universidad Tecnolgica de El Salvador

universidad Tecnolgica de El SalvadorInternet II

Prctica de laboratorio

Unidad 2

Subtema: INSTALACIN Y CONFIGURACIN DE ISA SERVER 2006 EN WINDOWS SERVER 2003

Objetivos

Instalar de ISA Server 2006 Proteger los recursos de la red interna mediante el control del trfico entrante y saliente. Recursos a utilizarLista los recursos de Hardware a utilizar

PC con procesador Pentium III a 733 MHz o superior.

512 megabytes (MB) de RAM o ms recomendada.

Particin local de 150 MB formateado NTFS; se requiere espacio adicional para habilitar contenido cache Web.Lista los recursos de Software a utilizar

Microsoft Windows Server 2003 (Edition Standard o Enterprise) Tiempo estimado para la prctica: 40 minutosPrcticas previas sugeridas

Instalacin de Windows 2003 ServerInformacin bsica sobre ISA SERVER 2006ISA Server 2006 es un gateway integrado de seguridad perimetral que contribuye a la proteccin del un entorno de TI frente a amenazas procedentes de Internet, y adems ofrece a los usuarios un acceso remoto rpido y seguro a sus aplicaciones y datos corporativos. ISA Server 2006 puede utilizarse en tres escenarios principales de uso: Publicacin segura de aplicaciones: Esta funcionalidad de ISA Server 2006 permite que las organizaciones puedan disponer de acceso a sus servidores Exchange, SharePoint u otras aplicaciones Web de forma segura desde fuera de la red corporativa.Gateway de interconexin para redes de oficinas: Las organizaciones pueden utilizar ISA Server 2006 como gateway para enlace de oficinas remotas, facilitando su conexin y seguridad, y aprovechando al mximo el ancho de banda disponible.Proteccin del acceso a Internet: Este servicio de ISA Server 2006 permite proteger los entornos corporativos frente a amenazas basadas en tecnologas de Internet, procedentes del exterior o de la propia red corporativa.Desarrollo de la gua

INSTALACIN ISA SERVER 2006

Insertar el CD de instalacin de ISA Server 2006 en la unidad de CD. Aparecer la ventana de Inicio.

Aceptamos los trminos de la licencia y Siguiente.

Luego, el Asistente, nos pide informacin del cliente (la persona que va a usar ISA Server). Y el nmero de serie del producto.

Ahora, el Asistente de Instalacin, nos pide informacin acerca del escenario en el que va a ser implementado el servidor ISA. Activamos la opcin Instalar los servicios de servidor ISAy el Servidor de almacenamiento de configuracin

En la siguiente imagen, podemos ver la descripcin de los componentes que se instalarn y el requisito de espacio en disco para cada caracterstica. Si deseas, puedes cambiarla, de lo contrario presionas Siguiente.

Damos clic en Siguiente, ya que este es el primer servidor de Almacenamiento de Configuracin para nuestra nueva empresa.

Despus de haber realizado esto, nos aparece una advertencia relacionada con la Nueva Empresa y el Servidor, la pasamos por alto porque este es nuestro primer Servidor.

Damos sobre Siguiente.

En esta pantalla pregunta cual es la red interna Aqu hay que especificar que de todas las direcciones IP que van a pasar a travs de el cuales va a considerar internas. Hacemos clic en el botn agregar

Aqu seleccionamos el adaptador de red asociado con la red que se quiere configurar. En este caso chequeamos el adaptador Interno.

Y el toma la posicin de enrutamiento que hay en ese momento.Luego hacemos clic en OK

Hacemos clic en siguiente

En la siguiente ventana especificamos si el Servidor ISA aceptar conexiones de clientes de Firewall con cifrado no compatible, as como Windows 98, Millenium y NT. Y Aceptar. Chequear la opcin de permitir clientes que no estn encriptados que hagan conexiones al firewall

Clic en siguiente

El Wizzard, nos informa que algunos servicios en el equipo local se reiniciarn y otros se deshabilitarn a causa de la instalacin. Presionamos Siguiente.

Y luego le damos Instalar

El proceso de instalacin no tarda mucho tiempo. El ISA cuando queda instalado por defecto, bloquea todo el trfico del ISA hacia la LAN y hacia internet, a acepcin de unas reglas que permiten autenticarse con el Active Directori que son las reglas de Sistema, que son las nicas que estn activas y que permiten trfico desde el ISA hacia la LAN.

Terminada la instalacin le hacemos clic en finalizar.Ahora vamos a abrir la consola de administracin del ISAClic en botn Inicio, Todos los programas, Microsoft ISA Server, ISA Server Management.

Primeros pasos para la configuracin

MONITOREO

Al ser iniciado nuestro ISA Server, podemos ver la siguiente ventana, desde la cual administramos y configuramos este, el Servidor Corporativo. Una de las caractersticas de ISA Server, es que viene con todas las conexiones, comunicaciones y aplicaciones denegadas por defecto, por este motivo se hace mucho ms fcil de administrar y configurar. El administrador solo tendra que abrir y dar acceso a los puertos, equipos y usuarios necesarios. ISA Server 2006 no deja configurar o cambiar la Directiva de Empresa Predeterminada, lo que significa que esta regla siempre ser la misma, si lo que queremos es permitir todo por defecto debemos realizar esto en cada Matriz de la empresa; as la regla de permitir se leer primero que la regla predeterminada.

Para hacer esto, en el rbol de la consola de ISA Server, seleccionamos el nombre de la matriz y en el Wizard que aparece a nuestro lado derecho, damos clic en Configurar propiedades de la matriz.CONSOLA DE ADMINISTRACIN DE ISA SERVERAl ser iniciado nuestro ISA Server, podemos ver la siguiente ventana, desde la cual administramos y configuramos este, el Servidor Corporativo.

En firewall Policy, hay una regla que viene por defecto: Se llama Defaul Rule. La accin es Denegar todos los protocolos, desde todas las redes, incluyendo el Local Host hacia todas las redes, incluyendo el Local Host, dirigidas a todos los usuarios, todo el tiempo, y todo el contenido. Esta regla es muy descriptiva no deja pasar absolutamente nada, todo el trfico esta denegado por defecto.La regla que viene por defecto todo el trfico esta siendo negado.

CREACION DE REGLAS PARA PERMITIR HTTP

Haga clic en Firewall Policy

Luego hacer clic en regla de acceso, Create Access Rule

En el Asistente para nueva regla, se debe especificar un nombre para la nueva regla, sta debe ser clara para no tener complicaciones en el reconocimiento de la misma.

En la siguiente ventana se debe especificar la accin que se ejecutar (denegar o permitir), en este caso seleccione Permitir (Allow)

Ahora se configuran los protocolos que se aplican para esta regla.

Existen tres opciones en Esta regla se aplica a. Hacer clic en la lista desplegable

En agregar protocolo, hacer clic en Web y luego en HTTP y HTTPS

Clic en el botn Agregar y Cerrar

En la siguiente ventana habr que especificar desde donde va a venir el trficoHacer clic en Agregar

Add

Ahora se debe hacer clic en red internaDespus en Add (agregar) y por ultimo en Close (Cerrar).

En la siguiente ventana pregunta para donde va a ir ese trafico. Se debe hacer clic en Add (Agregar)

Hacemos clic en Redes y Externa.

Y luego en el botn Agregar y Cerrar.

Haga clic en el botn Siguiente

Esta regla se aplicara a todos los usuarios.

Haga clic en el botn Siguiente

El Wizard informa que se ha completado satisfactoriamente la nueva regla.

Haga clic en el botn Finalizar.

En esta ventana se debe hacer clic en el botn Apply (Aplicar)

Haga clic en OK

PROXY CACHEAhora se debe configurar el servidor ISA como Proxy Cach, para esto hay que especificar el tamao de cach en la unidad de disco donde se encuentra instalado el nuestro Server. Para esto proceda as:

Clic en + Nombre del Equipo, Clic en + en Configuracin, Clic en + en Cach, y en la pestaa de Unidades de Cach damos clic derecho + Propiedades:

En la ventana que aparece es donde se edita el tamao en MB del espacio en disco que va a ser utilizado para guardar la informacin HTTP. Y Aceptar:

Ahora dirigirse al rbol de ISA, seleccione Redes, y en la pestaa Redes, presione clic derecho + Propiedades en la red interna:

En la ventana de Propiedades, ubicarse en la pestaa Proxy Web y verificar que el protocolo HTTP este habilitado, edite el puerto por el que se quiere que escuche el Servidor Proxy, escoja el puerto por defecto: 3128. Aplicar y Aceptar:

Luego, dirigirse a las Directivas de Firewall, y ubicarse en la regla que especifica que el Host Local (servidor ISA) puede navegar, seleccionamos clic derecho + configurar HTTP.

Aparece una ventana en la que se puede seleccionar las extensiones que desea bloquear o permitir:Seleccionamos Agregar:En este ejemplo vamos a denegar la descarga de las extensiones .mp3 (msica), .jpg (imgenes) y.avi. (Videos).Digitamos las extensiones, con una breve descripcin, y damos clic en el botn OK.

Aparecer la siguiente ventana, haga clic en el botn Aplicar y luego en el botn Aceptar.Si tambin queremos denegar o permitir el acceso del Host Local hacia algunas URL`s, en el Wizard de Herramientas ubicado en Directivas de Firewall, seleccionamos Objetos de red y nos ubicamos en Conjunto de direcciones URL. Presionamos clic derecho + Propiedades y escogemos Nuevo conjunto de direcciones URL:

Digite un nombre y luego incluya las direcciones de pginas que desea bloquear. Despus haga clic en el botn Add (Agregar), puede digitar una descripcin opcional.

Al finalizar haga clic en el botn OKPara finalizar haga un clic en el botn Apply (Aplicar).Al finalizar ISA mostrar una ventana informando que los cambios se aplicaron correctamente. Haga clic en aceptar. Minimice la consola de ISA e intente descargar archivos con las extensiones que se han bloqueado. Deber mostrar un mensaje de error como el siguiente:

Cdigo de error: 500 Error del servidor interno. El cambio fue rechazado por el filtro HTTP. Pngase en contacto con el administrador del servidor ISA. ConclusinCONCLUSION La implementacin en Software de Seguridad Perimetral, deben realizarse por personas con aptitudes en el mundo de la seguridad informtica.

ISA Server es una suite de herramientas de seguridad muy usada mundialmente.

Internet Security and Acceleration Server (ISA) 2006 fue desarrollado por Microsoft Corporation.

ISA Server es una herramienta por Software, que al ser desarrollada por Microsoft se caracteriza por ser privativa.

RECOMENDACIONESCuando se instala ISA Server, no conectarlo directamente a internet hasta que este instalado, porque sino en cuestin de minutos estar la mquina con troyanos, virus. Configurar la tarjeta externa, pegarla aun Switch sin acceso a internet.

Ejercicio:

1. Desde otro PC haga un ping al ISA Server2. Intente navegar desde el servidor, visite una pgina de mensajera instantnea. Qu ocurre?3. Cree una regla que acepte Ping desde la red LAN a Firewall4. Asigne una regla de acceso para 2 usuarios de la LAN que tengan permiso a todo, ya que estos sern los administradores de la red.5. Cree una regla que Bloqueando Mensajera Instantnea con ISA Server 20066. Por el puerto 80 no solo viaja trfico HTTP puro, sino que puede disfrazar otras comunicaciones, tales como: escrbalas.

Hacer clic en el vnculo Instalar ISA Server 2006.

Clic en el botn agregar Adaptador

Esta ventana muestra el rango que se va a agregar, y la direccin del broadcats que la agrega automticamente.

Si existieran otros rangos internos se tendran que agregar haciendo clic en botn agregar rango.

Hacemos clic en OK. Y continuamos con la instalacin, y luego en siguiente.

Hacemos clic en el botn siguiente

Ctedra de Redes | Escuela de Informtica1