firewalls win

Dirección General de Servicios de Cómputo Académico

SEGURIDAD PERIMETRAL

““FFIIRREEWWAALLLLSS EENN WWIINNDDOOWWSS””

FIREWALLS EN WINDOWS

Primera Edición

COMPILACIÓN

ING. JESÚS RAMÓN JIMÉNEZ ROJAS LUIS FERNANDO FUENTES SERRANO

ING. JUAN LÓPEZ MORALES LUIS ALBERTO ARELLANO FIGUEROA

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO

MÉXICO 2005

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Rector Juan Ramón de la Fuente Secretario General Enrique del Val Blanco Director General de Servicios De Cómputo Académico Dr. Alejandro Pisanty Baruch Directora de Cómputo para la Investigación Dra. Genevieve Lucet Lagriffoul Jefe del Departamento de Seguridad en Cómputo Lic. Juan Carlos Guel López SEMINARIO ADMIN-UNAM “SEGURIDAD PERIMETRAL” Tema: Firewalls en Windows Editor Dirección General de Servicios de Cómputo Académico Dirección de Cómputo para la Investigación Número de la edición: Junio 2005. © 2005 Universidad Nacional Autónoma de México Esta edición y sus características son propiedad de la Universidad Nacional Autónoma de México. Ciudad Universitaria, México, DF Ni la totalidad ni parte de esta publicación puede reproducirse, registrarse o transmitirse en ninguna forma ni por ningún medio, sin la previa autorización escrita del editor. Impreso y hecho en México

Firewalls en Windows

Jesús Ramón Jiménez Rojas Luis Fernando Fuentes Serrano

Juan López Morales Departamento de Seguridad en Cómputo UNAM-CERT

DGSCA-UNAM [email protected]

[email protected], [email protected]

Luis Arellano Figueroa Instituto de Ingeniería

FI-UNAM [email protected]

Índice 1. Introducción............................................................................................................................ 2 1.1. Protección Avanzada. ......................................................................................................... 2 1.2. Facilidad de Uso................................................................................................................. 3 1.3. Mejoras en el funcionamiento. ........................................................................................... 3 1.4. Diferencias entre ISA Server 2000 y ISA Server 2004. ..................................................... 4 2. Requerimientos ....................................................................................................................... 4 2.1. Escalabilidad de ISA Server............................................................................................... 5 3. Instalación de ISA 2004.......................................................................................................... 6 3.1. Verificar la instalación de ISA Server 2004..................................................................... 17 3.2. Reforzando la seguridad del Servidor ISA Server 2004................................................... 18 3.3. Instalación del SP1 de ISA Server 2004 Edición Estándar .............................................. 18 3.4. Verificar la instalación del SP1 de ISA Server 2004........................................................ 22 4. Determinación de la pertenencia a dominios........................................................................ 22 4.1. Consolidación de la seguridad de la infraestructura de Windows.................................... 23 4.2. Funciones de servidor del servidor ISA ........................................................................... 24 5. Asignando funciones administrativas. .................................................................................. 25 5.1. Funciones y actividades.................................................................................................... 26 5.2. Permisos ........................................................................................................................... 26 5.3. Privilegios mínimos.......................................................................................................... 26 5.4. Inicio de sesión y configuración....................................................................................... 27 5.5. Listas de control de acceso discrecional........................................................................... 27 5.6. Reducción de la superficie de ataque ............................................................................... 27 5.7. Deshabilitar características del servidor ISA ................................................................... 28 6. Antes de filtrar paquetes en la red ........................................................................................ 28 7. Ahora sí hablemos un poco de reglas ................................................................................... 29 7.1. Elementos de una regla..................................................................................................... 30

Seminario Admin-UNAM "Seguridad Perimetral"

1______________________________________________________

Departamento de Seguridad en Cómputo/UNAM-CERT

7.2. Objetos de red................................................................................................................... 31 7.3. Conjunto de Redes............................................................................................................ 31 7.4. Controlar el acceso a Internet ........................................................................................... 31 7.5. Orden de reglas en ISA Server ......................................................................................... 31 8. Configurando la directiva http .............................................................................................. 32 9. Publicación de Web .............................................................................................................. 32 9.1. Publicando el servidor Web ............................................................................................. 33 9.2. Protocolo de puente .......................................................................................................... 34 9.3. Publicación de sitios Web con el mismo nombre de dominio.......................................... 35 9.4. Orden de reglas en la publicación. ................................................................................... 35 9.5. Filtrar contenido del Web................................................................................................. 35 10. Configuraciones de acceso a servicios en la red perimetral (Server publishing) ............. 36 10.1. Filtrado SMTP ............................................................................................................. 37 10.2. Funcionamiento de la publicación de servidor............................................................. 38 10.3. Uso de la regla de publicación de servidor .................................................................. 38 10.4. Publicación de servidores DNS.................................................................................... 38 10.5. Deshabilitar reglas........................................................................................................ 38 11. Publicación usando PAT (Port Address Translation)....................................................... 39 12. Monitoreo de la red .......................................................................................................... 40 13. Referencias ....................................................................................................................... 41

1. Introducción Internet Security and Acceleration Server (ISA) 2004 ofrece una protección avanzada a las organizaciones en dos aspectos críticos. Por un lado, se trata de un firewall que filtra no sólo la entrada de contenidos si no también examina a nivel de aplicación evitando de esta forma los ataques enmascarados. Y por otro lado, realiza las funciones de proxy y servidor Web caché, con lo que se optimiza el tráfico y la conexión a Internet logrando de esta forma una navegación más controlada y segura. En esta nueva versión Microsoft ha mejorado considerablemente la interfaz del producto, mucho más fácil de usar y rápido de implementar. Asimismo, cabe destacar su mayor capacidad administrativa con un sistema centralizado desde el que se gestiona el contenido de la VPN (red privada virtual) y de los accesos remotos de los usuarios. ISA server 2004 proporciona un avanzado firewall multicapas, VPNs y solución Web proxy y caché que puede ser usada para crear una conexión segura entre el Internet y la red de la compañía. Características de ISA Server 2004 A continuación se enumerar algunas de las características de ISA Server 2004 así como algunas diferencias importantes con la versión anterior.

1.1. Protección Avanzada. Uno de los beneficios de implementar ISA Server 2004 es que promociona una protección avanzada para la red. Estas son algunas de las características incluidas:


2______________________________________________________


• Inspección de paquetes por capas. ISA Server 2004 opera como un firewall que examina cada flujo de paquetes. La inspección incluye el filtrado de paquetes en la cual solo se examinan determinados paquetes, filtrado de todos los paquetes en la cual se examinan todos los paquetes y filtrado de aplicaciones en la cual se examinan las aplicaciones. Esta inspección multicapas ayuda a proteger servicios como Internet Information Server (IIS), Exchange Server, SharePoint y otros recursos de la red interna contra intrusos, virus y uso no autorizado.

• Filtrado en la capa de aplicación. Muchas de las nuevas amenazas ocurren en la capa de

aplicación. ISA Server 2004 proporciona un filtrado avanzado en la capa de aplicación que habilita el tráfico complejo de las aplicaciones para el Internet mientras asegura altos niveles de seguridad, rendimiento y protección contra este tipo de ataques.

• Unifica el firewall y el servidor de VPN. ISA Server 2004 promociona un único punto de

administración para configurar acceso a la VPN de la red interna e integra la administración y funcionalidad del firewall y la VPN. Como servidor de VPN, ISA Server 2004 es la VPN del punto final lo que significa que esta puede inspeccionar los paquetes de la red y habilitar la cuarentena para VPNs.

• Multi-Redes. ISA Server 2004 soporta múltiples redes y habilita la configuración de la red y las

reglas del firewall que filtran el flujo del tráfico entre todas las redes.

1.2. Facilidad de Uso ISA Server 2004 incluye características que hacen su uso más fácil:

• Eficiencia en la administración de herramientas: La consola de administración de ISA Server es fácil de aprender y proporciona una interfaz única para la configuración y el monitoreo. ISA Server también proporciona una única base de reglas, así que todos las reglas del firewall pueden ser vistas y modificadas en una sola locación. Esto facilita el uso de éste para administradores de seguridad que se inicien en el desarrollo de ISA Server 2004, evitando con esto brechas de seguridad debido a malas configuraciones.

• Plantilla de red. ISA Server proporciona platillas de red que hace la implementación de estas

algo fácil dentro de ambientes IT como departamental o divisiones de oficinas. Múltiples reglas de Firewall pueden ser configuradas para aplicar plantillas de red.

• Integración del producto. La integración de ISA Server con el servicio de directorio de

Microsoft Windows Active Directory, soluciones de terceros en VPNs, y otros productos existentes de seguridad simplifican la tarea de asegurar las aplicaciones corporativas, usuarios, y datos.

• Facilidad de uso para los clientes. Para integrar ISA Server con la infraestructura de Acive

Directory o para usar el servicio RADIUS (Remote Authentication Dial-In User Service) para proporcionar autentificación, en los cuales se puede hacer transparente el uso de ISA Server 2004. Para clientes externos, ISA Server proporciona una firma única capaz de autentificar múltiples estándares del Internet.

1.3. Mejoras en el funcionamiento. ISA Server 2004 proporciona un acceso rápido y seguro para aplicaciones corporativas y datos, tal como Microsoft Exchange Server y servidores Web internos.


3______________________________________________________


• Optimizado para el funcionamiento. ISA Server esta diseñado para proporcionar un alto

funcionamiento en la infraestructura para habilitar tanto entradas como salidas de acceso a Internet.

• Funcionalidad Integrada. ISA Server proporciona una única solución integrada de servidor que

pone solo los servicios necesarios en la frontera de la red, incluyendo seguridad en el firewall, VPN y caché de Web.

• Escalabilidad. Con el crecimiento de la red, ISA Server soporta escalabilidad con una

arquitectura flexible de multi-red y opciones para desarrollar múltiples ISA Server, tanto en la misma locación de la compañía o a través de múltiples locaciones.

• Caché Web. ISA Server 2004 mejora el funcionamiento de la red y reduce el uso del ancho de

banda para acceso a Internet con caché Web, por lo que la información accedida de Internet con frecuencia es almacenada en el ISA Server.

1.4. Diferencias entre ISA Server 2000 e ISA Server 2004. ISA Server 2004 proporciona numerosas mejoras en la funcionalidad en comparación con ISA Server 2000, a continuación se mencionan algunas de estas:

• Soporte de múltiples redes. ISA Server 2004 soporta múltiples redes, cada una con distintas relaciones que la otra red. ISA Server 2000 soporta solo tres redes, la red interna definida por la tabla de dirección local (LAT), la red externa, y la red del perímetro (mejor conocida como zona desmilitarizada DMZ). ISA Server 2004 incluye una VPN y el colocar VPNs en cuarentena. Es posible configurar un ilimitado número de redes en ISA Server 2004.

• VPN e integración de cuarentena. ISA Server 2004 extiende Routing and Remote Access para

proporcionar acceso a VPNs. ISA Sever 2004 también agrega a esta versión la cuarentena a VPNS, la cual puede ser usada para proporcionar acceso limitado a la red para clientes VPN hasta que estos pasen un examen de seguridad.

2. Requerimientos

Requisitos mínimos

Procesador Pentium III a 500 MHz ó superior (ISA Server 2004 Standard Edition admite hasta cuatro CPU en un servidor)

Memoria 256 MB de RAM o más (se recomienda)

Disco duro Partición local con formato NTFS y 150 MB de espacio disponible en el disco duro; se requiere espacio adicional para el contenido de caché Web


4______________________________________________________


Sistema Operativo Microsoft Windows Server 2003 (Standard o Enterprise Edition), Microsoft Windows 2000 Server o Advanced Server with Service Pack 4 (SP4) ó Windows 2000 Datacenter Server. Nota: Para ISA Server 2004 Enterprise Edition, Windows Server 2003 (Standard or Enterprise Edition). • Si se instala ISA Server 2004 Standard Edition en un sistema operativo Windows 2000 Server, debe instalar lo siguiente: Service Pack 4 de Windows 2000 o una versión posterior, e Internet Explorer 6 o una versión posterior. • Si se usa la versión Windows 2000 Server o Advanced Server con Service Pack 4, debe instalar el hotfix especificado en el artículo 821887de Microsoft Knowledge Base. • Si se instala ISA Server en un servidor con Windows 2000, las siguientes

opciones no son soportadas: La configuración de L2TP (Layer 2 Tunneling Protocol) IPSec pre-

clave compartida no es soportada. El modo Cuarentena para clientes VPNs no es soportada cuando se usa

una política con RADIUS (Remote Authentication Dial-In User Service.)

Otros dispositivos • Adaptador de red compatible con el sistema operativo del equipo para comunicarse con la red interna; un adaptador de red adicional, módem o adaptador RDSI (ISDN) para cada red adicional conectada al equipo ISA Server • Unidad de CD-ROM o DVD-ROM • Monitor VGA o de resolución superior

• Teclado y Microsoft Mouse o dispositivo señalador compatible

http://www.microsoft.com/isaserver/evaluation/sysreqs/default.mspx Versión de evaluación de ISA Server en: http://www.microsoft.com/isaserver/evaluation/trial/isaevaldl.mspx http://www.microsoft.com/isaserver/evaluation/trial/default.mspx Además se requiere obtener el Internet Security and Acceleration (ISA) Server 2004 Standard Edition Service Pack 1 (SP1) http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=69c5d85c-5c80-473c-9cb4-60dda75d568d#filelist

2.1. Escalabilidad de ISA Server ISA Server puede ser escalable para soportar cualquier organización, por incremento del nivel del hardware en ISA Servers individuales o por implementación de múltiples ISA Servers. Los siguientes factores deben influir en una selección de la configuración del hardware:

• Ancho de Banda de la conexión de Internet. ISA Server esta diseñado para proporcionar una alta transmisión de datos, incluso si cada paquete es inspeccionado en las múltiples capas. En


5______________________________________________________


muchos casos, la cantidad de datos que se pueden transmitir por ISA Server excederán la cantidad de datos de la conexión a Internet.

• Configuración de las políticas de firewall. El número de reglas del firewall y la complejidad de

las reglas afectará al rendimiento del servidor. Por ejemplo aplicaciones avanzadas de filtrado requieren más recursos del servidor que filtrado de paquetes.

• Requerimientos de bitácoras. El nivel de registro de bitácoras requerido afectará los recursos del

servidor, particularmente en el espacio en disco duro. Si se tienen cientos de clientes conectados a través del servidor, y se tiene configurado un alto nivel de registro de bitácoras, se requerirá arriba de 10 gigabytes de disco para mantener los registros. Durante la propagación de ataques de virus y gusanos, el espacio requerido para los registros incrementará significativamente.

• Número y tipo de servidores publicados. Cuanto más servidores publicados en el ISA Server,

más recursos son necesarios. Esto es especialmente cierto si se publican sitios Web seguros debido a los recursos extras requeridos para cifrar y descifrar el tráfico con Secure Sockets Layer (SSL).

3. Instalación de ISA 2004. El siguiente paso consiste en instalar el software de ISA Server 2004. La instalación es un proceso relativamente simple, pero iremos siguiendo en detalle cada paso para asegurarnos de que se entienda adecuadamente todo cuanto sucede. Siga estos pasos para instalar el software de ISA Server 2004 en una máquina Windows Server 2003 con dos tarjetas de red:

1. Introduzca el CD de ISA Server Edición Estándar, si no tiene configurado el Autorun haga doble clic sobre el archivo isaautorun.exe. En caso de que se haya descargado el software de evaluación, haga doble clic sobre el archivo ejecutable. El proceso de instalación mostrará la siguiente pantalla, en la cual se debe hacer clic en YES (SI).

Si descargo la versión de evaluación se observará la siguiente imagen donde se observa el proceso de descompresión del archivo.


6______________________________________________________


2. En la página Microsoft Internet Security and Acceleration Server 2004 se encuentran 3 guías: Leer notas de la versión, Leer el manual de introducción y Leer la Guía de migración. Es recomendable leer estas guías para tener una mejor compresión de ISA Server. Finalmente, haga clic sobre el vínculo Instalar ISA Server 2004.


7______________________________________________________


3. Haga clic en Siguiente en la página Asistente para la instalación de Microsoft ISA Server 2004.

4. Seleccione la opción Acepto los términos del contrato de licencia en la página Contrato de licencia y haga clic en Siguiente.


8______________________________________________________


5. En la página Información del Cliente, introduzca su nombre y el de su organización en los cuadros de texto Nombre de usuario y Organización. Para el caso de las versiones de evaluación el Número de serie del producto se genera automáticamente. De clic en Siguiente.

6. En la página Tipo de Instalación, seleccione la opción Personalizada. Si no se desea instalar el software de ISA Server 2004 en el disco C:, pulse el botón Cambiar para modificar la ubicación de los archivos de programa en el disco duro. De clic en Siguiente.


9______________________________________________________


7. En la página Instalación Personalizada se pueden elegir los componentes a instalar. De forma predeterminada, se instalan Servicios de Firewall el cual controla el acceso y tráfico entre redes y Administración del servidor ISA que permite realizar una administración centralizada de ISA Server. Recurso compartido de instalación de cliente crea un recurso compartido para centralizar la instalación del cliente firewall y finalmente el componente Filtro de Mensajes, utilizado para controlar el paso de spam y archivos adjuntos de correo desde o hacia Internet, no se instala por defecto. Se necesitará instalar el servicio SMTP de IIS 6.0 en el firewall ISA Server 2004 antes de instalar el Filtro de Mensajes. De clic en Recurso compartido de instalación de cliente y seleccione Esta característica se instalará en la unidad de disco duro local. De clic en Siguiente.

8. En la página Red Interna, de clic en el botón Agregar. El concepto de red interna es diferente a como ISA Server 2000 utilizaba la LAT. En el caso de ISA Server 2004, la red interna contiene servicios de red de confianza con los cuales el firewall ISA Server 2004 debe comunicarse. Por ejemplo, los controladores de dominio del Active Directory, DNS, DHCP, clientes de servicios de terminal y otros. La Política de Sistema del firewall se aplica automáticamente a la red interna.


10______________________________________________________


9. En la página de configuración de Red Interna, de clic en el botón Seleccionar adaptador de red.


11______________________________________________________


10. En el cuadro de diálogo Seleccionar adaptador de red, quite las marcas de selección de Agregar los siguiente intervalos privados … Mantenga seleccionada la opción Agregar los intervalos de direcciones en base a la tabla de enrutamiento de Windows. Marque en el cuadro de selección junto a la tarjeta de red conectada a la red interna y pulse Aceptar. Por omisión ISA Server coloca las direcciones privadas definidas por IANA (Internet Assigned Number Authority) como parte de la red Interna, estas son 10.x.x.x, 192.168.x.x y 169.254.x.x.

11. De clic en Aceptar en el cuadro de diálogo que informa de que se ha definido una red interna basándose en la tabla de rutas de Windows.


12______________________________________________________


12. De clic en Aceptar en la lista de rangos de direcciones de la red interna.

13. De clic en Siguiente en la página Red Interna.


13______________________________________________________


14. En el cuadro de dialogo configuración de conexión de cliente firewall de clic en siguiente.

15. En el cuadro de dialogo Servicios de clic en Siguiente.


14______________________________________________________


16. De clic en Instalar en la página Listo para instalar el programa.

17. Con esto iniciara el proceso de instalación.


15______________________________________________________


18. En la página Finalización del Asistente para la instalación, marque la opción Invocar la Administración del servidor ISA cuando se cierre el asistente y después, de clic en Finalizar.

19. A continuación se abrirá la consola de administración de Microsoft Internet Security and Acceleration Server 2004. De forma predeterminada el usuario es dirigido hacia el nodo superior en el panel de la izquierda. Además, también se abre una página Web con Protección del equipo servidor ISA.


16______________________________________________________


3.1. Verificar la instalación de ISA Server 2004 Para verificar la correcta instalación de instalación de ISA Server 2004 hay diversas partes que se deben de verificar.

• Verificar que los servicios de ISA Server estén instalados e iniciados. Realizando una instalación por omisión de ISA Server, esta crea e inicia los siguientes servicios:

o Firewall de Microsoft o Control de Microsoft ISA Server o Programador de trabajos de Microsoft ISA Server o Almacenamiento de Microsoft ISA Server

• Verificar que el servicio Microsoft SQL Server 2000 Desktop Engine (MSDE) este instalado e iniciado. ISA Server instala el MSDE y agrega los siguientes servicios:

o MSSQL$MSFW – Este servicio es iniciado y configurado para iniciar automáticamente. o MSSQLServerADHelper – Este servicio no es iniciado y es configurado para iniciar

manualmente. Instalando el servicio MSDE también crea los archivos de registro para el ISA Server. Por omisión estos archivos de registros están localizados en %programfiles%\Microsoft ISA Server\ISALogs

• La instalación de ISA Server crea tres archivos de registros de instalación. Estos tres archivos

están localizados en el directorio %windir%\temp y son nombrados ISAWRAP_###, ISAMSDE_### y ISAFWSV_### donde ### es un número. El archivo ISAWRAP contiene un resumen de la instalación, incluyendo si la instalación fue exitosa o no. Los otros dos archivos proporcionan información detallada acerca de la instalación de MSDE e ISA Server.

• Verifica el Visor de Sucesos. Si la instalación falla en la bitácora de aplicación se podrán encontrar mensajes de error que proporcionen información para resolver el problema. Si por el


17______________________________________________________


contrario la instalación fue exitosa en el visor de sucesos se encontraran eventos de que los servicios de ISA Server fueron iniciados con éxito.

• Usando la consola de administración de ISA Server, es posible verificar las alertas de ISA Server. Si la instalación se completo con éxito, una alerta es creada mostrando que el Servicio del Firewall fue creado.

3.2. Reforzando la seguridad del Servidor ISA Server 2004.

Un paso importante en la protección de servidor ISA consiste en comprobar que el equipo servidor ISA está seguro físicamente y que ha aplicado las recomendaciones de configuración de seguridad básicas, entre las que se incluyen:

• Administración de actualizaciones • Instalación de Services Packs. • Protección física del equipo • Determinación de la pertenencia a dominios • Consolidación de la seguridad de la infraestructura de Windows • Administración de funciones y permisos • Reducción de la superficie de ataque posible

Como práctica recomendada de seguridad, se recomienda instalar siempre las actualizaciones más recientes del sistema operativo, el servidor ISA y otros componentes que instala el servidor ISA: Microsoft SQL Server 2000 Desktop Engine (MSDE) y Office Web Components 2002 (OWC). Realice las siguientes acciones:

• Obtenga las actualizaciones del sistema operativo. Busque actualizaciones en el sitio de Windows Update.

• Obtenga las actualizaciones del servidor ISA. Consulte el Centro de descarga de ISA Server 2004 en http://go.microsoft.com/fwlink/?LinkId=28791 para obtener la información de actualización más reciente.

• Busque las actualizaciones más recientes de Microsoft SQL Server 2000 Desktop Engine (MSDE) y Office Web Components 2002 (OWC), en los Boletines de seguridad de Microsoft en http://www.microsoft.com/technet/security/current.aspx.

También se recomienda analizar la seguridad del sistema periódicamente mediante Microsoft Baseline Security Analyzer (MBSA).

3.3. Instalación del SP1 de ISA Server 2004 Edición Estándar

El SP1 de ISA Server 2004 fue liberado el 11 de marzo de 2005 y soluciona los siguientes problemas e incluye las siguientes revisiones (hotfix):

• Artículo 884569: Los servicios ISACTRL y WSPSRV no se inician al instalar ISA Server 2004 en un equipo de multiprocesador

• Artículo 884560: No puede usar RADIUS cuando utiliza la autenticación basada en formularios de Outlook Web Access (OWA) en una regla de publicación de Web

• Artículo 884580: Los programas de cliente FTP de modo activo no tienen acceso a un servidor FTP tras Internet Security and Acceleration Server 2004


18______________________________________________________


• Artículo 888422: Error de CookieAuthFilter para credenciales de inicio de sesión que incluyen una diéresis

• Artículo 891510: Error en la comprobación de CRL en publicación de Web cuando el certificado ROOT carece de extensión CDP

• Artículo 885683: Mensaje de error "401 No autorizado" al usar el Cliente Firewall de Internet Security and Acceleration Server 2004 para tener acceso a una página Web

• Artículo 893171: Problemas con el Cliente Firewall de ISA Server 2004 en Windows 98

a) Bajar el SP1 de ISA Server. (ver la sección de requerimientos). b) Leer el archivo readme.html que se encuentra en la página donde se obtuvo el SP1. c) Ejecutar el archivo ISA2004-KB891024-X86-ESN.msp d) En la página Asistente para la instalación de Microsoft ISA Server 2004 Service Pack 1. De

clic en Siguiente.

e) En la página Contrato de Licencia seleccione Acepto los términos del contrato de licencia y de clic en Actualizar.


19______________________________________________________


f) A continuación se procederá a la instalación del SP1.


20______________________________________________________


g) En la página Finalización del Asistente para la instalación de clic en Finalizar.

Aparecerá un cuadro de dialogo donde le pedirá reiniciar el sistema para aplicar los cambios. De clic en Si


21______________________________________________________


3.4. Verificar la instalación del SP1 de ISA Server 2004

1. En la página Web de donde se obtuvo el SP1 para ISA Server 2004 apunté la versión del SP1.

2. Abra la consola de Administración del servidor ISA a través de Inicio, Todos los programas, Microsoft ISA Server y Administrador del Servidor ISA. En esta consola en la parte de AYUDA seleccionar Acerca de Microsoft ISA Server 2004. Aparecerá la siguiente ventana donde buscaremos los datos de la versión, si los últimos números de esta ventana son iguales a los de la página Web, habremos realizado una instalación correcta del SP1 de Microsoft ISA Server 2004.

4. Determinación de la pertenencia a dominios En muchos casos, puede configurar el equipo servidor ISA como miembro de un dominio. Por ejemplo, si crea una directiva que se base en la autenticación de usuarios de dominio, el servidor ISA debe pertenecer a un dominio. Si el equipo servidor ISA protege la frontera de la red, se recomienda instalarlo en un bosque independiente (en vez de hacerlo en el bosque de la red corporativa). De esta forma, se contribuye a proteger el bosque interno, aunque se organice un ataque en el bosque del equipo servidor ISA. Para apreciar las ventajas administrativas y de seguridad del servidor ISA como miembro de dominio, se recomienda implementar el equipo servidor ISA en un bosque independiente con una confianza de una sola dirección al bosque corporativo. (La confianza de una sola dirección sólo se admite en dominios de Windows Server 2003.)


22______________________________________________________


Tenga en cuenta que al instalar el servidor ISA como un miembro de dominio, puede asegurar el equipo servidor ISA mediante una directiva de grupo en vez de configurar únicamente una directiva local. Por motivos de seguridad, si no precisa funcionalidad de dominio o de servicio de directorio de Active Directory para el equipo servidor ISA, considere la posibilidad de instalarlo en un grupo de trabajo. Por ejemplo, si el servidor ISA va a proteger el extremo de la red, considere la posibilidad de instalar el equipo en un grupo de trabajo.

4.1. Consolidación de la seguridad de la infraestructura de Windows Tal como se ha mencionado anteriormente, en esta guía se supone que ha aplicado las configuraciones recomendadas en la Guía de seguridad de Windows Server 2003, la cual puede ser consultada en: http://www.microsoft.com/latam/technet/seguridad/articulos/ddmmyy_guia_seguridad_windows_server_2003.asp. En concreto, debe aplicar la plantilla de seguridad de directiva de seguridad de línea de base de Microsoft en el capitulo 3 de la guía. Sin embargo, no implemente los filtros de seguridad del protocolo Internet (IPSec) ni ninguna de las directivas de función de servidor. Asimismo, debe tener en cuenta la funcionalidad del servidor ISA y proteger el sistema operativo en consecuencia. En la siguiente tabla se enumeran los servicios principales que se deben habilitar para que el servidor ISA y el equipo servidor ISA funcionen correctamente. Nombre del servicio Razón principal Modo de inicioSistema de sucesos COM+ Sistema operativo principal Manual Servicios de cifrado Sistema operativo principal (seguridad) Automático Registro de sucesos Sistema operativo principal Automático Servicios IPSec Sistema operativo principal (seguridad) Automático Administrador de discos lógicos Sistema operativo principal (administración de

discos) Automático

Servicio del administrador de discos lógicos

Sistema operativo principal (administración de discos)

Manual

Firewall de Microsoft Requerido para el funcionamiento normal del servidor ISA

Automático

Control de Microsoft ISA Server Requerido para el funcionamiento normal del servidor ISA

Automático

Programador de trabajos de Microsoft ISA Server

Requerido para el funcionamiento normal del servidor ISA

Automático

Almacenamiento de Microsoft ISA Server

Requerido para el funcionamiento normal del servidor ISA

Automático

MSSQL$MSFW Requerido cuando se utiliza el registro MSDE para el servidor ISA

Automático

Conexiones de red Sistema operativo principal (infraestructura de red) Manual Proveedor de compatibilidad con seguridad LM de Windows NT

Sistema operativo principal (seguridad) Manual

Plug and Play Sistema operativo principal Automático Almacenamiento protegido Sistema operativo principal (seguridad) Automático Administrador de conexión de acceso Requerido para el funcionamiento normal del Manual


23______________________________________________________


Nombre del servicio Razón principal Modo de inicioremoto servidor ISA Llamada a procedimiento remoto (RPC)

Sistema operativo principal Automático

Inicio de sesión secundario Sistema operativo principal (seguridad) Automático Administrador de cuentas de seguridad

Sistema operativo principal Automático

Servidor Requerido para el recurso compartido de cliente firewall del servidor ISA

Automático

Tarjeta inteligente Sistema operativo principal (seguridad) Manual SQLAgent$MSFW Requerido cuando se utiliza el registro MSDE para

el servidor ISA Manual

Notificación de sucesos del sistema Sistema operativo principal Automático Telefonía Requerido para el funcionamiento normal del

servidor ISA Manual

Servicio de disco virtual (VDS) Sistema operativo principal (administración de discos)

Manual

Instrumental de administración de Windows (WMI)

Sistema operativo principal (WMI) Automático

Adaptador de rendimiento de WMI Sistema operativo principal (WMI) Manual

4.2. Funciones de servidor del servidor ISA El equipo servidor ISA puede funcionar en capacidades, o funciones adicionales según el modo en que lo utilice. En la tabla siguiente se enumeran las funciones de servidor posibles, se describe cuándo se pueden necesitar y se enumeran los servicios que se deben activar cuando se habilita la función. Función de servidor Escenario de uso Servicios necesarios Modo de inicioServidor de enrutamiento y acceso remoto

Los usuarios y grupos asignados a esta función pueden supervisar el equipo servidor ISA y la actividad de red, pero no pueden configurar la funcionalidad de supervisión específica.

Enrutamiento y acceso remoto Manual

Servidor de enrutamiento y acceso remoto


Administrador de conexión de acceso remoto

Manual



Telefonía Manual


Los usuarios y grupos asignados a esta función pueden supervisar el equipo servidor ISA y la actividad de red, pero no pueden configurar la funcionalidad de supervisión

Estación de trabajo Automático


24______________________________________________________


Función de servidor Escenario de uso Servicios necesarios Modo de inicioespecífica.



Servidor Automático

Terminal Server para administración de escritorios remotos

Seleccione esta función para habilitar la administración remota del equipo servidor ISA.

Servidor Automático

Terminal Server para administración de escritorios remotos

Seleccione esta función para habilitar la administración remota del equipo servidor ISA.

Servicios de Terminal Server Manual

5. Asignando funciones administrativas. Puedes asignar funciones administrativas en el servidor ISA Server con lo cual podrías distribuir la carga de trabajo, para realizarlo siga los siguientes pasos:

a) Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA.

b) En el árbol de consola de Administración del servidor ISA, haga clic en Microsoft ISA Server

2004 y a continuación, en el nombre_de_servidor. c) En la pestaña Tareas, haga clic en Definir funciones administrativas.


25______________________________________________________


d) En la página de bienvenida del Asistente para la delegación de administración del servidor ISA, haga clic en Siguiente.

e) Haga clic en Agregar. f) En Grupo (recomendado) o usuario, escriba el nombre del grupo o usuario al que se asignarán

los permisos administrativos específicos. g) En Función, seleccione la función administrativa aplicable.

5.1. Funciones y actividades Cada función del servidor ISA tiene asociada una lista específica de tareas del servidor ISA. En la siguiente lista se enumeran algunas tareas de administración del servidor ISA junto con las funciones en que se realizan. Actividad Permisos de

Supervisión básica Permisos de Supervisión ampliada

Permisos de Administrador total

Ver escritorio digital, alertas, conectividad, sesiones, servicios

X X X

Confirmar alertas X X X Ver información de registro X X Crear definiciones de alerta X X Crear informes X X Detener e iniciar sesiones y servicios X X Ver directiva de firewall X X Configurar directiva de firewall X Configurar caché X Configurar VPN X

5.2. Permisos Aplique el principio de privilegios mínimos al configurar permisos para los administradores del servidor ISA. Determine cuidadosamente los usuarios que tienen permiso para iniciar sesión en el equipo servidor ISA y elimine el acceso de los que no resulten fundamentales para el funcionamiento del servidor.

5.3. Privilegios mínimos Aplique el principio de privilegios mínimos, según el cual un usuario tiene los privilegios mínimos necesarios para realizar una tarea específica. De este modo se garantiza que si la cuenta de un usuario se pone en peligro, el efecto se minimiza por los privilegios limitados que tiene dicho usuario. Mantenga el grupo Administradores y otros grupos de usuarios lo más pequeños posible. Por ejemplo, un usuario que pertenezca al grupo Administradores del equipo servidor ISA puede realizar cualquier tarea en dicho equipo. Tenga en cuenta que a los usuarios del grupo Administradores se les asigna implícitamente la función de administrador total del servidor ISA, lo que significa que también tienen derechos completos para


26______________________________________________________


configurar y supervisar el servidor ISA. Para obtener más información acerca de las funciones, consulte la sección Funciones administrativas.

5.4. Inicio de sesión y configuración

Al iniciar sesión en el equipo servidor ISA, hágalo con la cuenta con los privilegios mínimos necesarios para realizar la tarea. Por ejemplo, para configurar una regla, debe iniciar sesión como administrador del servidor ISA. No obstante, si sólo desea ver un informe, inicie sesión con menos privilegios. En general, utilice una cuenta con permisos restrictivos para efectuar tareas rutinarias no administrativas y utilice una cuenta con más permisos únicamente cuando realice tareas administrativas específicas.

5.5. Listas de control de acceso discrecional Con una nueva instalación, las listas de control de acceso discrecional (DACL) del servidor ISA están configuradas correctamente. Además, el servidor ISA vuelve a configurar las DACL de forma apropiada cuando se modifican las funciones administrativas (para obtener más información, consulte la sección Funciones administrativas) y cuando se reinicia el servicio Control del servidor ISA (isactrl). Debido a que el servidor ISA vuelve a configurar periódicamente las DACL, no debe utilizar la herramienta Configuración y análisis de seguridad para configurar las DACL por archivo en los objetos del servidor ISA. De lo contrario, puede haber conflictos entre las DACL configuradas por Directiva de grupo y las DACL que el servidor ISA intenta configurar. No modifique las DACL configuradas por el servidor ISA. Tenga en cuenta que el servidor ISA no configura DACL para los objetos de la siguiente lista. Debe configurar cuidadosamente las DACL para los objetos de la siguiente lista, asignando permisos únicamente a usuarios específicos de confianza:

• Carpeta de informes (cuando se opta por publicar los informes). • Archivos de configuración creados al exportar o realizar una copia de seguridad de la

configuración. • Archivos de registro de los que se hace copia de seguridad en otra ubicación.

Asegúrese de configurar cuidadosamente las DACL, concediendo permisos únicamente a usuarios y grupos de confianza. Asimismo, asegúrese de crear DACL estrictas en los objetos que el servidor ISA utiliza indirectamente. Por ejemplo, al crear una conexión ODBC que utilizará el servidor ISA, asegúrese de mantener el nombre de origen de datos (DSN) seguro. Configure DACL estrictas para todas las aplicaciones que se ejecutan en el equipo servidor ISA. Asegúrese de configurar DACL estrictas para los datos asociados del sistema de archivos y del Registro.

5.6. Reducción de la superficie de ataque Para proteger todavía más el equipo servidor ISA, aplique el principio de superficie de ataque reducida. Para reducir la cantidad de superficie de ataque, siga estas directrices:


27______________________________________________________


• No ejecute aplicaciones y servicios innecesarios en el equipo servidor ISA. Deshabilite los servicios y las funciones que no sean fundamentales para la tarea actual, tal como se describe en la sección Consolidación de la seguridad de la infraestructura de Windows.

• Deshabilite las características del servidor ISA que no utilice. Por ejemplo, si no necesita caché, deshabilítela. Si no precisa la funcionalidad VPN del servidor ISA, deshabilite el acceso de clientes de VPN.

• Identifique los servicios y tareas que no son fundamentales para el modo en que administra la red y, a continuación, deshabilite las reglas de directiva del sistema asociadas.

• Limite la aplicación de las reglas de directiva del sistema únicamente a las entidades de red requeridas. Por ejemplo, el grupo de configuración de directiva del sistema de Active Directory, habilitado de forma predeterminada, se aplica a todos los equipos de la red interna. Puede limitarlo de modo que se aplique a un grupo de Active Directory específico de la red interna.

5.7. Deshabilitar características del servidor ISA Según sus necesidades de red específicas, es posible que no precise el amplio conjunto de características incluidas en el servidor ISA. Debe analizar cuidadosamente sus necesidades específicas y determinar si necesita lo siguiente:

• Acceso de clientes de VPN • Caché • Complementos

Si no necesita una característica concreta, deshabilítela. Para más información de cómo reforzar el servidor ISA Server 2004 verifique “Guía de consolidación de la seguridad de ISA Server 2004” en: http://www.microsoft.com/spain/technet/recursos/articulos/securityhardeningguide.mspx

6. Antes de filtrar paquetes en la red Antes de comenzar a elaborar reglas de acceso en nuestra red y realizar el filtrado de paquetes en nuestra organización se deben tener en cuenta muchos aspectos importantes que muchas veces se dejan al final y retrazan todo el procedimiento de la seguridad perimetral, como por ejemplo:

• Políticas de la organización. • ¿Cómo está organizada la red en la dependencia? • Organización de usuarios. • Servicios que requiere la organización. • Servicios que otorga la organización. • Planteamiento del nuevo esquema con los directivos (apoyo de los directivos al proyecto).


28______________________________________________________


7. Ahora sí hablemos un poco de reglas Las reglas de acceso determinan la forma en que los clientes de una red de origen tienen acceso a los recursos de una red de destino. El servidor ISA incluye una lista de protocolos bien conocidos, incluyendo los protocolos Internet más frecuentes. Igualmente, puede agregar o modificar protocolos adicionales.


29______________________________________________________


7.1. Elementos de una regla Un elemento de regla del servidor ISA es un objeto utilizado para precisar las reglas del servidor ISA. Por ejemplo, un elemento de regla de subred representa a una subred dentro de una red. Puede crear una regla que se aplique únicamente a una subred o una regla que se aplique a toda una red, excepto a la subred. Otro ejemplo de elemento de regla es un conjunto de usuarios, que representa a un grupo de usuarios. Si crea un conjunto de usuarios y lo utiliza en una regla del servidor ISA, puede crear una regla que sólo se aplique a ese conjunto de usuarios. Hay cinco tipos de elementos de regla:

• Protocolos. Este elemento de regla contiene los protocolos utilizados para limitar la capacidad de aplicación de las reglas de acceso. Por ejemplo, puede permitir o denegar el acceso a uno o varios protocolos, en lugar de a todos ellos.

• Usuarios. Con este elemento de regla, puede crear un conjunto de usuarios al que aplicar de forma explícita una regla o al que excluir de una.

• Tipos de contenido. Este elemento de regla ofrece tipos de contenido comunes a los que es posible aplicar una regla. También puede definir nuevos tipos de contenido.

• Programaciones. Este elemento de regla permite indicar las horas de la semana durante las que se aplicará la regla.

• Objetos de red. Este elemento de regla permite crear conjuntos de equipos o de direcciones IPs a los que se les puede aplicar una regla o excluir de una.

TCP/IP protocol suite


30______________________________________________________


7.2. Objetos de red Un elemento de regla de red representa a una red, es decir, a todos los equipos conectados (directamente o a través de uno o varios ruteadores) a una tarjeta de red única del equipo servidor ISA. Las redes se definen mediante el nodo Redes de Administración del servidor ISA.

7.3. Conjunto de Redes

Un elemento de regla de conjunto de redes representa a un grupo de una o varias redes. Puede utilizar este elemento de regla para aplicar reglas a una o varias redes.

7.4. Controlar el acceso a Internet

Para controlar el acceso a Internet, el equipo servidor ISA debe actuar como puerta de enlace predeterminada a Internet para la red que se está ajustando. De no ser así, los equipos de la red pueden tener acceso a Internet a través de otra puerta de enlace sin necesidad de pasar por el equipo servidor ISA.

Podemos tener un conjunto de subredes a las cuales aplicarles distintas reglas

7.5. Orden de reglas en ISA Server

Debe tener en cuenta siempre el orden de las reglas al crear reglas de acceso, ya que si por ejemplo se quiere limitar a un conjunto de usuarios y se desea permitir todo a otro conjunto, la regla que deniega el acceso al conjunto de usuarios limitados debe preceder a la regla que permite todo a los otros usuarios. Si esta regla aparece después en el orden, cuando llegue una petición de un usuario de limitado, el servidor ISA leerá primero la regla de permiso y concederá acceso a todos los sitios de Internet (es mejor decir “Niego todo y luego doy permiso a …”).


31______________________________________________________


8. Configurando la directiva http El servidor ISA es un servidor de seguridad de capa de aplicaciones, que aplica un filtro de aplicación al tráfico HTTP. Gracias a la capacidad del servidor ISA para examinar las peticiones HTTP, pueden bloquearse las aplicaciones canalizadas a través de HTTP en función de la configuración del filtro de aplicación HTTP. El filtro de aplicación HTTP ofrece control granular de las peticiones HTTP aceptadas por la directiva de servidor de seguridad. Puede utilizar la directiva HTTP para bloquear aplicaciones. La directiva HTTP incluye los siguientes valores:

• Longitud máxima del encabezado de la petición (MTU)

• Longitud de carga de las peticiones

• Protección de direcciones URL

• Bloqueo de contenido ejecutable

• Métodos denegados

• Acciones especificadas para determinadas extensiones de archivo

• Denegar encabezados específicos

• Modificar encabezados de servidor y vía

• Denegar firmas específicas

9. Publicación de Web Microsoft® Internet Security and Acceleration (ISA) Server 2004 utiliza reglas de publicación de Web para solucionar problemas relacionados con la publicación de contenido Web en Internet sin poner en peligro la seguridad de la red interna. Las reglas de publicación de Web determinan la interceptación por parte del servidor ISA de las peticiones entrantes para los objetos HTTP (protocolo de transferencia de hipertexto) en un servidor Web interno, y la respuesta del servidor ISA en representación del servidor Web. Las peticiones se reenvían en dirección descendente al servidor Web interno, que se conecta a la red a través del equipo servidor ISA. Si es posible, la petición se atiende desde la caché del servidor ISA. Se puede utilizar la función de publicación para poner el contenido a disposición de los grupos de usuarios o de todos los usuarios, normalmente, desde un servidor de red interna o de red perimetral (conocida también como DMZ, zona desmilitarizada o subred filtrada). Las reglas de publicación de servidor se configuran para hacer accesible el contenido mediante otros protocolos. Con la publicación de servidor, se puede publicar todo un servidor mediante un protocolo y restringir el acceso a determinados equipos o redes. No puede publicar contenido HTTP con reglas de publicación de servidor. La publicación de Web ofrece control detallado del acceso al contenido. Las reglas de publicación de Web presentan un gran número de características, incluidas las siguientes:

υ Asignar peticiones a rutas internas específicas. Puede limitar las partes de los servidores a las que se puede tener acceso.


32______________________________________________________


υ Restringir el acceso a determinados usuarios, equipos o redes. Puede restringir el acceso para mejorar la seguridad.

υ Requerir la autenticación de usuarios. La autenticación de usuarios puede transferirse al servidor Web, suprimiendo la necesidad de autenticarse de nuevo.

υ Ofrecer traducción de vínculos. Puede administrar los vínculos a servidores internos.

υ Ofrecer protocolo de puente SSL. Puede cifrar el tráfico entre el equipo servidor ISA y el servidor Web.

9.1. Publicando el servidor Web

Para publicar un servidor Web en una red interna, se necesita, como mínimo,:

υ Una conexión a Internet.

υ Un equipo que actúe como equipo servidor ISA. Los equipos servidor ISA deben tener, como mínimo, dos tarjetas de red. Una tarjeta se conectará a la red externa (que representa a Internet) y otra se conectará a la red interna.

υ Un equipo que actuará como servidor Web, ubicado en la red interna.

υ Un equipo externo a la red con una conexión a Internet para probar la configuración.

Se recomienda utilizar la función de copia de seguridad del servidor ISA para realizar una copia de seguridad de la configuración antes de efectuar cualquier modificación. Si los cambios realizados provocan un comportamiento inesperado, puede volver a la configuración anterior, de la que se realizó una copia de seguridad.

Al configurar la regla para redirigir las peticiones a un sitio alojado, el servidor ISA recupera el objeto a partir de la ruta especificada en la petición del equipo host. Por ejemplo, imagine que especifica que el servidor ISA redirija las peticiones de example.microsoft.com/development a un equipo host llamado Dev.


33______________________________________________________


Cuando un cliente solicita un objeto de example.microsoft.com/development, el servidor ISA recupera el objeto en la carpeta de desarrollo en el equipo Dev. Las reglas de publicación de Web determinan el destino solicitado al leer el encabezado del host.

9.2. Protocolo de puente Al crear una regla de publicación de Web, puede proteger aún más la comunicación HTTP. Aunque la comunicación inicial utilice HTTP, una vez que el servidor ISA reciba la petición, puede redirigirse la comunicación utilizando SSL. Si la petición se redirige como una petición SSL, se cifrarán los paquetes. A esta redirección también se le conoce como protocolo de puente. Puede establecer que las peticiones HTTP o SSL se procesen como peticiones FTP (protocolo de transferencia de archivos) en el servidor Web. Si el cliente externo solicita un objeto mediante HTTP o SSL, el servidor ISA puede redirigir la petición al servidor Web interno mediante FTP. Si configura el protocolo de puente de esta forma, podrá especificar el puerto que debe utilizarse al enlazar las peticiones de FTP. El servidor Web que precede en la cadena puede requerir un certificado de cliente. En tal caso, configure el servidor ISA para que se autentique con un certificado de cliente específico. Si configura la regla de publicación de Web para que requiera un canal seguro, todas las peticiones de clientes para los destinos especificados deben encontrarse en el puerto indicado para las conexiones SSL.


34______________________________________________________


9.3. Publicación de sitios Web con el mismo nombre de dominio. Los clientes identifican los sitios Web publicados por su nombre de dominio completo (FQDN), tal y como los publicó el servidor ISA. Es decir, el nombre de dominio completo del sitio Web es el nombre configurado en la regla de publicación de Web. Si se publican varios servidores Web con el mismo nombre de dominio completo, el cliente supone que los dos sitios publicados son realmente el mismo. En otras palabras, el cliente Web puede enviar la información destinada a un servidor Web al otro servidor Web.

9.4. Orden de reglas en la publicación. Las reglas de publicación de Web se procesan junto con las reglas de directiva de Firewall. Se procesan en orden, para cada petición de Web entrante. Cuando la regla coincide con una petición, ésta se enruta y se almacena en caché de la forma especificada. Si no coincide ninguna regla con la petición, el servidor ISA procesa la regla predeterminada y descarta la petición.

9.5. Filtrar contenido del Web Para impedir de forma rápida y sencilla que los usuarios se descarguen archivos ejecutables usando HTTP. Conviene advertir que la política HTTP no puede examinar el interior de archivos .ZIP para saber si hay algún ejecutable de Windows dentro de él.


35______________________________________________________


10. Configuraciones de acceso a servicios en la red perimetral (Server publishing)

Pongamos de ejemplo un servidor de correo.

Cuando se crean reglas de publicación de servidor de correo, ISA Server 2004 crea las reglas de publicación necesarias para permitir el acceso de los clientes a los servidores de correo. Según el tipo de servidor de correo especificado, se configuran las reglas de publicación de Web o de servidor, que permiten el acceso a los servidores de correo mediante los protocolos que especifique. Puede seleccionar uno de los tipos de acceso siguientes ofrecidos por el servidor de correo publicado:

• Acceso de cliente Web. Permite el acceso de los clientes a servidores Microsoft Outlook® Web Access, Outlook Mobile Access o Exchange Application Services. Si selecciona esta opción, el servidor ISA configurará las reglas de publicación de Web correspondientes.

• Acceso de cliente. Permite que los clientes usen la llamada a procedimiento remoto (RPC), el Protocolo de acceso de mensajes de Internet, versión 4rev1 (IMAP4), el Protocolo de oficina de correos, versión 3 (POP3) o el Protocolo simple de transferencia de correo (SMTP) para tener acceso al correo. Al seleccionar esta opción, se crea una regla de publicación de servidor para cada protocolo seleccionado.

• Comunicación de servidor a servidor. Permite el acceso a los servidores SMTP (correo) y a los servidores NNTP (noticias).


36______________________________________________________


Al publicar un servidor de correo, es recomendable configurar el nombre FQDN del servidor de correo con el nombre DNS externo del equipo servidor ISA. De este modo, el nombre interno del servidor de correo no estará disponible públicamente y, por lo tanto, no será propenso a ataques.

10.1. Filtrado SMTP Si el filtro SMTP está instalado y habilitado, puede aplicar el filtrado SMTP.

El servidor ISA utiliza la publicación de servidor para procesar las peticiones entrantes en servidores internos como, por ejemplo, servidores FTP (puerto 21), servidores SQL (puerto alto), etc. Las peticiones se envían seguidamente al servidor interno que se ubica detrás del equipo servidor ISA. La función de publicación de servidor permite a casi todos los equipos de la red interna publicar en Internet. La seguridad no se pone en peligro porque todas las peticiones entrantes y respuestas salientes se transfieren a través del servidor ISA. Cuando un servidor se publica mediante un equipo servidor ISA, las direcciones IP publicadas coinciden con las direcciones IP del equipo servidor ISA. Los usuarios que solicitan objetos creen que están estableciendo una comunicación con el servidor ISA (al solicitar el objeto, ellos especifican el nombre o la dirección IP de dicho servidor). No obstante, en realidad, están solicitando la información del servidor de publicación. Esto se produce cuando la red en la que se encuentra el servidor publicado tiene una NAT (Network Address Traslation) desde la red en la que se encuentran los clientes que tienen acceso al servidor publicado. Al configurar una relación de redes enrutadas, los clientes utilizan la dirección IP real del servidor publicado para obtener acceso a él. Las reglas de publicación de servidor determinan el funcionamiento de la publicación del servidor, sobre todo, el filtrado de todas las peticiones entrantes y salientes procesadas por el equipo servidor ISA.


37______________________________________________________


Las reglas de publicación de servidor asignan peticiones entrantes a los servidores adecuados detrás del equipo servidor ISA. Estas reglas proporcionan, de un modo dinámico, el acceso de los usuarios de Internet al servidor de publicación que se haya especificado. El servidor publicado es un cliente de SecureNAT. Por lo tanto, no se requiere ninguna configuración especial del servidor publicado tras crear la regla de publicación de servidor en el servidor ISA. Observe que el servidor ISA debe configurarse como el Gateway predeterminado en el servidor publicado.

10.2. Funcionamiento de la publicación de servidor El servidor ISA lleva a cabo los siguientes pasos durante la publicación del servidor:

1. Un equipo cliente de Internet solicita un objeto desde una dirección IP que corresponde a la del servidor de publicación. La dirección IP está asociada en realidad al equipo servidor ISA. Se trata de la dirección IP de la tarjeta de red externa perteneciente al equipo servidor ISA.

2. El equipo servidor ISA procesa la petición, asignando la dirección IP a una dirección IP interna de un servidor interno.

3. El servidor interno devuelve el objeto al equipo servidor ISA, y éste lo transfiere al cliente que lo solicitó.

10.3. Uso de la regla de publicación de servidor En la mayoría de los casos, puede utilizar una regla de acceso, en lugar de una regla de publicación de servidor, para poner el servidor a disposición de los clientes. A continuación se describen algunos puntos que debe tener en cuenta:

• Debe utilizar una regla de publicación de servidor cuando exista una relación de redes NAT entre la red del servidor publicado y la red del cliente.

• Una regla de publicación de servidor sólo puede publicar un único servidor identificado. Para publicar varios servidores, son necesarias varias reglas.

• Con las reglas de publicación de servidor, puede configurar las opciones para sobrescribir puertos.

10.4. Publicación de servidores DNS El servidor ISA no traduce la dirección IP de los servidores DNS. Para publicar un servidor DNS, configure una relación de redes enrutadas entre la red de host local y la red que incluye el servidor DNS. Asimismo, el servidor ISA debe conocer la dirección IP del servidor DNS.

10.5. Deshabilitar reglas Al deshabilitar una regla de publicación de servidor, cualquier intento de establecer conexión con el servidor será rechazado. Sin embargo, tenga en cuenta que el servidor ISA no cierra las conexiones activas. Dichas conexiones pueden detenerse mediante la desconexión de las sesiones relacionadas.


38______________________________________________________


11. Publicación usando PAT (Port Address Translation) De forma predeterminada, al crear una regla de directiva de servidor de seguridad, el servidor ISA está atento al puerto especificado, si bien acepta peticiones de clientes en cualquier puerto. Puede limitar la regla para aceptar peticiones sólo de puertos de origen especificados para las reglas de acceso y las reglas de publicación de servidor. Además, para las reglas de publicación de servidor, puede especificar el puerto que utilizará el servidor ISA para aceptar las peticiones de clientes entrantes destinadas al servidor publicado. Si decide publicar en un puerto distinto al predeterminado, el servidor ISA recibirá las peticiones de clientes para el servicio publicado en el puerto no estándar y, a continuación, reenviará las peticiones al puerto designado en el servidor publicado. Por ejemplo, una regla de publicación de servidor puede especificar que las peticiones de clientes para los servicios del Protocolo de transferencia de archivos (FTP) se conecten a través del puerto 22 en el equipo servidor ISA antes de redireccionarlas al puerto 21 en el servidor publicado. Además, puede especificar, para las reglas de publicación de servidor, que el servidor publicado acepte las peticiones de clientes para el servicio publicado en un puerto distinto al predeterminado. Por ejemplo, si desea publicar dos servidores FTP, puede publicar un servidor FTP en el puerto predeterminado para un conjunto de usuarios y publicar el otro en otro puerto no estándar para un conjunto de usuarios diferente.


39______________________________________________________


12. Monitoreo de la red La vista Escritorio digital del servidor ISA resume la información de supervisión de las sesiones, alertas, servicios, informes y conectividad, así como el estado general del sistema. La vista predeterminada Escritorio digital muestra la siguiente información:

• Conectividad. Comprueba la conectividad entre el servidor ISA y otros equipos o direcciones URL.

• Alertas. Enumera los sucesos que han tenido lugar en el equipo servidor ISA. • Servicios. Enumera los servicios del equipo servidor ISA y su estado actual. • Sesiones. Enumera el total de las sesiones de los clientes. • Informes. Enumera los informes creados recientemente. • Estado del sistema. Muestra la información de rendimiento del equipo servidor ISA.

Cada área del escritorio digital cuenta con una indicación visual de estado. Una X en un círculo rojo indica un posible problema, un icono amarillo indica una advertencia y una marca de verificación en un círculo verde indica que no hay ningún problema. Puede personalizar la vista Escritorio digital para ocultar cierta información.


40______________________________________________________


13. Referencias ISA Server 2004, Dr. Thomas W. Shinder, Editorial Syngress, 2005. Blog referente a ISA Server. http://isainsbs.blogspot.com/ Artículos http://www.microsoft.com/spain/technet/productos/isa/default.mspx http://www.isaserver.org/


41______________________________________________________


UNAM-CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo E-Mail: [email protected]

http://www.cert.org.mx http://www.seguridad.unam.mx

ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43


42______________________________________________________


firewalls win

Documents