6

 Universidad Tecnológica de El Salvador Internet II

Damos sobre Siguiente.

En esta pantalla pregunta cual es la red interna Aquí hay que especificar que de
todas las direcciones IP que van a pasar a través de el cuales va a considerar
internas. Hacemos clic en el botón agregar

Cátedra de Redes | Escuela de Informática 7

Universidad Tecnológica de El Salvador Internet II

Cátedra de Redes | Escuela de Informática 8

 Universidad Tecnológica de El Salvador Internet II

Clic en el botón agregar Adaptador

Aquí seleccionamos el
adaptador de red
asociado con la red que
se quiere configurar. En
este caso chequeamos el
adaptador Interno.

Y el toma la posición de
enrutamiento que hay en
ese momento.

Luego hacemos clic en

OK

Cátedra de Redes | Escuela de Informática 9

 Universidad Tecnológica de El Salvador Internet II

Esta ventana muestra el rango que se

va a agregar, y la dirección del
broadcats que la agrega
automáticamente.

Si existieran otros rangos internos se

tendrían que agregar haciendo clic en
botón agregar rango.

Hacemos clic en OK. Y continuamos

con la instalación, y luego en siguiente.

Hacemos clic en siguiente

Cátedra de Redes | Escuela de Informática 10

 Universidad Tecnológica de El Salvador Internet II

En la siguiente ventana especificamos si el Servidor ISA aceptará conexiones

de clientes de Firewall con cifrado no compatible, así como Windows 98,
Millenium y NT. Y… Aceptar. Chequear la opción de permitir clientes que no
estén encriptados que hagan conexiones al firewall

Clic en siguiente
El Wizzard, nos
informa que algunos
servicios en el equipo
local se reiniciarán y
otros se
deshabilitarán a
causa de la
instalación.
Presionamos
Siguiente.

Cátedra de Redes | Escuela de Informática 11

 Universidad Tecnológica de El Salvador Internet II

Y luego le damos Instalar

El proceso de instalación no tarda mucho tiempo. El ISA cuando queda

instalado por defecto, bloquea todo el tráfico del ISA hacia la LAN y hacia
internet, a acepción de unas reglas que permiten autenticarse con el Active
Directori que son las reglas de Sistema, que son las únicas que están activas y
que permiten tráfico desde el ISA hacia la LAN.

Cátedra de Redes | Escuela de Informática 12

 Universidad Tecnológica de El Salvador Internet II

Terminada la instalación le hacemos clic en finalizar.

Ahora vamos a abrir la consola de administración del ISA
Clic en botón Inicio, Todos los programas, Microsoft ISA Server, ISA Server
Management.

Primeros pasos para la configuración

Cátedra de Redes | Escuela de Informática 13

 Universidad Tecnológica de El Salvador Internet II

MONITOREO

Al ser iniciado nuestro ISA Server, podemos ver la siguiente ventana, desde la
cual administramos y configuramos este, el Servidor Corporativo.
Una de las características de
ISA Server, es que viene con
todas las conexiones,
comunicaciones y aplicaciones
denegadas por defecto, por
este motivo se hace mucho
más fácil de administrar y
configurar. El administrador
solo tendría que abrir y dar acceso a los puertos, equipos y usuarios
necesarios. ISA Server 2006 no deja configurar o cambiar la Directiva de
Empresa Predeterminada, lo que significa que esta regla siempre será la
misma, si lo que queremos es permitir todo por defecto debemos realizar esto
en cada Matriz de la empresa; así la regla de permitir se leerá primero que la
regla predeterminada.

Cátedra de Redes | Escuela de Informática 14

 Universidad Tecnológica de El Salvador Internet II

Para hacer esto, en el árbol de la consola de ISA Server, seleccionamos el

nombre de la matriz y en el Wizard que aparece a nuestro lado derecho, damos
clic en Configurar propiedades de la matriz.

CONSOLA DE ADMINISTRACIÓN DE ISA SERVER

Al ser iniciado nuestro ISA Server, podemos ver la siguiente ventana, desde la
cual administramos y configuramos este, el Servidor Corporativo.

En firewall Policy, hay una regla que

viene por defecto: Se llama Defaul
Rule. La acción es Denegar todos
los protocolos, desde todas las
redes, incluyendo el Local Host
hacia todas las redes, incluyendo el
Local Host, dirigidas a todos los
usuarios, todo el tiempo, y todo el
contenido. Esta regla es muy
descriptiva no deja pasar
absolutamente nada, todo el tráfico
esta denegado por defecto.
La regla que viene por defecto todo
el tráfico esta siendo negado.

Cátedra de Redes | Escuela de Informática 15

 Universidad Tecnológica de El Salvador Internet II

CREACION DE REGLAS PARA PERMITIR HTTP

Haga clic en Firewall Policy

Luego hacer clic en regla de acceso, Create Access Rule

Cátedra de Redes | Escuela de Informática 16

 Universidad Tecnológica de El Salvador Internet II

En el Asistente para nueva regla, se debe especificar un nombre para la nueva

regla, ésta debe ser clara para no tener complicaciones en el reconocimiento de
la misma.

En la siguiente ventana se debe especificar la acción que se ejecutará

(denegar o permitir), en este caso seleccione Permitir (Allow)

Cátedra de Redes | Escuela de Informática 17

 Universidad Tecnológica de El Salvador Internet II

Ahora se configuran los

protocolos que se aplican
para esta regla.

Existen tres opciones en

Esta regla se aplica a.

Hacer clic en la lista

desplegable

En agregar protocolo, hacer clic en

Web y luego en HTTP y HTTPS

Clic en el botón Agregar y Cerrar

Cátedra de Redes | Escuela de Informática 18

 Universidad Tecnológica de El Salvador Internet II

En la siguiente ventana habrá que especificar desde donde va a venir el tráfico

Hacer clic en Agregar

Add…

Ahora se debe hacer clic en red interna

Después en Add (agregar) y por ultimo

en Close (Cerrar).

Cátedra de Redes | Escuela de Informática 19

 Universidad Tecnológica de El Salvador Internet II

En la siguiente ventana pregunta para donde va a ir ese trafico. Se debe hacer

clic en Add… (Agregar)

Hacemos clic en Redes y Externa.

Y luego en el botón Agregar y Cerrar.

Haga clic en el botón Siguiente

Cátedra de Redes | Escuela de Informática 20

 Universidad Tecnológica de El Salvador Internet II

Esta regla se aplicara a

todos los usuarios.

Haga clic en el botón

Siguiente

El Wizard informa que se ha completado satisfactoriamente la nueva regla.

Haga clic en el botón Finalizar.

Cátedra de Redes | Escuela de Informática 21

 Universidad Tecnológica de El Salvador Internet II

En esta ventana se debe hacer clic en el botón Apply (Aplicar)

Haga clic en OK

Cátedra de Redes | Escuela de Informática 22

 Universidad Tecnológica de El Salvador Internet II

PROXY CACHE
Ahora se debe configurar el servidor ISA como Proxy Caché, para esto hay que

especificar el tamaño de caché en la unidad de disco donde se encuentra

instalado el nuestro Server. Para esto proceda así:

Clic en “+” Nombre del Equipo, Clic en “+” en Configuración, Clic en “+” en

Caché, y en la pestaña de Unidades de Caché damos clic derecho +

Propiedades:

En la ventana que aparece es donde se

edita el tamaño en MB del espacio en

disco que va a ser utilizado para guardar

la información HTTP. Y Aceptar:

Cátedra de Redes | Escuela de Informática 23

 Universidad Tecnológica de El Salvador Internet II

Ahora dirigirse al Árbol de ISA, seleccione Redes, y en la pestaña Redes,

presione clic derecho + Propiedades en la red interna:

En la ventana de Propiedades, ubicarse

en la pestaña “Proxy Web” y verificar

que el protocolo HTTP este habilitado,

edite el puerto por el que se quiere que

escuche el Servidor Proxy, escoja el

puerto por defecto: 3128. Aplicar y

Aceptar:

Cátedra de Redes | Escuela de Informática 24

 Universidad Tecnológica de El Salvador Internet II

Luego, dirigirse a las Directivas de Firewall, y ubicarse en la regla que

especifica que el Host Local (servidor ISA) puede navegar, seleccionamos clic

derecho + configurar HTTP.

Aparece una ventana en la que se

puede seleccionar las extensiones

que desea bloquear o permitir:

Seleccionamos Agregar:

Cátedra de Redes | Escuela de Informática 25

 Universidad Tecnológica de El Salvador Internet II

En este ejemplo vamos a denegar

la descarga de las extensiones

“.mp3” (música), “.jpg”

(imágenes) y.”avi”. (Videos).

Digitamos las extensiones, con

una breve descripción, y damos

clic en el botón OK.

Aparecerá la siguiente ventana, haga clic en el botón Aplicar y luego en el

botón Aceptar.

Cátedra de Redes | Escuela de Informática 26

 Universidad Tecnológica de El Salvador Internet II

Si también queremos denegar o permitir el acceso del Host Local hacia algunas

URL`s, en el Wizard de Herramientas ubicado en Directivas de Firewall,

seleccionamos Objetos de red y nos ubicamos en Conjunto de direcciones

URL. Presionamos clic derecho + Propiedades y escogemos Nuevo conjunto

de direcciones URL…:

Digite un nombre y luego incluya las

direcciones de páginas que desea

bloquear.

Después haga clic en el botón Add

(Agregar), puede digitar una

descripción opcional.

Al finalizar haga clic en el botón OK

Cátedra de Redes | Escuela de Informática 27

 Universidad Tecnológica de El Salvador Internet II

Para finalizar haga un clic en el

botón Apply (Aplicar).

Al finalizar ISA mostrará una

ventana informando que los

cambios se aplicaron

correctamente. Haga clic en aceptar. Minimice la consola de ISA e intente

descargar archivos con las extensiones que se han bloqueado. Deberá mostrar

un mensaje de error como el siguiente:

Código de error: 500 Error del servidor interno. El cambio fue rechazado por el

filtro HTTP. Póngase en contacto con el administrador del servidor ISA.

Conclusión

CONCLUSION

• La implementación en Software de Seguridad Perimetral, deben

realizarse por personas con aptitudes en el mundo de la seguridad

informática.

• ISA Server es una suite de herramientas de seguridad muy usada

mundialmente.

• Internet Security and Acceleration Server (ISA) 2006 fue desarrollado por

Microsoft Corporation.

• ISA Server es una herramienta por Software, que al ser desarrollada por

Microsoft se caracteriza por ser privativa.

Cátedra de Redes | Escuela de Informática 28

 Universidad Tecnológica de El Salvador Internet II

RECOMENDACIONES

Cuando se instala ISA Server, no conectarlo directamente a internet hasta que

este instalado, porque sino en cuestión de minutos estará la máquina con

troyanos, virus. Configurar la tarjeta externa, pegarla aun Switch sin

acceso a internet.

Ejercicio:

1. Desde otro PC haga un ping al ISA Server

2. Intente navegar desde el servidor, visite una página de mensajería

instantánea. ¿Qué ocurre?

3. Cree una regla que acepte Ping desde la red LAN a Firewall

4. Asigne una regla de acceso para 2 usuarios de la LAN que tengan

permiso a todo, ya que estos serán los administradores de la red.

5. Cree una regla que Bloqueando Mensajería Instantánea con ISA Server

2006

6. Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar

otras comunicaciones, tales como: escríbalas.

Cátedra de Redes | Escuela de Informática 29