Redes 002

Seguridad de Redes II
CARRERAS PROFESIONALES CIBERTEC
SEGURIDAD DE REDES II 3
NDICE
Presentacin Red de contenidos Unidad de aprendizaje 1 Introduccin e Instalacin de ISA Server 2006 TEMA 1 TEMA 2 TEMA 3 : Introduccin a ISA Server 2006 : Instalacin de ISA Server 2006 : Instalacin y monitoreo de los Clientes ISA Server 2006 7 13 27 5 6
Unidad de aprendizaje 2 Arquitectura de ISA Server 2006 TEMA 4 TEMA 5 TEMA 6 : Habilitar el acceso a los recursos de Internet : Reglas de acceso : Configuracin de elementos de una regla de acceso 35 45 51
Unidad de aprendizaje 3 Configurar ISA Server como un FIREWALL TEMA 7 TEMA 8 : Configuracin de ISA Server como un Firewall : Configuracin de ISA Server como un Firewall Parte II 61 67
Unidad de aprendizaje 4 Configurando el Acceso a los Recursos de la Red Interna, VPN y el Cache de ISA Server. TEMA 9 TEMA 10 TEMA 11 TEMA 12 TEMA 13 : Configurar el acceso a recursos internos. : Publicacin de servicios. : Configurando acceso a VPN. : Implementacin del Caching de ISA Server : Monitoreo de ISA Server y Copia de Seguridad. 75 79 91 101 105
CIBERTEC
CARRERAS PROFESIONALES
PRESENTACIN
Seguridad de Redes II pertenece a la lnea formativa y se dicta en la carrera de Redes y Comunicaciones. El curso brinda el conocimiento necesario para Administrar Microsoft Internet Security and Acceleration ISA Server 2006.
El presente manual ha sido diseado en funcin de unidades de aprendizaje, las que se desarrollan en determinados temas. En cada una de ellas, hallar los logros, que debe alcanzar al final de la unidad; el tema tratado, el cual ser ampliamente desarrollado; y los contenidos, que debe desarrollar, es decir, los subtemas. Por ltimo, encontrar las actividades que deber desarrollar en cada sesin, que le permitirn reforzar lo aprendido en la clase. El contenido del manual est orientado a brindarle los conceptos de seguridad y mejores prcticas de implementacin y, configuracin de ISA Server. El desarrollo de los laboratorios se realizara de manera acorde al desarrollo de la teora.
CIBERTEC
RED DE CONTENIDOS
Introduccin e Instalacin de ISA Server 2006
Arquitectura de ISA Server 2006
Introduccin ISA Server
Instalacin ISA Server
Cliente ISA
Server
Firewall
Reglas de Acceso
Elementos Reglas de Acceso
Configuracin de ISA Server como Firewall
Configuracin VPN y el Cache de ISA Server
Config. Firewall
Config. Firewall II
Config. Recursos Internos
Publicacion de Servicios
VPN
Caching ISA Server
Monitoreo
UNIDAD DE APRENDIZAJE
1
TEMA
INTRODUCCIN A ISA SERVER 2006

LOGRO DE LA UNIDAD DE APRENDIZAJE
Conocer las funcionalidades y caractersticas de ISA Server 2006 Conocer los escenarios que se pueden implementar con ISA Server 2006.
TEMARIO
Funcionalidades y Caractersticas. Escenarios para ISA Server 2006. Requerimientos para la instalacin de ISA Server 2006.
ACTIVIDADES PROPUESTAS
Describen las funcionalidades y caractersticas de ISA Server 2006 Describen los escenarios en que se puede implementar ISA Server 2006
CIBERTEC
1. ISA SERVER 2006. 1.1. Introduccin a ISA Server 2006. ISA Server 2006, es un producto desarrollado por Microsoft para proteger una infraestructura de red corporativa frente a amenazas procedentes de Internet. Microsoft Internet Security and Acceleration (ISA), es instalado sobre el sistema operativo Windows Server, para cumplir las funciones de Firewall de seguridad perimetral.
1.2. Funcionalidades y Caractersticas. ISA Server 2006, incorpora nuevas funcionalidades para la Administracin, Publicacin de Servidores, Autenticacin y, Soporte Firewall.
ISA Server 2006 Administracin Publicacin de Servidores -
Nuevas Funcionalidades Administracin de Certificados Mejorada. Herramientas de gestin sencilla y fcil de aprender. Sistema de alertas para la deteccin de ataques. Herramientas para la publicacin automtica de Exchange y SharePoint Balanceo de carga para publicacin web. Calidad de servicio mediante el filtro Web Diffserv. Soporte para Exchange 2007. Cache basada en BITS para la distribucin de actualizaciones de software. Autenticacin LDAP Logon nico Sign On. Autentificacin basada en formularios para sitios web Autenticacin multifactorial mejorada con soporte para tarjetas inteligentes, RADIUS, OTP) y delegacin (NTLM, Kerberos) Se ha mejorado los asistentes para la creacin de reglas. Mejores funciones de recuperacin en caso de ataques. Inspeccin de contenidos multinivel y en profundidad.
Autenticacin
Soporte Firewall -
Dentro de las principales caractersticas de ISA Server 2006 tenemos: Publicacin Segura de Aplicaciones. Acceso remoto seguro a los recursos de la red privada. Capacidad para generar LOGS y emitir reportes. Gateway de Interconexin para redes locales. Proteccin del acceso a INTERNET.
1.3. Escenarios en ISA Server 2006. Edge Firewall (Firewall Perimetral). En este escenario ISA Server, es el punto de entrada entre una red interna (red empresarial) y una red externa (Internet), proporcionando seguridad a los usuarios de la red empresarial para utilizar los servicios que brinda Internet. En este escenario ISA Server es configurado con 2 adaptadores de red. Un adaptador de red se conecta a la red interna y el otro se conecta a una red de Internet.
3-Leg Perimeter (Permetro de 3 Secciones). En este escenario, ISA Server es configurado con 3 adaptadores de red. Uno de los adaptadores es conectado a la red interna, el otro a la red de Internet y el ltimo a la red perimetral o DMZ (Zona Desmilitarizada).La ventaja de una red perimetral es que permite a los usuarios de Internet obtener acceso a servidores especficos, al tiempo que evita el acceso a la red interna de la empresa.
Front Firewall (Firewall Frontal). En este escenario ISA Server, es implementado en los lmites de una red con otro Firewall, actuando como primera lnea de defensa entre Internet y la red perimetral. En este escenario, ISA Server es configurado con 2 adaptadores de red.
CIBERTEC
10
Back Firewall (Firewall Posterior). En este escenario, ISA Server es implementado entre una red perimetral y la red interna con otro firewall, actuando como segunda lnea de defensa. En este escenario ISA Server es configurado con 2 adaptadores de red.
Single Network Adapter (Adaptador nico). En este escenario, ISA Server, es implementado como servidor Proxy Web y almacenamiento en cach. Esto permite a los usuarios de la red interna tener acceso al contenido web en Internet y obtener un mejor rendimiento mediante el almacenamiento en cach. En este escenario, ISA Server es configurado con un nico adaptador de red.
1.4. Requerimientos para la instalacin de ISA Server 2006. Para la instalacin de ISA Server, se necesitar esta configuracin mnima: Procesador Sistema Operativo Memoria PC con procesador Pentium III a 733 MHz o Superior Microsoft Windows Server 2003 con Service Pack 1 o Microsoft Windows Server 2003 R2. Se recomienda 512 megabytes (MB) de RAM o ms. Particin en disco duro local con formato NTFS con 150 Mb de espacio de disco disponible, puede necesitarse ms espacio para cache Web. Adaptador de red para la conexin de la red interna. Otro adaptador de red adicional, modem o adaptador RDSI para cada una de las redes a las que se conecta el equipo. Otra tarjeta de red adicional para comunicaciones internas si el servidor pertenece a un array con balanceo de carga (NLB) de Server 2006 Enterprise Edition
Disco Duro
Adaptador de red
CIBERTEC
12
Resumen
ISA Server 2006, es un producto desarrollado por Microsoft para proteger una infraestructura de red corporativa frente a amenazas procedentes de Internet. ISA Server 2006, puede ser implementado con los siguientes escenarios: Edge Firewall 3-Leg perimeter Front Firewall Back Firewall Single Network Adapter Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas. http://www.microsoft.com/spain/isaserver/default.mspx
Aqu hallar ms informacin sobre ISA Server 2006.
1
TEMA
2
INSTALACIN DE ISA SERVER
Saber instalar ISA Server 2006, as como la configuracin inicial requerida.
TEMARIO
Requerimientos de Software y Hardware para la instalacin de ISA Server 2006. Tipos de Instalacin y Componentes
ACTIVIDADES PROPUESTAS Efectan la instalacin del ISA Server 2006.
CIBERTEC
14
Instalacin del Servidor ISA Parte fundamental del trabajo de un administrador es instalar el servidor Proxy ISA Server 2006 (Internet Security and Acceleration), En la mayora de casos, las compaas, tambin, implementan el cliente ISA Firewall o el cliente Web Proxy, en las computadoras de la red, por lo tanto el administrador tambin necesita saber cmo instalar y configurar estos programas clientes de ISA Server, tambin debe saber el funcionamiento de ISA Server e implementar la seguridad en ISA Server antes que sea implementado. En esta sesin, brindaremos informacin de cmo implementar y realizar todas estas tareas. 1.2.1. Requerimientos del software y hardware para ISA Server 2006 Para poder instalar el ISA Server 2006, usted necesita saber el tipo de sistema operativo y hardware. Requerimientos de Software ISA Server 2006 puede ser instalado nicamente en computadoras que ejecuten el sistema operativo Windows 2003 Server. Cuando instala ISA Server 2006 en un sistema operativo Windows 2003 Server, necesita los siguientes requerimientos. Microsoft Windows Server 2003 con Service Pack 1 o Microsoft Windows Server 2003 R2. Requerimientos de Hardware Los requerimientos mnimos de hardware para instalar ISA Server 2006 son: Una computadora personal con 500Mhz o una Pentium III superior. 256MB de memoria. Una tarjeta de red para la comunicacin con la red interna. Tarjetas de red adicionales por cada red que estn, directamente, conectada a ISA Server 2006. Un disco duro con el formato en el sistema de archivos NTFS, con un mnimo de 150MB de espacio libre. Si habilita el caching, deber tener un disco duro adicional.
La siguiente tabla muestra una gua general donde se recomienda un hardware dependiendo del ancho de banda que tenga hacia Internet.
Ancho de banda de Internet
Hardware Recomendado Requerimientos mnimos de hardware con un disco duro adicional para caching. Procesador Pentium 4 2.0-3.0 Ghz Procesadores Duales Xeon 2.0-3.0 Ghz Espacio libre en el disco duro 8-10GB para caching.
Sobre los 1.5Mbytes por segundo Sobre los 25Mbps Sobre los 45Mbps
1.2.2 Tipos de Instalacin y componentes. Cuando se instala ISA Server 2006, se necesita escoger el tipo de instalacin para poder determinar los componentes que se van a instalar. Tipos de Instalacin Cuando inicias la instalacin de ISA Server 2006, tendrs que escoger 2 tipos de instalacin: Instalacin tpica. Esta opcin instala el servicio y el administrador de ISA Server Instalacin personalizada. Esta instalacin le permite seleccionar los siguientes componentes: o ISA Server; Este servicio controla el acceso y trfico entre las redes. ISA Server Management. Administrador; de ISA Server. La herramienta administrativa es la interfase grfica que le permite administrar de manera centralizada el ISA Server.
Escoger la configuracin durante la instalacin Cuando instale ISA Server 2006, necesita configurar la direccin IP asociada con la red interna, tambin, debe estar enterado de otras opciones en la instalacin
Configurar la red interna:
Una de las opciones que necesita configurar durante la instalacin es la direccin IP en la red interna. La red interna puede contener la direccin IP asociada con todos los adaptadores de red de ISA Server, excepto el adaptador de red conectado a Internet. De la misma manera puede configurar la red interna con un sistema de direcciones IP asociadas con un solo adaptador de red, mientras la direccin IP asignada a los otros adaptadores de red es usada para crear redes adicionales. Por defecto, el asistente de instalacin de ISA Server asigna un rango de direcciones IP privadas definidas por la IANA (Internet Assigned Numbers Authority) como parte de la red interna. Tambin durante la instalacin, puede configurar la red interna para que use las direcciones IP asignadas aun adaptador especfico de red. Cuando ISA Server construye la red interna basada en el adaptador de red, ste usa la tabla de ruteo del Windows para determinar qu rango de direcciones IP que son internas. Si la tabla de ruteo no es correcta, la red interna del ISA Server no se podr construir de manera correcta. Antes de iniciar la instalacin del ISA Server, debe estar seguro que la tabla de ruteo es correcta. Habilitar versiones inferiores del cliente Firewall
Una de las cosas que tiene que saber durante la instalacin de ISA Server, es si permite trabajar con versiones inferiores del cliente Firewall. ISA Server soporta versiones inferiores del cliente firewall, incluyendo el cliente firewall de ISA Server 2000 y 2004 y el cliente Winsock Proxy (De Microsoft Proxy 2.0). A pesar que estos clientes no pueden usar encriptacin cuando se conectan a ISA Server, entonces quiz quiera prevenir el uso de estas versiones en sistemas operativos Windows
CIBERTEC
16
que se conecten a ISA Server. Por defecto, la instalacin de ISA Server 2006 no permite conexiones no encriptadas desde el cliente firewall. Para habilitar a los clientes antiguos, seleccione la opcion Allow non-encrypted Firewall Client connections para otorgar la conexin de los clientes firewall que estn usando versiones inferiores durante la instalacin. Servicios detenidos y deshabilitados Como parte del proceso de instalacin de ISA Server 2006, los siguientes servicios son deshabilitados: Internet Connection Firewall o Internet Connection Sharing IP Network Address Translation
Adicionalmente, los siguientes servicios son detenidos durante la instalacin: Servicio SNMP Servicio FTP Servicio NNTP Servicio de administracin IIS Servicio WWW
Laboratorio Instalar ISA Server 2006 En esta practica, instalar ISA Server 2006 en la maquina virtual SERVER_ISA_Aula 1. Abrir el Explorador de Windows y navegar a C:\UTILSO\ISA Server 2. Doble clic en isaautorun.exe 3. En la pgina Microsoft ISA Server 2006 Setup, clic Install ISA Server 2006 4. En la pgina Welcome to the Installation Wizard for Microsoft ISA Server 2006 Setup, clic en Next. 5. En la pgina de License Agreement, revisar los trminos y las condiciones del contrato de licencia del usuario final. Luego clic I accept the terms in the license agreement, y luego clic en Next. 6. En la pgina Customer Information, acepte por defecto, y luego clic en Next. 7. En la pgina Setup Type, clic Custom. Clic Next. 8. En la pgina Custom Setup, Clic Next. 9. En la pgina Internal Network, clic Add. 10. Clic Add Adapter 11. Clic Network Adapters marque el cuadro LAN y luego clic en Ok. 12. Revisar el rango de direcciones de la red interna, y luego clic Ok. 13. En la pgina Internal Network, clic Next. 14. En la pgina Firewall Client Connections, clic Next. 15. En la pgina de Services Warning, clic Next. 16. En la pgina Ready to Install the Program, clic Install. 17. En la pgina Installation Wizard Completed, clic Finsh. 18. clic Yes para reiniciar la computadora.
INSTALACION DE ISA Server 2006
CIBERTEC
18
CIBERTEC
20
CIBERTEC
22
Service Pack 1 de Microsoft Internet Security and Acceleration (ISA) Server 2006 Standard Edition Informacin ISA Server 2006 SP1 incluye las siguientes caractersticas nuevas:
Seguimiento de los cambios en la configuracin: registra todos los cambios en la configuracin que se han aplicado a la configuracin de ISA Server para ayudarle a evaluar los problemas que pueden surgir como resultado de estos cambios. Regla de pruebas: comprueba que los valores de la configuracin de la regla de publicacin web corresponden con los del servidor web. Simulador de trfico: simula el trfico de red de acuerdo con los parmetros de solicitud especificados y proporciona informacin acerca de las reglas de directivas de firewall que se evalan para la solicitud. Registro de diagnstico: esta caracterstica se ha integrado en forma de ficha en la consola de Administracin ISA Server y muestra eventos detallados sobre cmo se evalan las reglas. ISA Server 2006 SP1, tambin incluye mejoras de caractersticas, entre las que se encuentran: Compatibilidad con operaciones multidifusin de Equilibrio de carga de red (NLB) Compatibilidad con certificados con varias entradas de Nombre alternativo del sujeto (SAN) Autenticacin mediante delegacin limitada de Kerberos (KCD) permitida en un entorno entre dominios
Laboratorio Instalar el Service Pack 1 para ISA Server 2006 En esta prctica, instalar el Service Pack 1 para ISA Server 2006 en la computadora SERVER_ISA_Aula Abrir el Explorador de Windows y navegar a C:\UTILSO\ISA Server\SP1 Doble clic en ISA2006-KB943462-x86-ENU.msp En la pgina Microsoft ISA Server 2006 Service Pack 1, clic en Next En la pgina de License Agreement, revisar los terminos y las condiciones del contrato de licencia del usuario final. Luego, clic I accept the terms in the license agreement, y luego clic en Next. 5. En la pagina Ready to Install the Program, clic Next. 6. En la pgina Installation Wizard Completed, clic Finsh. 7. clic Yes para reiniciar la computadora. 1. 2. 3. 4.
CIBERTEC
24
Clientes de ISA Server Un cliente de ISA Server es una computadora cliente que se conecta a los recursos de otra red, a travs de ISA Server. ISA Server 2006, soporta tres diferentes tipos de clientes. El tipo de cliente que use en la red depende de los requerimientos de seguridad.
Tipos de clientes ISA Server, brinda acceso seguro a Internet para todo estos clientes. ISA Server, soporta tres tipos de clientes: Cliente Firewall, Cliente SecureNAT, y Cliente Web Proxy.
Cliente Firewall. El cliente firewall son computadoras que tienen instalado y habilitado el software Cliente Firewall. Cuando una computadora usa el cliente Firewall y hace una peticin hacia Internet, la peticin va directa al Servicio Firewall. Este Servicio Firewall autentificar y autorizar al usuario y filtrar las reglas del firewall basadas en aplicaciones. El cliente Firewall entrega los niveles ms altos de seguridad y funcionalidad. Cliente SecureNAT. El cliente SecureNAT son computadoras que no tienen instalado el software cliente Firewall. A diferencia, Los clientes SecureNAT son configurados para rutear todas las peticiones hacia los recursos de otras redes. Si la red incluye, nicamente, un segmento, el cliente SecureNAT es configurado para usar la direccin IP interna de la computadora que ejecuta ISA Server como puerta de enlace. Los clientes SecureNAT son fciles de configurar porque solo necesitas configurar la puerta de enlace en las computadoras clientes. Cliente Web Proxy. Los clientes Web Proxy son cualquier computadora que ejecute navegadores Web. Las peticiones de los navegadores Web son enviada al Servicio Firewall para determinar si tienen permiso o no. Como las mayoras de Clientes Web Proxy no requieren ningn software especial para ser instalado, sin embargo, los clientes Web Proxy tienen que ser configurados para usar ISA Server.
Resumen
Una de las cosas que tiene que escoger durante la instalacin ISA Server es si se permite trabajar con versiones inferiores del cliente Firewall. ISA Server, soporta versiones inferiores del cliente firewall, incluyendo el cliente firewall del ISA Server 2000 y el cliente WinSock Proxy (De Microsoft Proxy 2.0). Como parte del proceso de instalacin de ISA Server 2006, los siguientes servicios son deshabilitados: Internet Connection Firewall o Internet Connection Sharing IP Network Address Translation
CIBERTEC
26
1
TEMA
INSTALACIN ISA SERVER.

Y MONITOREO DE LOS CLIENTES

Saber instalar y configurar los diferentes clientes que soporta ISA Server. Configurar opciones avanzadas para el cliente Firewall y establecer los niveles de seguridad del ISA Server 2006. Configurar ISA Server para registrar las conexiones de los clientes. Configurar y probar un Cliente SecureNAT y un cliente Firewall.
TEMARIO
Instalacin y monitoreo de los Clientes ISA Server 2006. Configuracin del Cliente Web Proxy. Configuracin del Cliente Firewall. Configuracin del Cliente SecureNAT. Monitoreo de los Clientes de ISA Server.
Se efecta la instalacin de los clientes del ISA Server 2006
CIBERTEC
28
1.3 Instalacin y monitoreo de los clientes ISA 2006:
Laboratorio 1.3.1 Instalacin y monitoreo de los Clientes ISA Server 2006. En este laboratorio, configurar el registro de ISA Server para monitorear las conexiones clientes hacia ISA Server. 1. Para realizar este laboratorio se necesitar trabajar con dos equipos: 1. El Servidor ISA_Server_Aula y la maquina virtual CLIENTE 2. Iniciar sesin con el nombre de usuario administrador, y la contrasea P@ssw0rd. 2. Configure ISA Server 2006 para que registre las conexiones de los clientes 1. Abrir ISA Server Management, expanda SERVER y luego, haga clic en Monitoring. 2. En la pestaa Logging, En el panel Details clic Start Query.
1.3.1 Configuracin del Cliente Web Proxy. 1. Desde la maquina virtual CLIENTE inicie sesin con el usuario administrador y la contrasea P@ssw0rd. 2. Abra Internet Explorer. Clic Tools y luego, clic Internet Opciones. 3. En el cuadro de dilogo Internet Options, clic en la pestaa Connections. 4. Clic en Lan Settings. En la pgina Lan Settings, clic Use a Proxy Server for your LAN. En la ventana Address, tipee SERVER. en la opcion Port, tipee 8080. 5. Seleccione By pass Proxy Server for local address. Doble-clic en Ok. 6. Abra el Internet Explorer e ingrese a la direccin http://www.microsoft.com Si recibe un mensaje de error del Internet Explorer, clic en Ok.
7. Revise el mensaje del Proxy. 8. En la maquina virtual SERVER_ISA_Aula, localice los eventos registrados que han usado el protocolo http y el puerto destino 8080. Confirma que la peticin fue denegada por la Regla por Defecto.
1.3.3 Configuracin del Cliente Firewall. 1. Desde la computadora ISA_SERVER_Aula inicie sesin con el usuario administrador y la contrasea P@ssw0rd. 2. En el men Start, clic en Run. Tipee \\SERVER\Client y clic en Ok. 3. Clic-derecho en MS_FWC y clic en Install. 4. En la pgina Welcome to the Install Wizard for the Microsoft Firewall Client, clic Next. 5. En la pgina de License Agreement, revisar los terminos y las condiciones del contrato de licencia del usuario final. Luego clic I accept the terms in the license agreement, y luego clic en Next.
CIBERTEC
30
6. En la pgina Destination Flder, revisar la ubicacin del directorio de instalacin por defecto. Clic en Next para continuar. 7. En la pantalla ISA Server Computer Selection, Seleccione Connect to this ISA Server y tipee SERVER. clic en Next. 8. En la pgina Ready to Install the Program, clic Finsh. Cierre todas las ventanas.
CIBERTEC
32
5. Abra Internet Explorer e ingrese a la direccin http://www.microsoft.com Si recibe un mensaje de error del Internet Explorer, clic en Ok. 6. Ingrese a ISA_SERVER_Aula y revise el mensaje generado por el Servidor Proxy. 7. En la maquina virtual ISA_SERVER_Aula localice los eventos registrados que han usado el protocolo http y el puerto destino 8080. Confirma que la peticin fue denegada por la Regla por Defecto.
1.3.4 Configuracin del Cliente SecureNAT. En la maquina virtual SERVER_ISA_Aula, inicie sesin, con el nombre de usuario Administrador, la contrasea P@ssw0rd. 1. Abra el entorno Command, y digite ipconfig /all. Puede nota que la computadora no tiene configurada el default gateway 2. clic en el men Start, Seleccione Control Panel, luego Network Connections, y luego clic en Local Area Connections. Clic Properties. 3. Clic en TCP/IP, y luego clic en Properties. 4. En la ventana Default Gateway, digite la direccion ip de ISA SERVER. Clic Ok, y luego doble clic en Close. 5. Abra Internet Explorer. Si recibe un mensaje de error del Internet Explorer seleccione In the future, do not show this messages y luego clic Ok. Trate de conectarte a http://www.google.com. La conexin fallar. 6. Cierre la ventana. 7. Verifique en ISA Server, los eventos registrados que usaron el protocolo HTTP. Confirma que la peticin fue denegada por la Default Rule.
1.3.5 Monitoreo de los Clientes de ISA Server. 1. En Microsoft Internet Security and Acceleration Server 2006
management console, expanda el nombre del servidor, clic en Monitoring.

2. En la pestaa Logging, En el panel Details clic Start Query Se visualizara todo el trafico IP que ISA Server est registrando. As como tambin las acciones que ISA Server realiza.
CIBERTEC
34
Resumen
La herramienta de monitoreo de ISA Server 2006 es una interfaz de supervisin y registro que permite realizar el seguimiento del estado en que se encuentra ISA Server, mostrando una lista de alertas de determinados eventos que sucede con los servicios de ISA Server. Si desea saber ms acerca de estos temas, puede consultar la siguiente pgina. http://technet.microsoft.com/en-us/library/bb794817.aspx
2
TEMA
HABILITAR INTERNET

EL ACCESO A LOS
RECURSOS
DE

Describir cmo trabaja el servidor ISA Server 2006 como servidor PROXY. Saber configurar el ISA Server para brindar acceso seguro a los recursos de Internet.
TEMARIO
Componentes para el acceso seguro. Razones para instalar un servidor Proxy. Redes y objetos de red de una regla de red.
ACTIVIDADES PROPUESTAS Identifican y configuran reglas de red.
CIBERTEC
36
2.1 Habilitar el acceso a los recursos de Internet. Uno de los primeros escenarios de implementacin para ISA Server 2006 es brindar un acceso seguro a los recursos de Internet para los usuarios de la red interna. ISA Server 2006 otorga una solucin completa para brindar el acceso seguro. El administrador de ISA Server necesita comprender la funcionalidad entregada por el ISA Server y cmo configurar el acceso seguro a los recursos de Internet. ISA Server brinda varias opciones diferentes para permitir este acceso seguro. 2.1.1 Componentes para el acceso seguro ISA Server brinda las siguientes funciones para permitir el acceso seguro: ISA Server como un Firewall. ISA Server, entrega una completa solucin como servidor Firewall que permite el filtrado en mltiples capas. Como un Firewall, ISA Server, asegura el acceso hacia Internet controlando el trfico no autorizado que puede ingresar a la red interna. ISA Server como un Servidor Proxy. Cuando los clientes Firewall y Proxys se conectan al servidor para acceder a los recursos de Internet, ISA Server acepta las peticiones de los clientes, y crea una nueva peticin que es enviada al servidor de Internet. ISA Server, esconde detalles de la red interna desde Internet. nicamente, la direccin IP externa de ISA Server es transmitida hacia Internet. ISA Server, tambin, esconde detalles de la red para los clientes SecureNAT usando nateo que convierte las direcciones IP internas a la direccin IP externa que tiene ISA Server. ISA Server 2006 implementa el uso de polticas para acceder a Internet ISA Server puede ser usado para implementar restricciones para el uso de Internet incluyendo: Restriccin basada en usuarios y grupos. ISA Server puede limitar el acceso a Internet basado en cuentas de usuarios y grupos que han sido creados en el AD, o en un servidor Radius, o en servidores RSA SecureID. Restriccin basada en computadoras. ISA Server puede limitar de manera especfica el acceso a computadoras, o grupo de computadoras de la recta. Por ejemplo, puede habilitar la restriccin para el acceso de Internet desde los servidores de la red, o para las computadoras ubicadas en un lugar pblico. Restriccin basada en protocolos. ISA Server puede habilitar o deshabilitar el acceso hacia Internet basado en los protocolos que se usan para acceder a Internet. Por ejemplo, puede habilitar, nicamente, los protocolos http o https y deshabilitar los otros protocolos. O puede habilitar todos los protocolos, y definir la excepcin de protocolos quien estarn habilitados. Restriccin basada en destino de Internet. ISA Server puede limitar el acceso basado en destinos de Internet. Puede bloquear o habilitar destinos basados en nombres de dominio o URLs. Restriccin basada en el contenido que se va descargar desde Internet.
ISA Server, tambin, puede analizar todos los paquetes de la red que estn ingresando de Internet para restringir la descarga inapropiada o el contenido peligroso.
2.1.2 Razones para instalar un servidor Proxy Un servidor Proxy es un servidor situado entre la aplicacin del cliente, como un navegador web, o sirve para el cliente que se quiera conectar a Internet. Un servidor Proxy puede entregar mejoras en la seguridad y un mejor rendimiento para las conexiones hacia Internet. Mejore la seguridad para acceder a Internet Las ms importantes razones para usar un servidor Proxy es hacer que la conexin del usuario hacia Internet sea la ms segura. El servidor Proxy hace las conexiones de Internet ms segura de las siguientes maneras: Autentificacin de usuario. Cuando un usuario solicita una conexin a los recursos de Internet, el servidor Proxy puede solicitarle al usuario que se autentifique, forzando el ingreso de un usuario y contrasea. El servidor Proxy puede luego otorgar o denegar el acceso a los recursos de Internet basado en la autentificacin del usuario. El filtrado de peticiones de los clientes. El servidor Proxy puede usar mltiples criterios para filtrar las peticiones de los clientes. Adicionalmente, al filtrado de la peticiones basado en usuario quien est realizando la peticin, el servidor Proxy puedes filtrar la peticin basado en la direccin IP, protocolo o la aplicacin que se est usando para acceder a Internet, hora del da, y el sitio web o el URL. Inspeccionar el contenido el servidor Proxy puede inspeccionar todo el trfico entrante y saliente que fluye de la conexin a Internet y determinar si hay un trfico que debera ser negado. Esto incluye examinar el contenido del trfico para buscar palabras, virus, o analizar las extensiones de los archivos. Basado en el criterio de configuracin el servidor Proxy, puedes inspeccionar todo el contenido y filtrarlo. Registrar el acceso del usuario. Como todo el trfico fluye a travs del servidor proxy, el servidor puede registrar todas las cosas que hace el usuario. Las peticiones HTTP, esto puede incluir el registro de cada URL visitada por el usuario. El servidor puede estar configurado para brindar reportes detallados de la actividad del usuario que pueden ser usado para brindar conformidad con las polticas que usa la organizacin para acceder a Internet. Esconder detalles de la red interna. Porque todas las peticiones hacia los recursos de Internet viene desde el servidor Proxy y algo desde las computadoras de la red interna, los detalles de la red interna son escondidos para Internet. En la mayora de los casos, no hay informacin de las computadoras clientes tales como el nombre de la computadora o la direccin IP. Otro de los beneficios de usar un servidor Proxy es mejorar el rendimiento para acceder a Internet. El servidor Proxy mejora el rendimiento por medio del almacenamiento de las pginas de Internet solicitadas por los usuarios de la red. Cuando un usuario solicita la misma informacin, el servidor Proxy brinda la pgina almacenada en la cach del disco duro a diferencia de solicitarla desde Internet.
CIBERTEC
38
Configurar ISA Server como servidor Proxy 1. En el rbol de la consola de ISA Server management, expanda el nodo SERVER, luego expanda el nodo Configuration y seleccione Networks. 2. En la pestaa Networks, clic en Internal Network. En el panel de tareas, clic en Edit selected Network. 3. En la pestaa Web Proxy, asegrese que este seleccionado Enable web Proxy Clients y Enabled http. Asegrate que el puerto http sea 8080.
La siguiente tabla describe las diferentes opciones para configurar el Web Proxy: Cuadro de Dialogo Pestaa web Proxy Escoja configuracin Habita HTTP esta Para: Configure ISA Server para que escuche las conexiones HTTP en un nmero de puerto especfico. Configure ISA Server y escuch las conexiones HTTPS puerto especfico. Si habilita SSL, debera tambin configurar un certificado que ser usado para la autentificacin y encriptacin SSL. Los navegadores no pueden usar est configuracin, pero esta configuracin puede ser usado en escenarios Web chaining. de Configure el mtodo o mtodos de autentificacin soportado por ISA Server
Pestaa web Proxy
Habita SSL
Autentificacin
Mtodos autentificacin
Autentificacin
Seleccione el dominio
Servidores RADIUS
Configuraciones avanzadas
Configuraciones avanzadas
Requiere que todos los Configure ISA Server usuarios se autentifiquen para permitir nicamente usuarios autentificados para acceder a otras redes. Si escoge esta opcin, los clientes SecureNAT no sern capaces de acceder a Internet usando este servidor Autentificacin de Configure el dominio por dominio defecto que ser usado para la autentificacin cuando est usando bsico, digest, o autentificacin RADIUS. Nombre del servidor y Configure el servidor puerto RADIUS que ser usado para la autentificacin Nmero de conexiones Configure el nmero de usuarios que pueden concretarse al ISA Server al mismo tiempo. Conexin lmite Configure una conexin lmite para las conexiones idle.
Laboratorio: Configurar ISA Server como Servidor Proxy Habilitar la autentificacin de usuarios de Dominio 1. En el rbol de la consola de ISA Server management, expanda el nodo SERVER_ISA_Aula, luego expanda el nodo Configuration y seleccione Networks. 2. En la pestaa Networks, clic en Internal Network. En el panel de tareas, clic en Edit selected Network. 3. En la pestaa Web Proxy, asegrese que este seleccionado Enable web Proxy Clients y Enabled http. Asegrese que el puerto http sea 8080. 4. Para configurar las opciones de autentificacin, clic Authentication. 5. El cuadro de dialogo Authentication, asegrese que este seleccionado Integrated y Digest. Lea los mensajes de advertencia y luego clic en Yes. 6. Clic en Select Domain. En el cuadro de dialogo Select Domain, En el recuadro Domain Name:, tipee el dominio correspondiente y luego clic en Ok. 7. Clic en Ok para cerrar el cuadro de dialogo de Authentication, clic en Ok para cerrar el cuadro de dialogo de propiedades. 8. Clic Apply para aplicar los cambios y luego clic en Ok cuando los cambios se han aplicados.
CIBERTEC
40
2.1.3 Redes y objetos de red de una regla de red Redes por defecto que son habilitadas en ISA Server. Cuando instala ISA Server 2006 en una computadora que tiene dos tarjetas de red como mnimo, estas son pre-configuradas con el sistema de redes por defecto. Red por defecto Local Host Externa Interna Clientes VPN Cuarentena de Clientes VPN Representa ISA server 2006 Todas las direcciones IP que no han sido asociadas con otra red Todas las direcciones IP especificadas como internas durante la instalacin Todas las direcciones IP para clientes VPN conectados, actualmente. Todas las direcciones IP de los clientes VPN en cuarentena
3.3.1
Redes por defecto
ISA Server viene pre-configurado con las siguientes redes que no pueden ser borradas: La red Local Host. est red representa a ISA Server. Use esta red para controlar todo el trfico que viene desde o va a ISA Server a diferencia del trfico que fluye a travs de ISA server. Como con cualquier red, puede definir reglas de acceso que definen como el trfico de la red puede fluir hacia y desde la red Local Host. Tpicamente, ISA Server necesita estar habilitado para acceder a los servicios en otras redes. Por ejemplo, ISA Server quizs necesite comunicarse como un controlador de dominio, un servidor RADIUS, o un servidor DNS en la red interna. ISA Server es preconfigurado con un sistema de polticas del sistema permiten este tipo de acceso. La red Local Host no puede ser modificada. La red externa. Est red incluye todas las computadoras (direcciones IP) que no estn explcitamente asociadas con ninguna otra red. La red externa es, generalmente considerada como una red no segura y representa todas las computadoras e Internet. La red externa no puede ser modificada. La red interna. Est red incluye todas las computadoras que fueron especificadas como internas durante el proceso de instalacin. Clientes VPN. Est red contienen las direcciones actuales de los clientes VPN que estn conectados. Clientes VPN en cuarentena. Est red contienen las direcciones de los clientes VPN que an no han sido limpiados de la cuarentena.
3.4 Objetos de red Adicionalmente, a las redes, ISA Server permite varias otras opciones para configurar grupos de computadoras. Puedes hacer esto al configurar diferentes objetos de red. Por ejemplo, puede crear un sistema de red que incluye mltiples redes, y luego usar el sistema de red cuando creas una regla de red o una regla de acceso, o puede crear un objeto computadora, o un sistema de objeto computadora, para configurar una red o una regla de acceso basado en una computadora especifica o un grupos de computadoras.
3.4.1 Objetos de red por defecto ISA Server brinda los siguientes objetos de red. Estos objetos de red pueden ser usados como elementos de una regla cuando se crean reglas de red o reglas de acceso. Red. Un elemento de la regla red representa una red, que son todas las computadoras conectadas a un slo adaptador de red de ISA Server. Cuando configure una regla de red, puedes usar cualquiera de las redes por defecto, o algunas redes que ha configurado en ISA Server. Sistema de red. El elemento sistema de red de una regla representa un grupo de una o ms redes. Por efecto, ISA Server incluye dos sistemas de red: todas las redes, que incluye todas las redes conectadas a ISA Server, y todas las redes protegidas, que incluye todas las redes excepto, la red externa. Puede, tambin, crear un sistema de red que incluya cualquier combinacin de redes en el servidor. Computadora. El elemento computadora de la regla representa una sola computadora, identificada por la direccin IP. Sistema computadora. El sistema computadora incluye una coleccin de computadoras identificadas por sus direcciones IP, un objeto subnet, o un objeto o un rango de direcciones. Rango de direcciones. Un rango de direcciones es un sistema de computadoras representadas por un rango continuo de direcciones IP. Subset. Una subset representa una red subneteada, especificada por la direccin de red y la mscara. Sistema URL. El elemento sistema URL de la regla es un sistema de URLs como son http://www.hotmail.com o http://www.google.com/ Sistema nombre de dominio. El elemento sistema nombre de dominio de una regla es un sistema de uno o ms nombres de dominio, en el formato X.google.com Escuchador web. Elemento escuchador web de la regla es una direccin IP donde ISA Server escuchar las peticiones web.
CIBERTEC
42
3.5 REGLAS DE RED Cuando se habilitan mltiples redes u objetos de red en ISA Server, se puede configurar una regla de red que defina como los paquetes de la red pasarn entre las redes o entre las computadoras. Las reglas de red determinan si hay una relacin de confianza entre dos redes y qu tipo de relacin debe estar definida. La relacin de confianza de red puede ser configurada de la siguiente manera: RUTEO : Cuando se especifica este tipo de conexin, la peticin del cliente en la red origen es enviada directamente a la red destino. La direccin origen del cliente es incluida en la peticin. La relacin de confianza de ruteo es bidireccional. Esto es, si la relacin de confianza de ruteo es creada de A hacia B, tambin, existir desde la red B hacia la red A. NAT : Cuando se especifica este tipo de conexin, ISA Server reemplaza la direccin IP del cliente que est en la red origen con su propia direccin IP. La relacin de confianza NAT es unidireccional. Esto indica que las direcciones desde la red origen son siempre traducidas cuando pasamos a travs de ISA Server. Por ejemplo, por efecto una relacin de confianza de red usando NAT es definida entre Internet y la red interna. Cuando un cliente hace una peticin a Internet, la direccin IP de la computadora cliente interna es reemplazada por la direccin de ISA Server antes que la peticin sea pasada al servidor que est en Internet. Por otro lado, cuando un paquete desde Internet es retornado a la computadora cliente, la direccin del servidor no es traducida. Las computadoras cliente en la red interna puede acceder a las direcciones que estn en Internet, pero las computadoras que estn en Internet no pueden acceder a las direcciones IP internas. Cuando la relacin de confianza no est configurada entre las redes, ISA Server bloquea todo el trfico entre las dos redes. Reglas de red por defecto Al momento de la instalacin, las siguientes reglas de red son creadas por defecto. Acceso al Local Host. Esta regla define una relacin de ruteo entre la red localhots y todas las otras redes. Clientes VPN haca la red interna. Esta regla define la relacin de ruteo entre la red interna y los clientes VPN en cuarentena y los clientes de red VPN. Acceso a Internet. sta regla define una relacin de confianza NAT entre la red interna, los clientes VPN en cuarentena, y los clientes de red VPN y la red externa.
Resumen
ISA Server viene con algunas redes por defecto que no pueden ser borradas: a. b. c. d. e. La red Local Host La red externa La red interna Clientes VPN. Est Clientes VPN en cuarentena
El servidor Proxy puede usar mltiples criterios para filtrar las peticiones de los clientes. El servidor Proxy puede inspeccionar todo el trfico entrante y saliente que fluye de la conexin a Internet y determinar si hay un trfico que debera ser negado.
CIBERTEC
44
CIBERTEC
46
2
TEMA
5
REGLAS DE ACCESO
. Configurar los elementos de la regla de acceso.
TEMARIO
Reglas de acceso Formato de regla de acceso.
ACTIVIDADES PROPUESTAS Identifican y configuran reglas de acceso.
2.2.1 Reglas de acceso Por defecto, el ISA Server deniega todo el trfico de red entre otras redes, de esta manera limita el trfico entre la red local host y otras redes. Configurar una regla de acceso es la nica manera para que el trfico pueda fluir entre las redes. Una regla de acceso define las condiciones para que el trfico sea permitido o denegado entre las redes. Un elemento de la regla de acceso forma parte de las opciones de configuracin dentro de una regla de acceso. Elementos de una regla de acceso: Elemento de la regla de acceso Protocolos Usuario Tipos de contenido Horarios Usado para configurar: Los protocolos que estarn permitidos o denegados por una regla de acceso. Los usuarios que sern permitidos o denegados por una regla acceso. El tipo de contenido que ser permitido o denegado por una regla acceso. La hora del da cuando el acceso a Internet ser permitido o denegado por una regla de acceso. Las computadoras o destinos que sern permitidos o denegados por una regla de acceso.
Objetos de red
Razones para usar los elementos de una regla de acceso Los elementos de una regla de acceso son objetos de configuracin en ISA Server que puede usar para crear una regla de acceso especfica. Por ejemplo, quizs quiera crear una regla de acceso que permita, nicamente, trfico HTTP. Para hacer esto ISA Server proporciona una regla de acceso de protocolo. Algunas organizaciones desean limitar el acceso hacia Internet a ciertos usuarios o computadoras. Para lograr esto, puedes crear una subred o elementos de la regla de usuario, y luego usar este elemento en una regla de acceso que limite el acceso hacia Internet a las computadoras en la subred especificada, o para los usuarios especificados. Tipos de elementos para las reglas de acceso Hay cinco tipos de elementos para las reglas: Protocolos: Este elemento de la regla contiene protocolos que puede usar para definir el protocolo que ser usado en la regla de acceso. Por ejemplo, puede permitir o denegar el acceso a uno o ms protocolos. Usuarios: En este elemento de la regla, se puede crear un sistema de usuario para aplicarlo a una regla de manera explcita, o para ser excluido de la regla. Por ejemplo, quizs quienes crearon una regla que permita el acceso Internet a todos los usuarios dentro de una organizacin, con excepcin de todos los usuarios temporales. Usando el servicio de directorio del Active Directory o el servidor RADIUS para autentificacin, puedes configurar una regla de acceso que otorgue el acceso hacia Internet a un grupo de
CIBERTEC
48
usuarios del dominio, empleadostemporales.
pero
denieguen
el
acceso
al
grupo
Tipos de contenido: Este elemento de la regla brinda diferentes tipos de contenido comn para que pueda aplicarlos a una regla. Por ejemplo, puede usar el elemento tipo de contenido en una regla para bloquear toda descarga que incluya el contenido de archivos con extensin .exe o .vbs Horarios: Este elemento de la regla permite definir a qu horas las reglas se van a aplicar. Si se necesita definir una regla de acceso que permita el acceso hacia Internet, nicamente, durante horas especficas, se puedes crear el elemento horario de la regla que definan estas horas, y luego usar este elemento horario cuando se crean la regla de acceso. Objeto de red: Este elemento de la regla te permite crear un sistema de computadoras a las cuales se les va aplicar la regla, o a las que se les va a excluir de la regla. Tambin, puede configurar un sistema de nombres de dominio (google.com) y URLs (http://www.google.com/traductor) que puede usar para permitir o denegar el acceso a dominios o URLs especficos.
2.2.2 Formato de la regla de acceso Las reglas de acceso son usadas para configurar todo el trfico que fluye a travs de ISA Server, incluyendo todo el trfico desde la red interna haca Internet, y desde Internet hacia la red interna. Todas las reglas de acceso tienen la misma estructura como se muestran la siguiente tabla.
Definicin de las reglas de acceso

Accin
Explicacin
Las reglas de acceso son siempre configuradas para permitir o denegar el acceso Las reglas de acceso pueden ser aplicadas a protocolos especficos o nmero de puertos Las reglas de acceso pueden ser aplicadas a usuarios especficos o a todos los usuarios, si ellos se han autentificado o no. Las reglas acceso pueden ser aplicadas a computadoras especficas en red o direcciones IP. Las reglas de acceso pueden ser aplicadas a destinos especficos, incluyendo redes, direcciones IP destino, y sitios destino Las reglas de acceso pueden configurar condiciones adicionales, incluyendo horarios y filtrado por el tipo de contenido.
Para realizar un trfico especfico
Desde un usuario particular
Desde una computadora particular
Desde un destino particular
Basado en una condicin particular
Laboratorio 1. Configurar una regla de acceso que permita trfico WEB desde ISA Server 2006 hacia la Red Interna 1. En el rbol de la consola de ISA Server Management, expanda el nodo SERVER, luego expande el nodo Firewall Policy. 2. En la pestaa Task, clic en Create New Access Rule. 3. En la pgina New Access Rule Wizard, escribe el nombre Local Host to Internal Network, luego clic en Next. 4. En la pgina Rule Action, seleccione Allow. 5. En la pgina Protocols, seleccione los protocolos que se van a aplicar a esta regla, en el cuadro desplegable escoja Selected protocols y luego, clic en Add, expanda el nodo Common Protocols y agregue los siguientes protocolos: http,https, clic en Close y luego, clic en Next. 6. En la pgina Access Rule Sources Clic en Add. Expanda el nodo Networks y seleccione Local Host, clic en Add y luego clic en Close. 7. En la pgina Access Rule Sources clic en Next. 8. En la pgina Access Rule Destinations Clic en Add. Expanda el nodo Networks y seleccione Internal, clic en Add y luego clic, en Close.En la pgina Access Rule Sources clic en Next. 9. En la pgina User Sets clic en Next para que esta regla se aplique a todos los usuarios. 10. En la pgina Completing the New Access Rule Wizard clic en Finish. 11. En la maquina virtual SERVER_ISA_Aula abra Internet Explorer y escriba la direccion ip correspondiente. Nota: Para que ISA Server 2006 pueda acceder a Redes Externas (Internet), tendra que modificar la regla de acceso que acaba de crear y agregar en la red destino el objeto Externa que representa la red de Internet en ISA Server. 2. Configurar una regla de acceso que permita trfico Web desde la Red Interna hacia la Red Interna. 1. Desde la computadora CLIENTE inicie sesin con el usuario administrador y la contrasea P@ssw0rd. 2. Ejecute Internet Explorer y escriba la direccin IP correspondiente, lea el mensaje que aparece en el navegador. 3. En la mquina virtual SERVER_ISA_Aula localiza los eventos registrados que han usado el protocolo http y el puerto destino 8080. Confirma que la peticin fue denegada por la Regla por Defecto. 4. En el rbol de la consola de ISA Server Management, expanda el nodo SERVER, luego expande el nodo Firewall Policy. 5. En la pestaa Task, clic en Create New Access Rule. 6. En la pgina New Access Rule Wizard, escribe el nombre Internal Network to Internal Network, luego clic en Next. 7. En la pgina Rule Action, seleccione Allow. 8. En la pgina Protocols, seleccione los protocolos que se van a aplicar a esta regla, en el cuadro desplegable escoja Selected protocols y luego, clic en Add, expanda el nodo Common Protocols y agregue los siguientes protocolos: http,https, clic en Close y luego clic en Next.
CIBERTEC
50
9. En la pgina Access Rule Sources Clic en Add. Expanda el nodo Networks y seleccione Internal, clic en Add y luego, clic en Close. En la pgina Access Rule Sources, clic en Next. 10. En la pgina Access Rule Destinations Clic en Add. Expanda el nodo Networks y seleccione Internal, clic en Add; luego, clic en Close. En la pgina Access Rule Sources, clic en Next. 11. En la pgina User Sets clic en Next para que esta regla se aplique a todos los usuarios. 12. En la pgina Completing the New Access Rule Wizard clic en Finish. 13. En la computadora CLIENTE abra Internet Explorer y escriba la direccin IP correspondiente. Nota: Para que ISA Server 2006 permita a la red Interna acceder a Redes Externas (Internet), tendra que modificar la regla de acceso que acaba de crear y agregar en la red destino el objeto Externa que representa la red de Internet en ISA Server.
Resumen
Una regla de acceso define las condiciones para que el trfico sea permitido o denegado entre las redes. Los elementos de una regla de acceso son objetos de configuracin en ISA Server que puede usar para crear una regla de acceso especfica.
CIBERTEC
52
2
TEMA
6
CONFIGURACIN
DE ACCESO DE ELEMENTOS DE UNA REGLA

.
Configuracin de elementos de una regla de acceso
TEMARIO
Configurar elementos de una regla de acceso Configurar el elemento usuario Configurar los elementos de tipo contenido.
ACTIVIDADES PROPUESTAS Identifican y configuran los elementos de una regla de acceso.
2.3.1 Configurar elementos de una regla de acceso Configurar el acceso hacia los recursos de Internet envuelve la configuracin de varios componentes dentro de ISA Server 2006. Uno de estos componentes son los elementos de la regla de acceso. Los elementos de la regla de acceso permiten al administrador crear objetos como crear un objeto usuario, objetos horarios, u objetos protocolos. Estos objetos pueden ser usados cuando crea la regla de acceso para controlar el acceso hacia Internet. Como configurar el elemento protocolo En la mayora de casos, quizs necesite crear una regla de acceso que permita o deniegue el acceso a Internet dependiendo del protocolo que el cliente est usando. Para hacer esto, puede usar uno de los elementos de protocolo que brinda ISA Server o puede crear su propia definicin de protocolo. Crear Nuevos protocolos ISA Server, incluye una variedad amplia de protocolos pre-configurados que puede usar cuando crea reglas de acceso. En casi todos los casos, los protocolos pre-configurados entregan toda la flexibilidad posible cuando se configuran reglas de acceso. Los protocolos incluidos con el ISA Server no pueden ser borrados. Puede modificar los filtros de aplicacin para los protocolos pre-configurados, pero no puede modificar alguna otra configuracin. Tambin, se pueden crear nuevos protocolos usando el administrador de ISA Server. Por ejemplo, quizs est usando una aplicacin personalizada que requiere un nmero de puerto especfico. Es posible crear un elemento protocolo que use este nmero de cuarto y luego usar el elemento protocolo en la regla de acceso. Los protocolos definidos por el usuario pueden ser editados o borrados. Cuando crea un protocolo, debe especificar las configuraciones listadas en la siguiente tabla:
Configuraciones
Tipo de protocolo Direccin
Explicacin Este incluye TCP, UDP, ICMP, o los tipos de niveles del protocolo IP Para UDP, este incluye enviar, recibir, enviar recibir, o recibir enviar. Para TCP, este incluye enviar y recibir Para los protocolos TCP y UDP, este es el rango de puertos entre 1 y 65534 que es usado para la conexin inicial. Los niveles del protocolo IP, este es el nmero del protocolo. Para el protocolo ICMP, esto es el tipo y cdigo ICMP. Esta configuracin es opcional; este es el rango de puertos, tipos de protocolos, y la direccin usada para las conexiones adicionales o paquetes que siguen la conexin inicial. Puedes configurar una o ms conexiones secundarias.
Rango de puertos
Nmero de protocolo Propiedades ICMP Conexiones secundarias
CIBERTEC
54
Para crear un nuevo objeto protocolo, use el siguiente procedimiento. 1. Abra la herramienta administrativa ISA Server Managment, clic en Firewall Policy. 2. Es la pestaa Toolbox, clic Protocols. 3. Clic en New, y luego clic en Protocol o RCP Protocol. Para este ejemplo, escoja Protocol. 4. En la pgina Welcome to the New Protocol Definition Wizard, en el cuadro de texto Protocol definition name: escribe el nombre del protocolo. Clic en Next. 5. En la pgina Primary Connection Information, clic en New para configurar el tipo de protocolo, direccin, y los nmeros de puerto. Clic en Ok y luego, clic en Next. 6. En la pgina Secondary Connection Information, seleccione si quiere usar conexiones secundarias. Si el protocolo requiere conexiones secundarias, clic en Yes, y luego clic en New para configurar el tipo de protocolo, direccin, y los nmeros de puerto. Clic en Ok y luego, clic en Next 7. En la pgina Completing to the New Protocol Definition Wizard, revise la configuracin y luego, clic en Finsh. Para modificar la existente configuracin del protocolo, seleccione el protocolo, y luego clic en Edit. 2.3.2 Configuracin del elemento usuario El segundo criterio que quizs quiera aplicar a una regla de acceso es el usuario va a estar con acceso permitido o denegado por la regla de acceso. Puede configurar esto creando los elementos de usuario y luego, aplicar el elemento usuario a una regla de acceso. Configurar el sistema usuario Para limitar el acceso hacia los recursos de Internet basado en usuarios o grupos, necesita crear un elemento usuario. Cuando limite la regla de acceso a un usuario especfico, el usuario tiene que ser autentificado antes que se le otorgue el acceso. Por cada grupo de usuarios, puede definir qu tipo de autentificacin es requerida. Puede mezclar diferentes tipos de autentificacin dentro de un sistema de usuario. Por ejemplo, un sistema de usuario quizs incluida a un usuario de Windows basado en la calidad de miembro en el dominio, un usuario desde un servidor RADIUS, y otro usuario desde un espacio de nombre secureid. ISA Server, viene pre-configurado con los siguientes sistemas de usuario: Todos los usuarios autentificados: Este sistema incluye todos los usuarios que han sido autentificados usando cualquier tipo de autentificacin. Los clientes Securenat no son autentificados a menos de que ellos se conecten travs de una VPN. Esto significa que si este grupo no incluye clientes que no sean vpn securenat.
Todos los usuarios: Este sistema incluye todos los usuarios, los autentificados y no autentificados. Servicio de red y sistema: Este sistema de usuario incluye el servicio de sistema local y el servicio de red en la computadora que est ejecutando ISA Server. Este sistema de usuario es usado en algunas reglas de poltica del sistema. Para crear un nuevo sistema de usuario, use el siguiente procedimiento: 1. Abra la herramienta administrativa ISA Server Managment, clic en Firewall Policy. 2. Es la pestaa Toolbox, clic Users. 3. Clic en New, en la pgina Welcome to the New User Set Wizard, en el cuadro de texto User set name escriba el nombre del usuario. Clic en Next. 4. En la pgina User, clic en Add y luego clic en el tipo de usuario que desea agregar a este. Aqu hay tres opciones: a. Windows Users and Groups. Use esta opcin para agregar usuarios y grupos desde un dominio Windows o a desde las cuentas locales que est ISA Server. b. Radius use esto para agregar usuarios especficos o todos los usuarios de un servidor Radius. c. SecureID. Use esta opcin para agregar usuarios especficos o todos los usuarios desde un servidor SecureID. Clic en Ok y luego clic en Next. En la pgina Completing to the New User Sets Wizard, revise la configuracin y luego clic en Finsh. Para modificar la existente configuracin del sistema usuario, seleccione el sistema usuario, y luego clic en Edit. Configuracin los elementos de tipo de contenido Es posible que tambin, quieran limitar el tipo de contenido que el usuario pueda acceder en Internet. Para realizar esto, crear un nuevo elemento de tipo de contenido, o usa un elemento de tipo de contenido que exista cuando cree una regla de acceso. 2.3.3 Configurar los elementos de tipo de contenido Los elementos de tipos de contenido definen diferentes tipos de extensiones de archivos y extensiones MIME (multipropose Internet mail extensions). Cuando un cliente como Microsoft Internet Explorer descarga informacin desde Internet usando http o ftp, el contenido es descargado como un archivo que tiene una extensin de nombre especfico. Los elementos de tipo de contenido se aplican nicamente al trfico http y ftp que es enviado en la cabecera http. El trfico ftp, tambin, es enviado en la cabecera http cuando el cliente es configurado como un cliente web proxy.
CIBERTEC
56
Cuando un cliente solicita el contenido ftp, el ISA Server verifica que la extensin del archivo.ISA Server, determina si el tipo de contenido que incluye la extensin del archivo est relacionada a una regla de acceso. Si esto es as, el ISA Server, aplicar la regla.
Cuando un cliente solicita el contenido http, el ISA Server enva la peticin al servidor web. Cuando el servidor web retorna el objeto, el ISA Server verifica la extensin del archivo, dependiendo de la informacin en la cabecera retorna por el servidor web. ISA Server determina si se aplica la regla al tipo de contenido que incluye la peticin de la extensin del archivo, y procede de acuerdo a la regla. ISA Server, est pre-configurado con los siguientes tipos de contenido: aplicacin, archivos con informacin de aplicacin, audio, archivos comprimidos, documentos, en documentos html, imgenes documentos macro, texto, video, y VRLM (virtual reality modeling language). En la mayora de los casos, no necesitar configurar tipos de contenido adicionales o slo podr aplicar los tipos existentes. Cuando configure un tipo de contenido y especifique el tipo MIME, puede usar el asterisco (*) como un carcter comodn. Por ejemplo, para incluir todas los tipos de aplicaciones, ingresen aplicacin/*. El comodn * puede ser usado, nicamente, con los tipos MIME y no con las extensiones de archivos. El * puede ser especificado por nica vez, al final del tipo MIME escriba antes el signo (/).
Para crear un nuevo objeto de tipo de contenido, procedimiento recomendado 1. Abra la herramienta administrativa ISA Server Managment, clic en Firewall Policy. 2. Es la pestaa Toolbox, clic Content Types. 3. Clic en New, en la pgina New Content Type Set, complete la siguiente informacin: a. Name. Escriba el nombre del tipo de contenido b. Available Types. Seleccione el tipo de contenido apropiado desde la lista. Puede escoger, tambin, el contenido MIME o extensiones de aplicaciones. 4. Clic en Add y luego clic en Ok. Para modificar la existente configuracin del tipo de contenido, seleccione el sistema tipo de contenido, y luego clic en Edit. Configuracin del elemento horario En algunos casos, quizs quiera configurar el acceso hacia Internet basado en la hora del da. Para realizar esto, configure un elemento horario y aplquelo a uno de los existentes horarios en la regla de acceso. ISA Server 2006 est pre-configurado con los siguientes dos horarios: Fin de semana. Define un horario que configura como activa todas las horas en los das sbados y domingos. Horas de trabajo. Define un horario que configura como activa las horas entre 9:00 y 17:00 desde el lunes hasta el viernes.
Para crear un nuevo elemento, use el siguiente procedimiento. 1. Abra la herramienta administrativa ISA Server Managment, clic en Firewall Policy. 2. Es la pestaa Toolbox, clic Schedules 3. Clic en New, en la pgina New Schedule, complete la siguiente informacin: a. Name. Escriba el nombre del horario. b. Configure el horario seleccionando las horas cuando la regla ser activa o e inactiva y luego clic en Active o Inactive. 4. Clic en Ok.
Para modificar el existente elemento horario, clic en el elemento, y luego clic en Edit. Configuracin de los sistemas nombre de dominio y sistemas URL Es posible que tambin quiera definir a que sitio WEB los usuarios puedan o no puedan acceder. Se puede configurar esto al crear un sistema nombre y dominio o un sistema URL (Localizador de recurso uniforme) y luego aplicar este sistema a una regla de acceso. Los sistemas nombre de dominio y URL son ambos objetos de red que pueden ser usados cuando define una regla de acceso, pero no puede ser usados para definir reglas de red. Los sistemas nombre de dominio define uno o ms nombres de dominio como un nico sistema, entonces podr aplicarlo a reglas de acceso para dominios especficos. Los sistemas URL especifican uno o ms URLs agrupados dentro del sistema URL. Los sistemas URL puedes ser usados en reglas de acceso para permitir o denegar acceso a Web sites especficos. Especificar nombres de dominio. Cuando especifique el nombre de dominio puede usar un asterisco (* ) para abarcar a todas las computadoras del dominio. Por ejemplo, para especificar todas las computadoras en el dominio nwtraders.msft, escriba el nombre de dominio como*.nwtraders.msft. El asterisco puede aparecer nicamente al inicio del nombre de dominio, y puede ser especificado, nicamente, una vez en el nombre. Especificar URLs. Cuando defina un sistema URL, puede especificar uno o ms URLs en el formato URL. Por ejemplo, especifica un URL como es http://www.nwtraders.msft. Puede, tambin, especificar una ruta que use un comodn en esta ruta, pero nicamente, al final. Por ejemplo, www.nwtraders.msft/* es aceptado. Sin embargo, www.nwtraders.msft/*/sales no es aceptado. ISA Server, incluye los siguientes sistemas de nombre de dominio: Microsoft Error Reporting Sites. Un sistema de nombre de dominio predefinido para permitir reportes de error. System Policy Allowed Sites. Un sistema de nombre de dominio predefinido para permitir el acceso a sites de confianza para mantenimiento y administracin de l.
Para crear un nuevo elemento dominio o URL, us el siguiente procedimiento.
CIBERTEC
58
1. Abra la herramienta administrativa ISA Server Managment, clic en Firewall Policy. 2. Es la pestaa Toolbox, clic Network Objects. 3. Para crear un nuevo sistema nombre dominio, clic en New, en la pgina Domain Name Set 4. En la pgina, New Domain Name Set Policy Element, complete la siguiente informacin: a. Name. Escriba el nombre del dominio. b. Domain names included in this set. Clic en Add y luego escriba nombre del dominio. 5. Clic en Ok 6. para crear un nuevo sistema URL, clic en New y luego clic en URL Set. 7. En la pgina New URL Set Rule Element, complete la siguiente informacin: a. Name. Escriba el nombre del URL. b. Especifique los URLs incluidos en este sistema URL. Clic en New y luego escriba nombre del dominio. 8. Clic en Ok Para modificar el existente sistema en nombre de dominio o sistema URL, clic en el sistema nombre de dominio o URL, y luego clic en Edit.
Laboratorio 1. Configurar el Servidor Proxy para permitir el acceso solo a los usuarios del grupo Internet Allow, entre las 8 am - 4 pm, y tambin, denegar el acceso al dominio www.hi5.com. Configurar los siguientes elementos de una regla: usuario, horario, nombre de dominio. Para crear el sistema usuario, use el siguiente procedimiento. 1. Abra la herramienta administrativa ISA Server Managment, clic en Firewall Policy. 2. Es la pestaa Toolbox, clic Users. 3. Clic en New, en la pgina Welcome to the New User Sets Wizard, en el cuadro de texto User set name escriba Internet Allow. Clic en Next. a. En la pgina User, clic en Add y luego, clic en Windows Users and Groups. Clic en Locations, y seleccione Enteri Directory. Y luego Clic en Ok. b. Ingrese el nombre del objeto en este caso el nombre del grupo Internet Allow, y luego clic en Check Names, Clic en Ok y luego, clic en Next. 4. En la pgina Completing to the New User Set Wizard, revise la configuracin y luego clic en Finsh. Para crear el elemento horario, use el siguiente procedimiento. 1. Abra la herramienta administrativa ISA Server Managment, clic en Firewall Policy. 2. Es la pestaa Toolbox, clic Schedules 3. Clic en New, en la pgina New Schedule, complete la siguiente informacin:
a. Name. Escriba el nombre del horario Lunes a Domingo 8am 4pm. b. Seleccione como horas inactivas entre las 12am - 8am, y entre las 4pm - 12pm, clic en Ok. Para crear el elemento dominio, use el siguiente procedimiento. 1. Abra la herramienta administrativa ISA Server Managment, clic en Firewall Policy. 2. Es la pestaa Toolbox, clic Network Objects. 3. Para crear un nuevo sistema nombre dominio, clic en New, en la pgina Domain Name Set 4. En la pgina, New Domain Name Set Policy Element, complete la siguiente informacin: a. Name. Escriba el nombre hi5.com. b. Domain names included in this set. Clic en Add y luego, escriba el nombre del dominio www.hi5.com 5. Clic en Ok Configure la regla de acceso Red Interna hacia la Red Interna, con los nuevos elementos que ha creado. 1. En el rbol de la consola de ISA Server Management, expanda el nodo SERVER luego expande el nodo Firewall Policy. 2. Seleccione la regla de acceso que va configurar Red Interna hacia la Red Interna, luego 2 clics en el nombre de la regla de acceso. 3. Seleccione la pestaa Users, clic en Add, y seleccione el sistema de usuario Internet Allow. 4. Clic en Add, y luego clic en Close, finalmente clic en Apply 5. Para remover el Sistema All Users, seleccione el Sistema All Users, clic en Remove, finalmente clic en Apply. 6. Seleccione la pestaa Schedule, luego agregue el horario Lunes a Viernes 9am 4pm, Clic en Apply. 7. Seleccione la pestaa To. En el cuadro de excepciones clic en Add, luego expanda el nodo Domain Name Sets, seleccione hi5.com, clic en Add y luego clic en close. 8. Finalmente, clic en Apply. Verifique la configuracin de la nueva regla de acceso con el usuario jperez 1. Desde la maquina virtual CLIENTE inicie sesin con el usuario jperez y la contrasea P@ssw0rd. 2. Abra Internet Explorer e ingrese a las siguientes direccin http://www.hi5.com, http://www.nwtraders.msft Verifique la configuracin de la nueva regla de acceso con el usuario administrator 1. Desde la maquina virtual CLIENTE inicie sesin con el usuario administrator y la contrasea P@ssw0rd. 2. Abra Internet Explorer e ingrese a las siguientes direccin http://www.hi5.com, http://www.nwtraders.msft.
CIBERTEC
60
Resumen
ISA Server viene pre-configurado con los siguientes sistemas de usuario: Todos los usuarios autentificados: Todos los usuarios Servicio de red y sistema Se pueden crear nuevos protocolos usando el administrador de ISA Server. ISA Server, incluye una variedad amplia de protocolos pre-configurados que puedes usar cuando creas reglas de acceso. En casi todos los casos, los protocolos pre-configurados entregan toda la flexibilidad necesaria cuando configuras reglas de acceso.
CIBERTEC
62
3
TEMA
7
CONFIGURAR ISA SERVER COMO FIREWALL
Describir la funcionalidad que brinda el firewall y saber cmo implementarlo mediante polticas del sistema y la deteccin de intrusos.
TEMARIO
Estructura del paquete TCP/IP. Filtrado de paquetes. Ventajas del filtrado de paquetes. Desventajas del filtrado de paquetes.
ACTIVIDADES PROPUESTAS Identifican y configuran ISA Server como un firewall
Uno de los roles primarios, de ISA Server 2006 es funcionar como un servidor firewall entre Internet y la red interna. El firewall limita el flujo del trfico de red desde una red a otra. Si bien existen muchos productos que permiten hacer este tipo de trabajo, muchas organizaciones implementan ISA Server 2006 como un firewall. Esa es una de las razones por las que dominar esta aplicacin es importante. 3.2.1 Estructura del paquete TCP/IP Toda la comunicacin de red en Internet usa TCP/IP como el protocolo de comunicacin. Para configurar ISA Server 2006 como un Firewall, tiene que entender las caractersticas de la comunicacin TCP/IP. Cada paquete TCP/IP est construido de mltiples componentes corresponden a las siguientes cuatro capas: componentes. Los
Capa de Interfase de red: Esta capa se encarga de ubicar los paquetes TCP/IP en el medio de red y recibir los paquetes TCP/IP desde el medio de red. TCP/IP fue diseado para ser independiente de la capa interface de red. La cabecera de la capa interface de red incluye informacin del direccionamiento requerida por los dispositivos fsicos conectados a la red para comunicarse con otros dispositivos. Capa de Internet: Esta capa se encarga del direccionamiento de los paquetes, fragmentacin y ensamblado de los mismos, y ruteo de los paquetes entre las redes. El protocolo ms importante en esta capa es el protocolo de Internet (IP). Capa de transporte: Esta capa brinda los servicios de comunicacin de sesin y datagrama. La base de los protocolos de la capa transporte son protocolo de control de transmisin y el protocolo de datagrama del usuario. Capa de aplicacin: En esta capa las aplicaciones acceden a los servicios de las otras capas y tambin define el protocolo de aplicacin usado para intercambiar informacin. Protocolo de Transferencia de Hipertexto (http), Protocolo de Transferencia de Archivo (FTP), Protocolo Simple de Transferencia de Correo (SMTP), Telnet, Sistema de nombre de dominio (DNS)son algunos ejemplos de los protocolos de la capa aplicacin.
6.1.1 Protocolo de Internet (IP) IP es el protocolo primario de la capa de red responsable del direccionamiento y ruteo de paquetes entre los dispositivos. Un paquete IP consiste de una cabecera IP y la carga data IP. La siguiente tabla describe los campos claves de la cabecera IP.
Campo de la Cabecera IP
Direccin origen Direccin destino Protocolo
Funcin
La direccin IP de la fuente original del datagrama IP. La direccin IP del destino final del datagrama IP. Informacin del tipo de protocolo que est viajando con el paquete hacia el
CIBERTEC
64
dispositivo destino. Protocolo TCP TCP es un protocolo seguro orientado a la conexin, esto significa que primero se debe establecer una sesin entre los dispositivos antes de que puedan intercambiar data. La confiabilidad se logra asignando una secuencia numrica por cada paquete transmitido. El reconocimiento es usado para verificar que la data ha sido recibida. TCP brinda una conexin punto a punto, orientado a la conexin, y servicios de comunicacin segura. La siguiente tabla describe los campos en la cabecera TCP.
Campo de cabecera TCP

Puerto origen Puerto destino Secuencia numrica Nmero de reconocimiento
Funcin
Puerto TCP de envo para el dispositivo Puerto TCP destino del dispositivo Secuencia numrica del primer byte de data en el paquete TCP. Secuencia numrica enviada desde el otro lado de la conexin.
Protocolo UDP UDP es un protocolo no confiable orientado a la desconexin, esto significa que hace el mejor esfuerzo para la transmisin de data en mensajes. Esto significa que no le importa si los datagramas llegan o si no contienen la secuencia correcta. El protocolo UDP no recupera la data prdida usando retransmisiones, debido a que no usa el byte de reconocimiento. La cabecera UDP contiene informacin del puerto origen y destino, pero no incluye informacin secuencial o de reconocimiento. El asegurar que los paquetes UDP sean enviados correctamente, es responsabilidad de los protocolos de la capa de aplicacin. Windows Sockets La mayora de aplicaciones en Internet se ejecutan sobre la plataforma Windows y hacen uso del Windows Sockets para comunicarse con los protocolos de las capas inferiores. Windows Sockets entrega servicios que permiten a las aplicaciones lanzarse a un puerto en particular y a una direccin IP en un determinado dispositivo, inicializa y acepta una conexin, enva y recibir data, y cierra una conexin. Un Socket est definido por la asociacin de un protocolo a una direccin en el dispositivo. En TCP/IP, la direccin de socket es la combinacin de la direccin IP y el puerto. De esta manera dos sockets, uno por cada fin de la conexin, forman una ruta direccional de comunicaciones. Para que se d la comunicacin la aplicacin debe especificar el protocolo, la direccin IP de la computadora destino, y el puerto de la aplicacin destino. Despus que la aplicacin est conectada, la informacin puede ser enviada y recibida. 3.2.2 Filtrado de paquetes El rol primario de un firewall es prevenir que el trfico de la red externa ingrese a la red interna a menos que el trfico sea permitido de manera explcita. Una de las maneras que un firewall realiza esto es a travs del filtrado de paquetes. El filtrado de paquetes controla el acceso hacia la red desde la capa de red por medio de la inspeccin y permite o deniega el paquete IP que se va transmitir a travs del firewall. Cuando el firewall inspecciona un paquete IP, este examina, nicamente, la informacin en las cabeceras de la capa de red y transporte,
incluyendo informacin del paquete origen y destino, el tipo de protocolo y el nmero de puerto. El firewall puede evaluar los paquetes IP usando el siguiente criterio: Direccin destino: La direccin destino quiz sea la direccin IP actual de la computadora destino en el caso de una relacin de confianza de ruteo entre dos redes que estn conectadas por ISA Server. El destino, quiz tambin sea, la interfase externa del ISA Server en el caso de una relacin de confianza de red basada en NAT. Direccin origen: Esta es la direccin IP de la computadora que, originalmente, transmiti el paquete. Protocolo IP y nmero de protocolo: Se puede configurar el filtrado de paquetes tomando en cuenta los protocolos TCP, UDP, ICMP, y cualquier otro protocolo. Cada protocolo tiene asignado un nmero. Por ejemplo, TCP es el protocolo 6, y el protocolo de ruteo genrico de encapsulamiento para las conexiones PPTP es el protocolo 47. Direccin: Esta es la direccin del paquete a travs del firewall. En la mayora de casos, la direccin puede estar definida por la entrada, salida o ambos. Para algunos protocolos, como son FTP o UDP, la direccin escogida quizs sea nicamente de recepcin, o nicamente envo, o ambos. Nmero de puerto: Al efectuar el filtrado de un paquete TCP o UDP, se define un puerto local o remoto. El puerto local y remoto puede ser definido por un nmero de puerto fijo o dinmico. 3.2.3 Ventajas del filtrado de paquete El filtrado de paquetes tiene sus ventajas y desventajas. Algunas de las ventajas incluidas son: El filtrado de paquete, nicamente, inspecciona la cabecera de la capa de red y transporte, entonces el filtrado de paquete es muy rpido. El filtrado de paquete puede ser usado para bloquear o para permitir una direccin IP particular. Si se detecta un ataque en la capa de aplicacin o desde una direccin IP, se puede bloquear la direccin IP con el filtrado de paquete. Tambin, es posible permitir el acceso hacia nuestra red y si se sabe que el trfico vendr desde una direccin en particular, se puede permitir el acceso, nicamente, desde esa direccin fuente. El filtrado de los paquetes puede ser usado para filtrar el trfico de ingreso o de salida. Filtrar el ingreso bloquea todo el acceso en la interface externa del firewall para paquetes que tengan una direccin IP origen que est, lgicamente, en la red interna. Por ejemplo, si su red interna incluye la red 192.168.20.0, un filtro de entrada bloquear un paquete que llegue a la interfase externa desde la direccin 192.168.20.1. Un filtro de salida previene que los paquetes de su red interna puedan salir de su red. 3.2.4 Desventajas del filtrado de paquetes El filtrado de paquetes no puede prevenir el spoofing de una direccin IP. Un hacker puede sustituir la direccin IP de una computadora en la que se confa como direccin fuente y el filtrado de paquete no podr bloquear los paquetes. El filtrado de paquetes no puede prevenir ataques de fragmentos IP. Un ataque de fragmentos IP divide un paquete IP dentro de mltiples
CIBERTEC
66
fragmentos. La mayora de firewalls verifican slo el primer fragmento y asumen que los otros fragmentos son similares al paquete original y son aceptados. Sin embargo, los fragmentos adicionales es posible que contengan contenido malicioso.
Resumen
IP es el protocolo primario de la capa de red responsable del direccionamiento y ruteo de paquetes entre los dispositivos. Un paquete IP consiste de una cabecera IP y la carga data IP. El filtrado de paquetes controla el acceso hacia la red desde la capa de red por medio de la inspeccin y permite o deniega el paquete IP que se va transmitir a travs del firewall. El filtrado de aplicacin permite al firewall abrir los paquetes TCP/IP e inspeccionar la data de aplicacin para comandos no aceptado e informacin. UDP es un protocolo no confiable orientado a la desconexin, esto significa que hace el mejor esfuerzo para la transmisin de data en mensajes.
CIBERTEC
68
3
TEMA
CONFIGURACIN DE FIREWALL PARTE II

ISA
SERVER
COMO
Describir la funcionalidad que brinda el firewall y saber cmo implementarlo mediante polticas del sistema y la deteccin de intrusos.
TEMARIO
ISA Server como un Firewall. Plantillas de Red. Configurar Directivas de ISA Server. Configurar Deteccin de Intrusos.
ACTIVIDADES PROPUESTAS Identifican y configuran ISA Server como un firewall
3.3.1 ISA Server 2006 como un Firewall. ISA Server 2006 no tiene una opcin directa para configurar el filtrado de paquetes. Sin embargo, el ISA Server puede operar como un firewall que filtra paquetes inspeccionando el trfico en las capas de red y transporte. Por ejemplo, se necesita definir una regla acceso que permita regular todos los protocolos desde una computadora de una red hacia una computadora en otra red, ISA Server har uso de un filtrado de paquetes para permitir este trfico. O si configura una regla acceso que controla el trfico proveniente de puerto telnet (tcp 23), ISA Server usar un filtrado de paquetes para bloquear este puerto. 3.3.2 Monitoreo del proceso de filtrado Cuando un firewall efecta el filtrado de los paquetes, no solo examina la cabecera de informacin del paquete, sino tambin, examina el estado de este paquete. Por ejemplo, el firewall puede inspeccionar un paquete desde la interfase externa y determinan si el paquete es una respuesta a alguna solicitud de la red interna. Esta verificacin puede ser realizada en ambas capas: la de transporte y de aplicacin. El mayor uso del filtrado es usar la informacin sobre la sesin TCP para determinar si el paquete debera ser bloqueado o permitido a travs del firewall. Las sesiones TCP se establecen a travs del saludo de tres vas TCP. El propsito del saludo de tres vas es sincronizar la secuencia numrica y el nmero de reconocimiento en ambos lados de la conexin e intercambiar otra informacin definida como las dos computadoras que intercambian paquetes. Los siguientes pasos son realizados en este proceso:
1. Al iniciar la sesin TCP, un cliente, enva un segmento TCP hacia el

servidor con la secuencia inicial numrica para la conexin (ISN). Por ejemplo, el cliente quizs enve un paquete que incluya la siguiente informacin: TCP: Control Bits:.S., len: 0, seq:38370668713837066872, ack: 0, win:16384, src: 1159 dst: 80 TCP: Sequence Number = 3837066871 (0xE4B4FE77) TCP: Acknowledgment Number = 0 (0x0) TCP: 1. = Synchronize sequence numbers En este ejemplo, el cliente est enviando la secuencia numrica y ha solicitado al servidor que brinde la secuencia de nmeros (por medio del bit SYN 1)
2. La respuesta en la sesin TCP, tpicamente, un servidor, retorna el

segmento TCP contenido en esta respuesta escogiendo, inicialmente, la secuencia numrica y el reconocimiento de la secuencia numrica del cliente. Por ejemplo, el servidor quizs enve un paquete que incluya la siguiente informacin: TCP: Control Bits:A..S., len: 0, seq:29824706242982470625, ack:3837066872 , win:17520, src: 80 dst: 1159
CIBERTEC
70
TCP: Sequence Number = 2982470624 (0xB1C4E3E0) TCP: ..1.= Acknowledgment field significant TCP: 1. = Synchronize sequence numbers El servidor est brindando esta secuencia numrica y el reconocimiento que el paquete ha sido recibido con la secuencia numrica del cliente. Ambos bits SYN y ACK estn configurados.
3. El que Inicia el envo de servidor hacia el segmento TCP contiene el

reconocimiento de la secuencia numrica del servidor. El cliente responde o un paquete incluye la siguiente informacin: TCP: Control Bits:A., len: 0, seq: 38370668723837066872, ack:2982470625 , win:17520, src: 1159 dst: 80 TCP: Sequence Number = 3837066872 (0xB1C4E3E1) TCP: ..1.= Acknowledgment number: 2982470625 TCP: 1. = Acknowledgment field significant Ahora el cliente y el servidor han aceptado la secuencia numrica, ellos usarn la secuencia numrica como ruta para los paquetes TCP. TCP usar la informacin para recuperar paquetes que no hayan llegado o que contengan error, o paquete que no tengan el orden adecuado. TCP usar un proceso similar de saludo para terminar la conexin. Esto garantizar que ambas computadoras han finalizado la transmisin y que toda la informacin fue recibida. Un firewall usara esta informacin de TCP para lograr el filtrado. Cuando un cliente en la red interna enva hacia afuera el primer paquete en el saludo de tres vas, el servidor enva el paquete y graba el acontecimiento que ha sido enviado en el paquete. Cuando la respuesta retorna desde el servidor, el firewall acepta los paquetes porque esta respuesta viene de una peticin interna. Si el paquete llega slo con el bit SYN, o con el bit SYN y ACK, pero el firewall no ha grabado ninguna peticin de algn cliente, el firewall bloquea los paquetes. El firewall puede, tambin, usar otras caractersticas de la sesin TCP para controlar el trfico. Por ejemplo, cuando un cliente inicializa la sesin, el firewall puede habilitar un temporizador y mantener la sesin abierta, solo, por un tiempo especificado en el temporizador. El firewall, tambin, puede analizar la data en el nivel de aplicacin para realizar un mejor filtrado. Por ejemplo, cuando un cliente enva el comando GET hacia una direccin en un servidor web, el firewall puede registrar la peticin y permitir una respuesta. El paquete HTTP que llega de una peticin correspondiente de un cliente es descartado.
Ventajas y desventajas del proceso de filtrado Una de las ventajas del proceso de filtrado es brindar el reenvo de todo el trfico de la red hacia el firewall como parte de una sesin existente, o marcar las reglas para crear una nueva sesin. Otra ventaja es que el estado de filtrado incrementa el filtrado de paquete dinmico, slo brindando disponibilidad a puertos especficos, nicamente, cuando existe una sesin vlida. Por ejemplo, si la peticin de un cliente que el servidor responde en el puerto 1159, ISA Server escuchar en el puerto 1159 todo el tiempo que la conexin exista. Sin embargo, el estado de filtrado aun no brinda proteccin suficiente, pues muchos de los nuevos ataques pasan por el nivel de aplicacin, por ejemplo, una computadora cliente descarga un cdigo malicioso en un paquete HTTP que es parte de una sesin legtima. Slo si el estado de la capa de aplicacin es inspeccionada, se podra bloquear este tipo de ataque. 3.3.3 Reglas de conexin ISA Server ISA Server usa reglas de conexin para mantener el registro de las sesiones. Siempre que un paquete llegue al servidor. ISA Server tiende a asociar el paquete con una regla de conexin, basado en el protocolo, origen, y destino. Una regla de conexin tiene los siguientes atributos: Nmero de protocolo Origen (direccin IP y puerto) Destino (direccin IP y puerto) Traduccin de direccin origen Traduccin de direccin destino Estadsticas (nmero de bytes transferidos, la ltima hora de acceso) Miscelneas (checksum delta, usado cuando se realiza una traduccin de direccin) Si el paquete concuerda con una regla de conexin, el paquete es reenviado. Si el paquete no concuerda con una regla de conexin, ISA Server verifica las reglas de acceso para determinar si una nueva regla de conexin pudo haber sido creada. Si existe una regla de acceso bloquea la creacin de esta conexin, luego ISA Server crea la conexin y reenva el paquete. Si el firewall bloquea la creacin de esta conexin, el paquete es descartado. 3.3.4 Filtrado de aplicaciones El filtrado de aplicacin permite al firewall abrir los paquetes TCP/IP e inspeccionar la data de aplicacin para comandos no aceptados e informacin enviada. Por ejemplo, un filtro SMTP intercepta la comunicacin en el puerto 25 y lo inspecciona para estar seguro que los comandos SMTP son autorizados antes de que pase la comunicacin al servidor destino. Un filtro HTTP realiza la misma funcin con todos los paquetes HTTP. El firewall est capacitado para filtrar en la capa de aplicacin y detener cdigo peligroso antes de que ste pueda hacer dao. El filtro de la capa de aplicacin, tambin, puede ser usado para detener ataques que provengan de virus y worms.
CIBERTEC
72
La mayora de gusanos se ven como cdigo de software legtimo para el filtrado de paquetes. Las cabeceras de los paquetes son idnticas en formato y por lo tanto ste trfico es legtimo. El peligro se encuentra en la informacin que lleva el paquete; nicamente cuando todos los paquetes estn juntos se puede identificar el gusano como un cdigo malicioso, entonces estos exploits algunas veces viajan a travs de la red privada porque el firewall se lo permite pues los ve como un cdigo normal. Ventajas y desventajas del filtrado de aplicacin Las ventajas del filtrado en la capa de aplicacin van ms all de la prevencin de ataques. Por ejemplo, puede configurar filtros que prevengan la descarga de potenciales programas peligrosos desde Internet, o que la data crtica del cliente no sea daada si algn programa malicioso es enviado a la red en un correo. El filtrado de la capa de aplicacin, tambin, puede ser usado para limitar las acciones de los usuarios cercanos a la red. Se puede usar el filtro de aplicacin para restringir comunicaciones inapropiadas en la red. Por ejemplo, se pueden bloquear servicios de intercambio de archivos del tipo peer to peer. Estos tipos de servicios pueden consumir, substancialmente, los recursos de la red y ponen en riesgo la seguridad de la organizacin. La mayor desventaja significativa de los filtros de aplicacin se debe a que el filtro de aplicacin examina toda la data que lleg en el paquete. Esto, usualmente, lo vuelve ms lento en el envo de la informacin. ISA Server y el filtrado de las aplicaciones La mayor ventaja de utilizar ISA Server 2006 es que ste es un poderoso y completo firewall de la capa de aplicacin. ISA Server incluye varios filtros de aplicacin. Adicionalmente incluye una interfase flexible con la que el administrador puede crear filtros personalizados para detectar algn ataque virtual. Como ISA Server 2006 filtra el trfico de red ISA Server 2006 est diseado para brindar todas las funcionalidades de un firewall con filtrado usando una arquitectura de capas. Arquitectura de filtrado del ISA Server. Cuando un paquete llega al firewall, este viaja a travs de uno o ms componentes en la arquitectura del ISA Server. Los paquetes de red quiz sean inspeccionados y permitidos o denegados por cada uno de los siguientes componentes: 1. Filtrado de paquete: El motor del firewall, se ejecuta en el modo kernel, recibe los paquetes y los pasa a travs de la capa de red. Los paquetes son asociados o una regla de conexin, y luego los paquetes son filtrados. El motor del firewall aplica el filtrado de paquetes. Si el filtrado de paquetes no se aplica, los paquetes son pasados al servicio del firewall. 2. Filtrado de protocolo: El servicio firewall, que se ejecuta en el modo usuario, realiza el proceso de filtrado y protocolo. El servicio firewall tambin les da la mano a la comunicacin o una conexin va el cliente firewall. Si un filtro de aplicacin o un filtro web est asociado con el protocolo de conexin, el paquetes es pasado al apropiado filtro de aplicacin o filtro web.
3. Filtro de aplicacin: Los filtros de aplicacin expanden el paquete de red e inspeccionan la data de aplicacin. Si el paquete usa el http o HTTPS, el mensaje es enviado a travs del filtro web proxy hacia el filtro HTTP web, para que sea inspeccionada la data de aplicacin. El filtro web Proxy, tambin, controla y accede a la cach del web. 3.3.5 Implementar ISA Server 2006 como un FIREWALL En muchas organizaciones, ISA Server est implementado como un firewall. ISA Server brinda una solucin firewall segura que puede ser implementado en muchas diferentes configuraciones. El proceso de configuracin de ISA Server como un firewall incluye los siguientes pasos: Determinar la configuracin del permetro de red. El rol primario para un firewall es proteger el permetro de red. El primer paso en la implementacin de ISA Server como un firewall es para disear la configuracin del permetro de la red y determinar el rol de ISA Server en esta configuracin. Configurar redes y reglas de red. El segundo paso es la configuracin de redes y reglas de red basadas en el diseo del permetro de la red. Se pueden usar moldes de red para simplificar ste proceso. Configurar la poltica del sistema. La poltica del sistema es usada para definir cmo ISA Server ser administrado. Uno de los pasos en la implementacin es definir qu poltica del sistema se habilitar, nicamente, para la funcionalidad requerida. Configurar la deteccin de intrusos. ISA Server viene incorporado con tcnicas de deteccin de intrusos. Se recomienda configurar la deteccin de intrusos solo cuando ha ocurrido un ataque en su servidor y se desea ser avisado. Configurar los elementos de las reglas de acceso y reglas de acceso. Para otorgar el acceso a los usuarios hacia Internet, se necesitan configurar elementos de la regla de acceso y reglas de acceso. Configure el servidor y Publique la Web. El paso final en configurar ISA Server como un firewall es para habilitar servicios y publicarlos. Esto hace que los recursos internos sean accesibles desde Internet.
Laboratorio: De acuerdo a las directivas del profesor, aplicar los conceptos del firewall. Determinar los tipos de funcionalidad firewall requeridos para posibles escenarios y discuta las respuestas con un compaero.
CIBERTEC
74
Resumen
IP es el protocolo primario de la capa de red responsable del direccionamiento y ruteo de paquetes entre los dispositivos. Un paquete IP consiste de una cabecera IP y la carga data IP. El filtrado de paquetes controla el acceso hacia la red desde la capa de red por medio de la inspeccin y permite o deniega el paquete IP que se va transmitir a travs del firewall. El filtrado de aplicacin permite al firewall abrir los paquetes TCP/IP e inspeccionar la data de aplicacin para comandos no aceptado e informacin. UDP es un protocolo no confiable orientado a la desconexin, esto significa que hace el mejor esfuerzo para la transmisin de data en mensajes.
CIBERTEC
76
4
TEMA
9
CONFIGURAR EL ACCESO A RECURSOS INTERNOS

Describir como ISA Server 2006 puede ser usado para configurar acceso a los recursos internos. Configurar la publicacin Web
TEMARIO
Reglas de publicacin Web Funciones de las reglas de publicacin Web. Funciones de las reglas de publicacin Web seguras. Reglas de publicacin de servidor
ACTIVIDADES PROPUESTAS Identifican las tcnicas que permiten configurar el acceso a los recursos internos
CIBERTEC
78
ISA Server 2006 usa reglas de publicacin WEB y para publicar los recursos internos de la red hacia Internet sin comprometer la seguridad interna de la red. Las reglas de publicacin Web determinan cmo ISA Server reparte las peticiones HTTP y HTTPS desde Internet para los servidores webs internos. Las reglas de publicacin de servidor definen la manera en que ISA Server responde a las peticiones desde Internet para otros recursos de red en la red interna. El administrador de ISA Server necesita saber cmo usar estas reglas para publicar los recursos de la red interna de manera segura hacia Internet. 4.1.1 Reglas de publicacin Web ISA Server usa las reglas de publicacin WEB para hacer disponibles los sitios web a los usuarios en Internet. Una regla de publicacin Web es una regla del firewall que especifica como ISA Server har el ruteo de las peticiones entrantes hacia los servidores webs internos. 4.1.2 Funciones de las reglas de publicacin WEB Se recomienda usar las reglas de publicacin web para brindar: Acceso los servidores WEB que ejecuten el protocolo HTTP: Cuando se configura una regla de publicacin web, es recomendable configurar ISA Server para escuchar las peticiones http desde Internet y reenviar estas peticiones al servidor web en la red protegida. Para Publicar servidores que usen algn otro protocolo, necesita usar la regla de publicacin del servidor. Filtrado de la capa Aplicacin El filtrado de la capa aplicacin permite a ISA Server inspeccionar la data de aplicacin en cada paquete que pase a travs de ISA Server. Esto incluye el filtrado de los paquetes SSL si se habilita el puente SSL. Esto brinda una capa adicional de seguridad no brindaba por las reglas de publicacin de servidor. Mapeo de ruta El mapeo de ruta permite esconder detalles de la configuracin interna del sitio web por medio de la redireccin de peticiones externas para partes de sitios web a ubicaciones alternas dentro del sitio web interno. Esto significa que se puede limitar el acceso hacia reas especficas dentro de sus sitios web. Autenticacin de usuarios Se puede configurar ISA Server para que se solicite a los usuarios externos se autentiquen antes que las peticiones se hayan reenviado al servidor web. Esto protege los servidores webs internos de ataques de autenticacin. Las reglas de publicacin web soportan varios mtodos de autenticacin incluyendo RADIUS, basic, digest, certificados digitales, y RSA SecureID. Cach de contenido: El contenido de los servidores web internos puede ser almacenado en la cach de ISA Server, esto mejora el tiempo de respuesta hacia los clientes de Internet mientras disminuye la carga en los servidores web internos.
Soporte para publicacin mltiple de sitios web usando una sola direccin IP: Se pueden configurar mltiples reglas de publicacin web que puedan hacer disponibles mltiples sitios web internos a los clientes de Internet.
Traduccin de enlace: Con la traduccin de enlace, se pueden brindar acceso hacia pginas web complejas que incluyan referencias hacia otros servidores web internos que no son accesibles, directamente, desde Internet. Sin la traduccin de enlace, algn enlace hacia un servidor que no es accesible desde Internet aparecera como un enlace roto. Soporte para registro de las direcciones IPs de los clientes en Internet: Por defecto, cuando se publica un servidor usando la publicacin web, la direccin IP fuente que es recibida por el servidor web interno es la direccin IP de la interface de red interna de ISA Server. Si se necesita habilitar el registro de los accesos basado en la direccin IP de las computadoras clientes en Internet, se puede modificar la configuracin por defecto.
4.1.3 Funciones que las reglas que publicacin web seguras Las reglas de publicacin web seguras son un tipo especial de reglas de publicacin que incrementan la seguridad de los sitios web por medio de la encriptacin del trfico de red usando SSL. El servidor soporta el tnel y puente SSL. Tunel SSL: Con el tnel SSL, ISA Server reenva los paquetes encriptados entre el cliente y el servidor web. En este escenario, ISA Server no puede inspeccionar el contenido de los paquetes. Puente SSL: Con el puente SSL, ISA Server puede encriptar y desencriptar todo el trfico de red entre el servidor y el cliente. En este escenario, ISA Server puede aceptar las peticiones SSL desde los clientes, y puede luego convertir estas peticiones a HTTP y reenviarlas hacia el servidor WEB publicado. ISA Server puede, tambin ser configurado para re-encriptar el trfico enviado hacia el servidor web publicado para brindar seguridad adicional. En un escenario del puente SSL, ISA Server de inspeccionar los paquetes http mientras ellos no estn encriptados.
4.1.4 Reglas de publicacin del servidor Las reglas de publicacin del servidor difieren de las reglas de publicacin WEB debido a que en estas no se usa el filtrado Proxy web. Una regla de publicacin de servidor para un protocolo particular slo reenva la peticin del cliente hacia el servidor publicado. Con una regla de publicacin de servidor, ISA Server mapea un socket en la interfase externa hacia el socket del servidor interno. Esto significa que si se tiene un servidor FTP interno que se quiera hacer disponible desde Internet, se crea una regla de publicacin de servidor que mapea las peticiones TCP del puerto 21 en la interface externa de ISA Server hacia la direccin IP interna del servidor FTP.
CIBERTEC
80
Resumen
ISA Server 2006 usa reglas de publicacin WEB y para publicar los recursos internos de la red hacia Internet sin comprometer la seguridad interna de la red. Se recomienda usar las reglas de publicacin web para brindar: Acceso los servidores WEB que ejecuten el protocolo HTTP Filtrado de la capa Aplicacin Mapeo de ruta Autenticacin de usuarios Cach de contenido Soporte para publicacin mltiple de sitios web usando una sola direccin IP Traduccin de Enlace. Soporte para registro de las direcciones IPs de los clientes en Internet
4
TEMA
10
PUBLICACIN DE SERVICIOS
Listar las opciones de la configuracin publicacin servidor. Describir cmo trabaja la publicacin servidor. Configurar una nueva regla de publicacin servidor.
TEMARIO
Configurar la publicacin WEB Configurar el mapeo de ruta Configuracin del escuchador web Configurar la publicacin servidor
ACTIVIDADES PROPUESTAS Identifican las tcnicas que permiten publicar los servicios hacia Internet de manera segura.
CIBERTEC
82
Las reglas de Publicacin de servidor difieren de las reglas de publicacin web en que las reglas de publicacin de servidor el envo de todas las peticiones usan el nmero de puerto apropiado hacia el servidor publicado. Con una regla de publicacin web, se puede publicar slo un directorio virtual en el servidor web. Cuando se configura una regla de publicacin de servidor para reenviar un protocolo especfico, todas las peticiones usan este protocolo que ser reenviado hacia el servidor publicado. Cuando se usa una regla de publicacin de servidor para publicar un servidor, la peticin del cliente est siempre nateada por la computadora que ejecuta ISA Server, an la relacin de confianza de ruteo este definida entre la red origen y destino. 4.2.1 Configurar la publicacin web La publicacin web es una manera segura y flexible para publicar el contenido de los servidores web internos hacia Internet. A continuacin, veremos como configurar la publicacin web. Componentes de configuracin de las reglas de publicacin web Las reglas de publicacin web mapean la peticiones entrantes haca los servidores web apropiados localizados en la red interna o perimtrica. Las reglas de publicacin web determinan cmo ISA Server responder en relacin al servidor web. Las peticiones son reenviadas hacia el servidor web localizado en la red interna o perimtrica. Si el caching est habilitado en ISA Server, las peticiones son respondidas desde la cach ISA Server. Cuando configure las reglas de publicacin web, necesitar configurar los componentes listados en la siguiente tabla:
Opcin de configuracin
Accin Nombre (o direccin IP)
Explicacin
Define si la regla de publicacin web permitir o denegar el acceso. Define el nombre o la direccin IP del servidor web que est publicado por esta regla. Define qu usuarios pueden acceder al sitio web. Define los objetos de red que pueden acceder al servidor web publicado. Los objetos de red especificados tambin tienen que ser incluidos en el escuchador WEB especificado por esta regla de publicacin WEB. Define el URL o la direccin IP que est siendo accesible por esta regla. Se puede configurar ISA Server para permitir el acceso basado en un URL especfico o permitir el acceso a todos los URLs. Si especfica un URL, ISA Server responder, nicamente, peticiones usando este URL. Si se
Usuarios Trfico origen
Nombre publicado
permite el acceso a todos los URLs, ISA Server responder todas las peticiones usando el protocolo apropiado. Escuchador web Define la interface de red y la direccin IP en la computadora que ejecuta ISA Server que escucha las peticiones de los clientes. Describe cmo ISA Server notificar la ruta externa especificada en la peticin y la mapear a la correspondiente ruta interna. Define como las peticiones http son reenviadas al servidor publicado. Se pueden configurar las peticiones para que sean redireccionadas usando HTTP, SSL, o FTP. Define como ISA Server actualiza las pginas web que incluyen referencias a los nombres de servidores internos
Mapeo de la ruta
Puente
Traduccin de enlace
4.2.2. Configurar el mapeo de ruta: El mapeo de ruta es una caracterstica de ISA Server, el cual permite a ISA Server redireccionar las peticiones de los usuarios a mltiples servidores web internos, o tambin a mltiples publicaciones en el mismo servidor web. El mapeo de la ruta es usado por las reglas de publicacin web y las reglas de publicacin web segura.Un daemon de ruta es usado en ISA Server para esconder la complejidad de la configuracin del servidor web interno desde Internet. En una organizacin con mltiples servidores web o con sitios web complejos, la informacin solicitada por el cliente puede estar localizada en diferentes sitios. Es ms conforme el usuario navega por la pgina es posible que este leyendo informacin desde distintos servidores ubicados en el site. Sin embargo, est complejidad necesita ser ocultada para los usuarios, por razones utilitarias y de seguridad. Para cumplir con esta de manera sencilla, ISA Server necesita estar capacitado de reenviar las peticiones basadas en los nombres y las rutas incluidas en las solicitudes del cliente. Cuando un usuario se conecta a un sitio Web protegido por ISA Server, el usuario escribe un URL especfico. Antes de reenviar una peticin hacia un servidor web publicado, ISA Server verifica el URL especificado en la peticin. Si el mapeo de la ruta est configurado, ISA Server reemplazar la ruta especificada en la peticin por el nombre de la ruta correspondiente. Por ejemplo, una organizacin puede tener mltiples servidores web en la red de la corporacin pero un solo nombre de dominio que es usado para brindar acceso a Internet. Para que los usuarios de Internet, accedan a estos servidores, los operadores del sitio web requieren usar diferentes rutas y el mismo nombre de dominio completo (FQDN). Se puede hacer esto con ISA Server 2006 por medio del redireccionamiento de las peticiones entrantes a diferentes servidores en la red de la corporacin basado en las rutas declaradas.
CIBERTEC
84
Para configurar el mapeo de la ruta, use el siguiente procedimiento: 1. En el rbol de la consola de ISA Server Management, expanda el nodo SERVER, luego expande el nodo Firewall Policy. 2. En el panel de detalles, clic en la regla de publicacin Web. 3. En la pestaa Task, clic en Edit Selected Rule. 4. En la pestaa Path, clic en Add. 5. En la ventana Path Mapping, escriba la ruta del Servidor Web. Esta ruta es la ruta interna actual hacia donde ISA Server enviara la peticin. 6. Debajo External Path, Seleccione una de las siguientes: a. Same as publisher flder. Si la ruta especificada es la peticin del usuario es idntica a la ruta del Servidor Web publicado. b. The following flder. Si la ruta especfica en la peticin del usuario necesita ser mapeada a un directorio virtual con un diferente nombre en el servidor web. De ruta para que las ediciones era el servidor web publicado sean mapeadas. Cuando especifica la ruta interna hacia donde la peticin ser mapeada, usa este formato: /path/*. 7. Clic en Ok para cerrar la ventana de propiedades de la regla de publicacin web. 4.2.3 Configuracin de un escuchador web (Web listener) Los escuchadores web (Web listener) son usados por las reglas de publicacin web y web seguras. Un escuchador web es un objeto que define como ISA Server escuchar las peticiones HTTP y SSL. El escuchador web define la direccin IP y el nmero de puerto en donde ISA Server escuchar las conexiones de los clientes. 11.4.1 Opciones de configuracin del escuchador web A menos que configure un escuchador web para las peticiones entrantes, de ISA Server descarta todas las peticiones web entrantes antes de aplicar las reglas de publicacin servidor web. Si la computadora que ejecuta ISA Server tiene mltiples tarjetas de red o direcciones IP, se puede configurar la misma estructura de escuchador para todas las direcciones IP, o se puede modificar la configuracin del escuchador de manera separada para diferentes direcciones IP. Un escuchador web puede ser usado en mltiples reglas de publicacin web. Para configurar un escuchador web, se debern configurar las siguientes opciones: La red: Esta opcin especifca la red en la que ISA Server escuchar las peticiones web entrantes. La red que seleccione depender de donde vengan las peticiones web. Por ejemplo, si el sitio web publicado permite peticiones de cliente desde la red externa (Internet), luego la red externa deber ser seleccionada para el escuchador web. Luego de seleccionar la red, tambin se puede especificar si es que el escuchador web escuchar las peticiones en todas las direcciones IP
de ISA Server que direcciones IP.
forman parte de esa red
o especificar ciertas
Nmero de puerto: Es el nmero de puerto que usar el servidor WEB para escuchar las peticiones WEB. Por defecto ISA Server escucha en el puerto 80 por las peticiones HTTP, pero esta configuracin puede ser modificada. Tambin, se puede habilitar el escuchador web para atender las peticiones SSL (el puerto por defecto es 443). Si escoge SSL, el certificado apropiado debera estar instalado en la computadora que ejecuta ISA Server entonces la computadora que ejecuta ISA Server puede autentificar y validar al cliente. Mtodos de autentificacin del cliente:
Si selecciona la opcin para requerir autentificacin, todos los usuarios tienen que autentificarse usando uno de los mtodos de autentificacin especificado en las peticiones web entrantes. La autentificacin que configure para ISA Server es adicional a cualquier autentificacin que el servidor web requiera. La autenticacin de ISA Server determina si una peticin es pasada al servidor web. Los mtodos de verificacin que configure para un servidor web determinan si hubo usuarios que tienen permisos para acceder al contenido del servidor web. Configuraciones de la conexin cliente. Esta opcin especifica el nmero de conexiones cliente concurrentes para el escuchador web.
Para configurar el mapeo de la ruta, use el siguiente procedimiento: 1. En el rbol de la consola de ISA Server Management, expanda el nodo SERVER luego expande el nodo Firewall Policy. 2. En la pestaa cuadro de herramientas, expanda Network Objects y luego expanda Web Listeners 3. Doble clic en el objeto Web Listener. La siguiente tabla resume las opciones de configuracin:
Escoge esta configuracin

Pestaas redes
opcin
de Para realizar esta accin
Seleccione el escuchador IP
Pestaas preferencia Autentificacin Configuraciones avanzada
Configura las redes en las cuales el escuchador web atender las peticiones. Configura la direccin o direcciones IP de la red seleccionada en donde el escuchador web atender las peticiones. Configura los nmeros del puerto HTTP y SSL. Configura las opciones de autentificacin Configura las conexiones concurrentes de los clientes.
CIBERTEC
86
Pestaas RSA SecureID
Configura las opciones autentificacin RSA SecureID.
de
Configuracin de una nueva regla de publicacin web Los siguientes pasos brindan una descripcin completa del proceso necesario para crear una regla de publicacin Web.
1. En el rbol de la consola de ISA Server Management, expandir el nodo SERVER, luego expande el nodo Firewall Policy, y luego clic en Publish a Web Server para iniciar The New Publishing Rule Wizard. 2. Configure la accin de la regla. 3. Configure las opciones listadas en la siguiente tabla para definir como el sitio Web ser publicado. Opciones de configuracin Nombre de computadora o direccin IP Explicacin
Especifica el nombre de la computadora del servidor web o la direccin IP para el servidor que almacenan el sitio web que se quiere publicar. Reenviar el encabezado original del Especifica que ISA Server reenviar la host en vez del actual cabecera que es recibida desde el cliente. Por defecto, ISA Server sustituye la cabecera del host que est usando para referirse al servidor web interno, en lugar de enviar la cabecera original ISA Server ha recibido. Esto significa que la peticin de un cliente incluye la cabecera www.nwtrader.msft es reemplazado por el nombre del servidor web.nwtraders.msft tal y como se ha especificado en la regla de publicacin web. Directorio Especifica el directorio del sitio WEB que se quiere publicar, por ejemplo Sales. Si se deja el campo en blanco, se estar publicando el sitio WEB completo.
4. Configure el nombre pblico, donde se define que peticiones sern recibidas por ISA Server y reenviadas al Servidor Web. Se tienen 2 opciones: Algn nombre de dominio: Esta opcin indica que cualquier peticin que sea resuelta a la direccin IP del escuchador web ser reenviada al sitio web. Este nombre de dominio: Esta opcin significa que ISA Server reenviar, nicamente, las peticiones para un URL especificado; para configurar esto, escriba el nombre de dominio especificado en el nombre pblico. Tambin,
se puede especificar una carpeta que tambin requiera publicarse. Por ejemplo si configura www.nwtrader.msft como el nombre pblico y sales como el directorio, luego las peticiones nicas para www.nwtrader.msft/sales sern reenviadas por esta regla.
5. Seleccione un escuchador web existente o cree un nuevo escuchador web. 6. Configure el usuario que tendr acceso al servidor. 7. Configure el asistente para la nueva regla de publicacin web y aplique los cambios realizados. 4.2.4 Configure una nueva regla de publicacin web 1. En la pestaa Tasks, clic en Publishing a Web Server. 2. En la ventana Welcome to the New Web Publishing Rule Wizard, en el campo Web publishing rule name, escriba Nwtraders Web Site y clic Next. 3. En la pgina Select Rule Action, asegrese que Allow este seleccionado por defecto. Clic en Next. 4. En la pgina Select Web Site to Publish, en el recuadro Computer name or address IP, escriba www.nwtraders.msft. Acepta la configuracin por defecto para las otras opciones y clic en Next. 5. En la pgina Public Name Details, en Accept request for la lista, clic This domain name (type below). En Public Name, escriba www.nwtraders.msft y luego clic en Next. 6. En la pgina Select Web Listener, clic http Listener en la lista Web listener. Clic en Next. 7. En la pgina User Sets, accept the default. Clic Next. 8. En la pgina Completing the Web Publishing Rule Wizard. Revise las opciones de configuracin y clic Finish. 9. Clic en Apply para aplicar los cambios y luego, clic en Ok cuando los cambios hayan sido aplicados. Testee el acceso de Internet al Web Site www.nwtraders.msft.com 1. En la maquina virtual CLIENTE, inicie sesin con el nombre de usuario Administrador y la contrasea P@ssw0rd. 2. Abre Internet Explorer y escriba en la barra de direccin www.nwtraders.msft. La conexin debe ser exitosa. Cierre Internet Explorer. Configure la publicacin servidor
La publicacin servidor es una manera segura y flexible para publicar el contenido o brindar los servicios de los servidores internos hacia Internet. Opciones de la configuracin de publicacin servidor Las reglas de publicacin web son usadas en ISA Server para permitir el acceso hacia el contenido HTTP y HTTPS en los servidores web internos. Las reglas de publicacin de servidor son usadas para permitir el acceso hacia el contenido interno usando otros protocolos. Antes de crear una regla de publicacin de servidor para un protocolo en particular, se tienen que crear una definicin de protocolo para el protocolo en mencin. ISA Server viene configurado con un cierto nmero de definiciones del protocolo para protocolos de uso comn que pueden ser usados en las reglas de publicacin servidor. Tambin, puede crear protocolos adicionales.
CIBERTEC
88
Cuando configure la de publicacin servidor, necesitar configurar los siguientes componentes listados en esta tabla:
Opcin de configuracin
Accin
Explicacin
Permite en que una regla de publicacin servidor se configure para permitir que el trfico de red coincida con la regla de publicacin. Define el protocolo que esta permitido por esta regla de publicacin de servidor. Una regla de publicacin de servidor puede habilitar, nicamente, un protocolo. Para permitir ms protocolos, se tienen que configurar mltiples reglas de publicacin de servidor Define los objetos de red que pueden acceder al servidor publicado. Puede limitar el acceso hacia el servidor publicado basado en los objetos de red, sistema de red, computadoras, sistema computadora, rango de direccin en subnets. Define la direccin IP del servidor publicado. Tambin puedes configurar si la peticin del cliente viene registrada desde la computadora cliente o desde ISA Server En una regla de publicacin servidor, por defecto, la peticin del cliente aparece en registrada desde el cliente original. Destina la red en donde ISA Server escuchar las peticiones. Tambin, puedes configurar ISA Server para que escuche las peticiones en todas las direcciones IP especificadas, o solo en una direccin IP. Decline en cuando la regla de publicacin servidor estar activa.
Trfico
Trfico origen
Trfico destino
Redes
Horario
Descripcin de las opciones de puerto Cuando se crea una regla de publicacin de servidor, ISA Server escuchara las peticiones de los clientes en el puerto por defecto para ese protocolo. Sin embargo, se puede modificar el puerto usado por ISA Server. Se puede configurar ISA Server para publicar otro puerto diferente al puerto por defecto. Por ejemplo, puede configurar la regla de publicacin servidor para el servicio FTP y atender las peticiones en el puerto 2211 a diferencia del puerto por defecto 21. Tambin se puede especificar que ISA Server redireccione la peticin del cliente a un nmero de puerto alternativo en el servidor interno. Se puede configurar ISA Server para enviar todas las peticiones FTP hacia el puerto 2121 en el servidor interno (asumiendo el servidor FTP interno ha sido modificado para brindar el servicio FTP en ese puerto). En ambos casos, ISA Server recibe la peticin del cliente para el servicio publicado en el puerto especificado por el Firewall, y luego reenva a las peticiones al puerto designado por la regla de publicacin servidor.
Cmo trabaja la publicacin de servidor? Una regla de publicacin servidor para un protocolo particular es, esencialmente, un mapeo NAT reverso. Con una regla de publicacin servidor, ISA Server mapea un nmero de puerto en la interface externa hacia una direccin IP interna. Cuando ISA Server recibe una peticin en la direccin IP externa para un puerto especfico, este enva la peticin al servidor interno y al nmero de puerto especificado. ISA Server realiza los siguientes pasos durante la publicacin servidor: Una computadora cliente en Internet solicita un objeto desde la direccin IP que es conocida para brindar este servicio. Por ejemplo, la organizacin quiere configurar un servidor multimedia para que est disponible hacia los clientes de Internet, la organizacin necesitara brindar la informacin correcta de este servidor para que se encuentre disponible en los servidores DNS de Internet. La direccin IP brindada hacia los clientes es la direccin IP de la interface de red externa de ISA Server. La peticin del cliente es enviada a esa direccin IP. 1. ISA Server, procesa la peticin y verifica el nmero de puerto destino y luego usando la regla de publicacin servidor mapea la direccin IP hacia la direccin IP interna del servidor interno. La peticin es enviada hacia el servidor interno. 2. El servidor interno retorna el objeto hacia ISA Server, y este enva la peticin al cliente. Cmo configurar una regla de publicacin servidor? Los pasos para configurar una regla de publicacin son las siguientes: 1. Configure el servidor interno que quiera publicar. El servidor tiene que estar configurado como un cliente SecureNAT y tiene que tener instalado y configurado el servicio que va a brindar. 2. ISA Server, ejecute el asistente New Server Publishing Rule. Cuando ejecute el Wizard, se puede configurar que puerto usar ISA server. Para hacer esto, en la pgina Select Protocol clic en Ports. Las opciones de configuracin del puerto estn listadas en la siguiente tabla.
Categora
Puertos del Firewall
Opcin configuracin
de Use esta opcin para:
Publique usando el puerto Configure ISA Server por defecto definido en la para escuchar las definicin de protocolo conexiones en el puerto del protocolo por defecto Puertos del Firewall Publicar en este puerto en Configure el ISA Server lugar del puerto por para escuchar las defecto conexiones en un puerto alternativo Puertos del servidor Enve las peticiones hacia Configure ISA Server publicados el puerto por defecto en el para enviar las peticiones servidor publicado hacia el puerto del protocolo por defecto en el servidor publicado Puertos del servidor Enva las peticiones hacia Configure ISA Server publicados este puerto en el servidor para la enva las publicado peticiones hacia un
CIBERTEC
90
puerto alternativo en el servidor publicado Puertos origen Permite el trfico desde Configure ISA Server cualquier puerto origen para hacer la las conexiones en cualquier puerto Limitar el acceso desde Configure ISA Server un rango de puertos para aceptar conexiones desde un rango de puertos limitados.
Puertos origen
Configure la publicacin del servidor En esta prctica, se configurar una nueva regla de publicacin servidor para publicar el sitio ftp.nwtraders.msft hacia Internet. Luego, se verificar la regla de publicacin servidor. Configure una nueva regla de publicacin servidor 1. En el rbol de la consola de ISA Server Management, expanda el host SERVER, luego expanda el nodo Firewall Policy. 2. En la pestaa Tasks, clic en Create New Server Publish Rule para iniciar el asistente de la regla de publicacin servidor. 3. En la ventana Welcome to the New Server Publishing Rule Wizard.
Resumen
La publicacin web es una manera segura y flexible para publicar el contenido de los servidores web internos hacia internet. Las reglas de publicacin web mapean las peticiones entrantes hacia los servidores web apropiados localizados en la red interna o perimtrica. A menos que configure un escuchador web para las peticiones entrantes, ISA Server descarta todas las peticiones web entrantes antes de aplicar las reglas de publicacin servidor web. Si selecciona la opcin para requerir autentificacin, todos los usuarios tienen que autentificarse usando uno de los mtodos de autentificacin especificado en las peticiones web entrantes. Una regla de publicacin servidor para un protocolo particular es, esencialmente, un mapeo NAT reverso.
CIBERTEC
92
4
TEMA
11
CONFIGURANDO ACCESO A VPN

Saber configurar las conexiones VPN para brindar acceso seguro a equipos o redes remotas.
TEMARIO
Red Privada Virtual (VPN) Configurar VPN para clientes remotos. Configurar VPN para sitios remotos. Configurar VPN Cuarentena.
ACTIVIDADES PROPUESTAS Aprenden a configurar redes virtuales con ISA Server.
CIBERTEC
94
4.3.1 Red Privada Virtual (VPN). Una red privada virtual (VPN, Virtual Prvate Network) es la extensin de una red privada utilizando redes pblicas como Internet. Las conexiones VPN permiten que los usuarios que trabajan en casa o que estn de viaje puedan obtener conexin de acceso remoto a los servidores de una organizacin, mediante la infraestructura que proporciona una red pblica como Internet. Desde la perspectiva del usuario, la red privada virtual es una conexin punto a punto entre el equipo, el cliente de VPN y el servidor VPN. Las conexiones VPN, tambin, permiten que las organizaciones dispongan de conexiones enrutadas con otras organizaciones a travs de una red pblica como Internet, a la vez que mantienen una comunicacin segura; como por ejemplo para las oficinas que estn geogrficamente separadas. ISA Server, permite configurar una VPN segura, a la que pueden tener acceso clientes y sitios remotos, segn sus especificaciones. Mediante ISA Server como servidor VPN, se beneficia de la proteccin de la red corporativa contra conexiones VPN malintencionadas. Puesto que ISA Server como servidor VPN est integrado en la funcionalidad de Firewall y, sus usuarios estn sujetos a las politicas de ISA Server. Adems, mediante el uso de ISA Server como servidor VPN, puede administrar las conexiones VPN de sitio a sitio y el acceso de clientes de VPN a la red corporativa. ISA Server, admite dos tipos de conexiones VPN: Conexin VPN de acceso remoto. ISA Server, permite conectar equipos remotos a la sede central, disponiendo del acceso a Internet. ISA Server permite el acceso de cliente VPN usando ya sea el Protocolo de tnel de capa dos L2TP sobre el Protocolo de Seguridad IPSec o el protocolo Pointa-Point Tunneling PPTP. Lo recomendable es utilizar L2TP sobre IPSec, ya que se utiliza la autenticacin de certificados para la conexin remota. Conexiones VPN de sitio a sitio. ISA Server, permite conectar redes u oficinas remotas con sus sedes centrales, disponiendo del acceso a Internet con las mximas garantas de seguridad desde esas oficinas y aprovechar al mximo el ancho de banda disponible, haciendo un uso eficiente del mismo. Con ISA Server, cada tipo de conexin VPN se configura de forma ligeramente diferente. En una configuracin de red de sitio a sitio, se debe otorgar acceso a una red completa de usuarios remotos, es decir, se configura una red de usuarios de VPN. Existen tres protocolos VPN para las conexiones de sitio a sitio. Protocolo de tnel punto a punto (PPTP). Protocolo de tnel de capa dos (L2TP) a travs de seguridad del protocolo Internet (IP Sec) Modo de tnel de seguridad del protocolo Internet (IPSec)
4.3.2 Configurar VPN para clientes remotos. Por defecto el servicio VPN server se encuentra deshabilitado. El primer paso es habilitar el servicio VPN server y luego configurar los componentes de VPN Server. Realice los siguientes pasos para habilitar y configurar ISA Server 2006 VPN Server: 1. En Microsoft Internet Security and Acceleration Server 2006 management console, expanda el nombre del servidor, luego haga clic en Virtual Private Networks (VPN). 2. Ubiquese en el panel de Tareas, pestaa Tasks, haga en Enable VPN Client Access. 3. Luego haga clic en el botn Apply para salvar los cambios y actualizar las polticas del firewall. 4. En Apply New Configuration clic en el botn OK. 5. En VPN Clients Tasks, haga clic en la opcin Configure VPN Client Access. 6. En VPN Clients Properties en la pestaa General, verifique que la opcin Enable VPN client access se encuentre habilitado. Cambie el valor Maximum number of VPN clients allowed de 5 a 10. 7. Luego haga clic en la pestaa Groups, clic en el botn Add. 8. En Select Group, clic en el botn Locations, seleccione el Dominio de su red interna, seguidamente clic en el botn OK. 9. En Select Group digite Domain Users en el recuadro Enter the object names to select, luego clic en boton Check names, seguidamente clic en el boton OK. 10. Haga clic en la pestaa Protocols y active la opcin Enable L2TP/IPsec. 11. En la pestaa User Mapping no se habilita ninguna opcin, haga clic en el botn OK. 12. En VPN Clients Tasks,, clic en Select Access Networks. 13. En Virtual Private Networks (VPN) Properties, en la pestaa Access Networks, verificar que la opcin External este habilitada. 14. Haga clic en la pestaa Address Assignment, seleccione la opcin Stactic address pool, luego haga clic en el botn Add, digite un rango
CIBERTEC
96
de 10 direcciones IP que pertenezcan al segmento que tiene definido en su red interna. Estas IPs no deben ser utilizadas en su red interna, ni tampoco deben estar definidos dentro del rango de IPs que se solicita al momento de instalar ISA Server. 15. Haga clic en la pestaa Authentication, verifique que este habilitado la opcin Mocrosoft encrypted authentication versin 2 (MSCHAPv2). 16. En la pestaa RADIUS no se habilitara ninguna opcin. 17. Clic en el botn Apply y luego haga clic en el botn OK. 18. Haga clic en el botn Apply para salvar los cambios y actualizar las polticas en el ISA Server. 17. Finalmente, haga clic en el botn OK en el mensaje Apply New Configuration. 20. Reinicie ISA Server 2006. Realizar los siguientes pasos para crear una Regla de acceso que permita a los clientes VPN el acceso a la red interna. 1. En Microsoft Internet Security and Acceleration Server management console, haga clic en Firewall Policy. En Firewall Policy Tasks, haga clic en la opcin Create New Access Rule. 2. En Welcome to the New Access Rule Wizard digite el nombre de la regla de acceso VPN Client to Internal, luego haga clic en el botn Next. 3. En la interfaz grfica Rule Action, seleccione la opcin Allow y luego, haga clic en Next. 4. En la interfaz grfica Protocols, recuadro This rule applies to: seleccione la opcin All outbound traffic, luego haga clic en el botn Next. 5. En la interfaz grfica Access Rule Sources, clic en el botn Add, se visualiza la interfaz Add Network Entities, expanda Networks y haga doble clic en VPN Clients, luego clic en el botn Close. 6. En Access Rule Sources, haga clic en el botn Next. 7. En la interfaz grfica Access Rule Destinations, clic en el botn Add, se visualizara la interfa Add Network Entities, expanda Networks y haga doble clic en el objeto Internal, luego clic en el botn Close. 8. En la interfaz grfica User Sets, acepte la configuracin por defecto, All Users, haga clic en el botn Next.
9. Haga clic en el botn Finish en la interfaz grafica Completing the New Access Rule Wizard. 10. Haga clic en el botn Apply para salvar lo cambios y actualizar las polticas de ISA Server. 11. En la interfaz grfica Apply New Configuration haga clic en el botn OK. Ahora la poltica para los Clientes VPN se visualizara en la lista de polticas de acceso. Para habilitar el acceso remoto a las cuentas de usuario que utilizaran el servicio VPN, debe realizar los siguientes pasos en el Controlador de Dominio: 1. En Windows Server haga clic en el botn Start seleccione Administartive Tools, luego haga clic en Active Directory Users and Computers. 2. En la consola Active Directory Users and Computers, haga clic en la unidad organizativa Users, haga doble clic en la cuenta de usuario que tendr el acceso remoto habilitado. 3. En la interfaz grfica Cuenta de Usuario Properties, haga clic en la pestaa Dial-in, luego en el recuadro Remote Access Permission active la opcin Allow Access, 4. Finalmente, cierre el Active Directory Users and Computers. Realice los siguientes pasos para configurar el Cliente VPN en un Windows 2003 Server. 1. En el escritorio de Windows, haga clic derecho sobre el icono My Network Places y seguidamente haga clic en la opcin Properties. 2. Haga doble clic en el cono New Connection Wizard, se visualizara el asistente New Connection Wizard, haga clic en el botn Next. 3. En Network Conecction Type, seleccione la opcin Connect to the network at my workplace, clic en el boton Next. 4. En la siguiente pantalla seleccione la opcin Virtual Private Network connection, luego haga clic en el botn Next. 5. Digite el nombre de la conexin VPN Client VPN. 6. El asistente, solicitara la direccin IP Publica del servidor VPN, luego de digitar la direccin publica haga clic en el boton Next. 7. Seleccione la opcin Anyones use, luego, haga clic en el botn Next. 8. Finalmente, active la opcin Add shortcut to this connection to my desktop y luego haga clic en el boton Finish
CIBERTEC
98
9. Se visualizara la interfaz grafica Connect Client VPN, digite la cuenta de usuario que tiene habilitado el Remote Access Permission, luego digite la contrasea correspondiente y haga clic en el boton Connect.
10. El Cliente VPN establecer la conexin remota con el servidor VPN de ISA Server,haga doble clic en el icono de conexin Client VPN, se visualizara la ISA VPN Status, haga clic en la pestaa Details, se mostrar datos de la configuracin realizada en el servidor VPN. 4.3.3 Configurar VPN para Sitios Remotos. Para realizar la configuracin utilizaremos 2 sedes que poseen ISA Server como servidor VPN. Realice los siguientes pasos para agregar una red de sitio remoto. 1. En Microsoft Internet Security and Acceleration Server 2006 management console, expanda el nombre del servidor, luego haga clic en Virtual Private Networks (VPN). 2. En el panel derecho, haga clic la pestaa Remote Sites. 3. En el panel de Tareas, haga clic en la opcin Add Remote Site Network. 4. Se visualizara el asistente New Site-to-Site Network, digite el nombre de la red nueva Site Remote. 5. En la pantalla VPN Protocol, seleccione IP Security protocol (IPSec) tunnel mode, haga clic en el boton Next. 6. En Connection Settings digite la direccin ip del Remote VPN Gateway y la direccin IP del Local VPN Gateway . 7. En IPSec Authentication proporcione el pre-shared key for authentication ClaveCompratidaVPNServer, luego clic en el boton Next. 8. En Network Addresses, haga clic en el boton Add, digite el rango de direcciones ip que utilizara el sitio remoto, haga clic en el boton OK, luego clic en el boton Next. 9. Haga clic en el botn Finish. 10. Haga clic en el botn Apply para salvar lo cambios y actualizar las polticas de ISA Server. 11. En la interfaz grafica Apply New Configuration haga clic en el botn OK.
Realice los siguientes pasos para establecer propiedades generales de VPN. 1. En Microsoft Internet Security and Acceleration Server 2006 management console, expanda el nombre del servidor, luego haga clic en Virtual Private Networks (VPN). 2. En el panel de Tareas en General VPN Configuration haga clic en Select Access Networks. 3. En Virtual Private Network (VPN) Properties, pestaa Access Networks seleccione la VPN Remota que se creo en el procedimiento anterior. 4. Haga clic en la pestaa Address Assignment, luego clic en el boton Add y digite el rango de direcciones IP que utilizara el sitio remoto. 5. En la pestaa Authentication, active la opcin Allow custom IPSec policy for L2TP connection y digite la clave compartida ClaveCompratidaVPNServer, luego haga clic el boton Apply y seguidamente clic en el boton OK. 6. Haga clic en el botn Apply para salvar lo cambios y actualizar las polticas de ISA Server. Para configurar el servidor VPN remoto con ISA Server siga el mismo procedimiento que se ha utilizado para configurar el primer site remoto. 4.3.4 Configurar VPN Cuarentena. Los servicios de cuarentena de VPN garantizan que los equipos que se conectan a la red mediante protocolos VPN, se sometan a comprobaciones previas y posteriores a la conexin y queden aislados hasta que cumplan la poltica de seguridad que se ha establecido. ISA Server como servidor VPN, puede administrar las conexiones VPN de sitio a sitio y el acceso de clientes de VPN a la red corporativa. ISA Server puede poner en cuarentena a los clientes de VPN, gracias a la red de clientes de VPN en cuarentena, esto hasta que se compruebe que cumplen los requisitos de seguridad corporativos y puedan accesar a los recursos de la red interna. Por ejemplo, las restricciones de la cuarentena pueden especificar que determinado software antivirus se instale y se habilite mientras est conectado a la red. Aunque el control de cuarentena no ofrece proteccin contra los intrusos, s puede comprobar las configuraciones de los equipos de usuarios autorizados y, en caso necesario, corregirlas antes de que puedan tener acceso a la red. Tambin, est disponible una opcin de temporizador, que se puede usar para especificar un intervalo con el fin de finalizar la conexin en caso de que el cliente no cumpla los requisitos de configuracin.
CIBERTEC
100
3. En Microsoft Internet Security and Acceleration Server 2006 management console, expanda el nombre del servidor, luego expanda Configuration, luego clic en Networks. 4. En el panel derecho pestaa Networks, haga doble clic Quarantined VPN Clients. 5. Se visualizara la interfaz grafica Quarantined VPN Clients Properties, haga clic en la pestaa Quarantine y habilite la opcin Enable Quarantine Control, se visualizara Microsoft Internet Security and Acceleration Server 2006, haga clic en el boton OK. 6. Habilite la opcin Disconnect quarantined users after (seconds) y digite 180. 7. Luego haga clic en el boton Add. En Select User Sets haga clic en el boton New User Set. 8. Se visualizara el asistente New User Set Wizard, digite el nombre Clients Quarantined VPN, luego haga clic en el botn Next . 9. Luego haga clic en el boton Add, seleccine la opcin Windows users and groups, clic en el boton Locations seleccione el Dominio correspondiente y luego haga clic en el boton OK. 10. Digite las cuentas de usuario existente en el dominio que utilizan los servicios VPN de ISA Server. 11. Luego haga clic en el boton OK clic en el boton Next. 12. Finalmente, haga clic en boton Finish. 13. En Select User Sets, seleccione Clients Quarantined VPN y haga clic en el botn OK, nuevamente clic en el boton OK. 14. Haga clic en el botn Apply para salvar lo cambios y actualizar las polticas de ISA Server. 15. En la interfaz grafica Apply New Configuration haga clic en el botn OK.
Resumen
Una red privada virtual (VPN, Virtual Prvate Network) es la extensin de una red privada utilizando redes pblicas como Internet.
ISA Server puede poner en cuarentena a los clientes de VPN, hasta que se compruebe que cumplen los requisitos de seguridad corporativos y puedan utilizar los recursos de la red interna.
CIBERTEC
102
4
TEMA
12
IMPLEMENTACIN SERVER
DEL
CACHING
DE
ISA
LOGRO DE LA UNIDAD DE APRENDIZAJE Implementacin del Caching de ISA Server.

.
TEMARIO Configurar las propiedades generales de Cach. Configurar Reglas de Cach. Configurar trabajos de descarga de contenido. ACTIVIDADES PROPUESTAS Identifican y configuran los servicios de cache para el uso adecuado del ancho de banda que permite la conexin a Internet.
CIBERTEC
104
ISA Server 2006 proporciona acceso seguro y controlado entre redes y sirve de proxy de almacenamiento en cach de web ofreciendo capacidades de rpida respuesta web y de descarga. El almacenamiento en cach de los objetos ms usados proporciona a los usuarios el contenido web ms actualizado, ISA Server determina, automticamente, que sitios Web son los ms usados y con qu frecuencia se debe actualizar su contenido en funcin del tiempo que lleva un objeto en la cach y del momento en que se consult por ltima vez. ISA Server puede cargar de antemano contenido Web en la cach durante perodos de poco uso de la red sin necesidad de la intervencin del administrador de red. Puede cargar de antemano la cach con un sitio Web completo segn una programacin definida. Las descargas programadas aseguran que el contenido de la cach es el ms actualizado para cada usuario al tiempo que permiten que el contenido de los servidores Web sin conexin est disponible para los usuarios. 4.4.1 Configurar las propiedades generales de Cache. 1. En Microsoft Internet Security and Acceleration Server 2006 management console, expanda el nombre del servidor, luego expanda Configuration, seleccione Cache. 2. En el panel de Tasks, haga clic en la opcin Define Cache Drives (enable caching).} 3. Se visualizara la interfaz grafica Define Cache Drives, seleccione la unidad de disco que contenga el mayor espacio posible y digite el nmero 100 en Maximun cache size (MB), luego haga clic en el botn Set y luego clic en el boton OK. 4. Haga clic en el botn Apply para salvar lo cambios y actualizar las polticas de ISA Server
5. En la interfaz grafica Apply New Configuration haga clic en el botn OK. 6. En el panel Tasks, haga clic en la opcin Configure Cache Settings
7. Se visualizara la interfaz grafica Cache Settings, haga clic en la pestaa Active Caching y active la opcin Enable active caching, verifique que la opcin Normally este seleccionada. 8. Luego haga clic en el botn OK. 9. Haga clic en el botn Apply para salvar lo cambios y actualizar las polticas de ISA Server.
10. En la interfaz grafica Apply New Configuration haga clic en el botn OK.
4.4.2 Configurar Reglas de Cache. 1. En Microsoft Internet Security and Acceleration Server 2006 management console, expanda el nombre del servidor, luego expanda Configuration, seleccione Cache. 2. En el panel Tasks haga clic en Create a Cache Rule. 3. Se visualizar el asistente para la creacin de una regla de cach, digite Regla Cach 4. Luego, haga clic en el botn Add. 5. En Add Network Entities, expanda Networks y haga doble clic en el objeto Internal. 6. Luego haga clic en el botn Next,. 7. En Content Retrieval verifique que la opcin Only if valid versin of the object exists en the cache. If no valid versin exists, route the request to the server. Luego, haga clic en el botn Next. 8. En Cache Content verifique que la opcin If source and request headers indicate to cache este seleccionada, luego haga clic en el boton Next. 9. En Cache Advanced Configuration debe estar seleccionado Cache SSL responses. 10. En HTTP Caching debe estar habilitado la opcin Enable HTTP caching, haga clic en el boton NEXT. 11. En FTP Caching debe estar habiliatdo la opcin Enable FTP Caching, clic en el boton Next, finalmente haga clic en el boton Finish. 12. Haga clic en el botn Apply para salvar lo cambios y actualizar las polticas de ISA Server.
13. En la interfaz grfica Apply New Configuration haga clic en el botn OK. 4.4.3 Configurar trabajos programados para la descarga de contenido.
1. En Microsoft Internet Security and Acceleration Server 2006 management console, expanda el nombre del servidor, luego expanda Configuration, seleccione Cache. 2. En panel derecho, haga clic en Content Download Jobs 3. En el panel Tasks, clic en la opcin Schedule a Content Download Job. 4. Se visulizara el asistente New Content Download Job Wizard, digite Tareas de descarga, clic en el boton Next. 5. En Download Frequency, seleccione la opcin Daily, clic en el boton Next. 6. En Daily Frequency proporcione la fecha y hora en que se realizar la descarga, clic en el boton Next. 7. En Content Download , digite la URL http://www.sunat.gob.pe luego clic en el boton Next. 8. En Content Caching acepte las opciones seleccionadas por defecto, clic en el boton Next y luego clic en el boton Finish.
CIBERTEC
106
Resumen
ISA Server 2006 proporciona acceso seguro y controlado entre redes y sirve de proxy de almacenamiento en cache de web ofreciendo capacidades de rpida respuesta web y de descarga.
4
TEMA
13
MONITOREO DE ISA SERVER Y COPIA DE SEGURIDAD
. Monitorear el funcionamiento de ISA Server 2006 Importar y exportar la configuracin de ISA Server Copias de seguridad y restauracin de la configuracin de ISA Server
TEMARIO
Monitoreo de ISA Server 2006. Configurar Alertas en ISA Server. Configurar Sesiones de Monitoreo Configurar Reportes Monitoreo de los servicios y Performance de ISA Server Exportar e Importar la configuracin de ISA Server. Exportar la configuracin del ISA Server. Copia de seguridad y restaurar la configuracin de ISA Server.
Identifican y configuran los servicios de monitoreo en un ISA Server.
CIBERTEC
108
Despus de que ISA Server 2006 ha sido implementado, el administrador necesita realizar el mantenimiento del mismo. En esta sesin se mostrarn las tareas que un administrador tendr que realizar para hacer el mantenimiento de ISA Server 2006 4.4.1 Monitoreo de ISA Server El monitoreo es una tarea diaria que permite brindar la seguridad y funcionalidad de ISA Server La meta de este monitoreo diario es identificar problemas antes que ellos comprometan a los usuarios. Adicionalmente, el monitoreo, tambin, permitir identificar tendencias que puedan indicar problemas futuros. Tareas diarias de monitoreo Las tareas de monitoreo que deber realizar, diariamente, permitir saber que evento ocurrido es normal o anormal. Estas tareas incluyen: Monitoreo del Visor de Eventos: Use el visor de eventos para obtener informacin acerca de los servicios que fallan, aplicaciones con errores, y advertencias cuando los recursos del sistema como memoria virtual o espacio disponible del disco duro se estn saturando. Use el visor de eventos para identificar los problemas que tienen que ser resueltos y que requieren una accin futura. El tablero de ISA Server: Use el tablero de ISA Server para obtener una interfase que te brinda una visin completa del rendimiento y alertas de ISA Server. Use el tablero de ISA Server para monitorear el servidor cada da. Revise las alertas de ISA Server: Estas alertas entregan informacin acerca de la condicin de los servicios y los errores de ISA Server. Si tiene configurada la opcin de deteccin de intrusos, la alerta, tambin, brindar informacin acerca de los ataques a ISA Server. Monitoreo de la conectividad de los servicios de red: ISA Server entrega la opcin para configurar el monitoreo de conectividad entre ISA Server y otros servidores. Configure ISA Server para monitorear la conectividad hacia el Directorio Activo, Servidores DNS, Servidores Webs Internos publicados por ISA Server. Monitoreo del Rendimiento del Servidor: Cuando instale ISA Server, se crear la consola de monitoreo y rendimiento. Esta consola incluye contadores crticos ISA Server. Use esta consola para monitorear el rendimiento del servidor. El rendimiento de la informacin puede ser vista en reportes o en registros de varios formatos.
4.4.3 Configurar sesiones de monitoreo. Laboratorio En este laboratorio tendr que configurar una nueva alerta para el Servidor Firewall en caso de que el Servicio Firewall no responda, se registrar la alerta y se iniciar el Servicio de manera automtica. Para realizar este laboratorio necesitar: 1. El Servidor SERVER_ISA_Aula 2. Iniciar sesin en el dominio nwtraders.msft con el nombre de usuario administrador, y la contrasea P@ssw0rd. Configure en ISA Server una alerta que permita iniciar el Servicio en caso de que este deje de funcionar. 1. Abrir ISA Server Management, expanda SERVER, y luego clic en Monitoring. 2. En la pestaa Alerts y luego, clic en Configure Alert Definitions. 3. En la ventana de Alert Definitions, clic en Add. En la ventana New Alerts Configuration, Escriba el nombre de la alerta: Firewall No Responde, luego clic en Next. En la ventana evento y condiciones seleccione el evento Service Not Responding, y la condicin ISA Server Firewall Service ,luego clic en Next. 4. En la ventana Category and Severity Asigne la categoria y nivel de severidad. En Category seleccione Firewall Service, y en Severity seleccione Error. 5. En la ventana Actions, especifique la accin para la alerta y seleccione Start Select ISA Server Services, clic en Next. 6. En la ventana Starting Services seleccione Microsoft Firewall, y luego, clic en Next. 7. En la ventana Completing the new Alert Configuration Wizard, clic en finish. 4.4.4 Monitoreo de los servicios y performance de ISA Server. En este laboratorio tendr que monitorear la conectividad con la estacin de trabajo CLIENTE Para realizar este laboratorio necesitar: 1. La maquina vitual SERVER_ISA_Aula y la maquina virtual CLIENTE 2. Iniciar sesin en el dominio nwtraders.msft con el nombre de usuario administrador, y la contrasea P@ssw0rd. Configure en ISA Server 2006 el verificador de conectividad para el Servidor SERVER_DC. 1. Abrir ISA Server Management, expanda ISA_SERVER_Aula, y luego clic en Monitoring. 2. En la pestaa Connectivity, clic en Create New Connectivity Verifier. 3. En la ventana New Connectivity Verifier Wizard, escriba el nombre del verificador de conectividad Servidor DC Denver clic en Next. 4. En la ventana Connectivity Verification Details, escriba el nombre del servidor que quiere monitorear. En Monitor Connectivity to this
CIBERTEC
110
server escriba denver, En la opcin Verification method seleccione Send a Ping Request, clic en Next. 5. En la ventana Completing the Connectivity Verifier Wizard clic en Finish. 4.4.6 Exportar e Importar la configuracin de ISA Server. ISA Server, incluye caractersticas de exportacin e importacin que permiten guardar y recuperar toda la configuracin del servidor. La configuracin puede ser exportada y almacenada en archivos. .XML. Principales ventajas de importar y exportar la configuracin del servidor: Clonar un servidor: Se puede exportar la configuracin de ISA Server desde una computadora a otra computadora. Por ejemplo, despus de configurar un ISA Server en la computadora de un departamento, se puedes exportar la configuracin a un archivo .XML. Luego podemos importar esta configuracin a otra computadora en otro departamento. Guardar la configuracin parcial: Se puede exportar una regla, una poltica completa, o una configuracin entera. Esto es una gran ayuda, por ejemplo, cuando se quiere copiar todas las reglas de la poltica de un firewall, pero no la configuracin de monitoreo, a otra computadora con ISA Server Enviar una configuracin para solucionar problemas: Se puede exportar la configuracin a un archivo y enviarlo al departamento de soporte para analizar y solucionar el problema. Retorno a la configuracin antigua: Como una mejor prctica, antes de modificar cualquier configuracin de ISA Server, sera recomendable exportar los componentes especficos que se estn modificando. Pues si la modificacin no es exitosa, entonces se podr restaurar, fcilmente, a la configuracin previa importando la poltica del archivo de respaldo.
4.4.7 Exportar la configuracin ISA Server Es posible exportar la configuracin entera de ISA Server, o slo parte de este, dependiendo de las necesidades especficas. Los siguientes son los objetos que se pueden exportar: La configuracin entera de ISA Server. Todas las redes o una red seleccionada. Todos los sistemas de redes o un no de los sistemas redes seleccionados. Todas las reglas de la red o una red especfica. Todas las reglas, o unas reglas de la red. La configuracin de la cach. Todos los trabajos seleccionados del contenido de descarga. La poltica entera del firewall o una regla seleccionada. Las reglas de la poltica del sistema no son exportadas cuando son exportadas las polticas del firewall. (Para exportar la poltica del sistema, utilizar la tarea exportar poltica del sistema.)
Cuando se exporta la configuracin entera, toda la informacin de la configuracin general es exportada. Esto incluye reglas de acceso, reglas de publicacin, elementos de la regla, configuracin de alerta, configuracin de la cach y las propiedades de ISA Server. Adicionalmente, se puede exportar la configuracin de los permisos del usuario y la informacin confidencial como son las contraseas de los usuarios. La informacin confidencial est incluida en el archivo exportado que a su vez est encriptado. Algunos puntos a tener en cuenta: Cundo es exportada la configuracin entera? La configuracin del certificado, tambin, es exportado. Sin embargo, si se importa la configuracin con un certificado diferente a una computadora con ISA Server instalado, el servicio Firewall fallar al momento de iniciar y un mensaje de este evento ser grabado. Importar la configuracin de ISA Server: Cuando se importa el archivo que ha sido, previamente exportado, todas las propiedades y configuraciones definidas en este archivo sern importadas, sobreescribiendo la configuracin de ISA Server. Sin embargo, si se exporta, nicamente, un componente especfico, como puede ser una regla especfica del firewall, entonces en el archivo importado se sobrescribir est regla en particular.
4.4.8 Copia de seguridad y restauracin de la configuracin de ISA Server ISA Server, tambin, incluye caractersticas de copia de seguridad y restauracin que nos permiten guardar y restaurar la informacin de la configuracin del servidor. La copia de seguridad funciona tambin para almacenar la configuracin en un archivo .xml. Razones para usar la copia de seguridad y la restauracin El uso primario de las funciones de copia de seguridad y restauracin de ISA Server son para ser usados en caso de desastres. Se debe realizar una copia de seguridad de la configuracin en la misma computadora que est ejecutando ISA Server para qu se pueda restaurar en otra computadora con la misma configuracin que tena la computadora que fall. La funcin de la copia de seguridad es guardar la informacin de manera apropiada para entregar una configuracin idntica que puede ser luego restaurada. Copia de seguridad de la configuracin de ISA Server. Al momento de realizar la copia de seguridad de la configuracin ISA Server, se copia la informacin de la configuracin general. Esto incluye las reglas de la poltica del Firewall, elementos de las reglas, configuracin de las alertas, configuracin de la cach, y configuracin de la VPN. Una de las diferencias entre realizar una copia de seguridad de la configuracin del servidor y exportar la configuracin es que se puede realizar una copia de seguridad de la configuracin entera de ISA Server, y no componentes individuales o componentes de grupos.
CIBERTEC
112
Restaurar la configuracin de ISA Server El proceso de restaurar permite reconstruir la informacin de la configuracin que fue copiada. Al restaurar una copia de seguridad, se puede reconstruir la configuracin del ISA Server o restaurarlo despus de un error en la configuracin.
Resumen
Monitoreo del Visor de Eventos: Use el visor de eventos para obtener informacin acerca de los servicios que fallan, aplicaciones con errores, y advertencias cuando los recursos del sistema. Revise las alertas de ISA Server Estas alertas entregan informacin acerca de la condicin de los servicios y los errores de ISA Server. Monitoreo de la conectividad de los servicios de red: ISA Server, entrega la opcin para configurar el monitoreo de conectividad entre el ISA Server y otros servidores. Principales ventajas de importar y exportar la configuracin del servidor: 1. Clonar un servidor 2. Guardar la configuracin parcial 3. Enviar una configuracin para solucionar problemas 4. Retorno a la configuracin antigua ISA Server, tambin, incluye caractersticas de copia de seguridad y restauracin que nos permiten guardar y restaurar la informacin de la configuracin del servidor.
CIBERTEC

Redes 002

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Redes 002

Încărcat de

Drepturi de autor:

Formate disponibile

Seguridad de Redes II

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

Introduccin e Instalacin de ISA Server 2006

Arquitectura de ISA Server 2006

Introduccin ISA Server

Instalacin ISA Server

Elementos Reglas de Acceso

Configuracin de ISA Server como Firewall

Configuracin VPN y el Cache de ISA Server

Config. Recursos Internos

Caching ISA Server

CARRERAS PROFESIONALES CIBERTEC

INTRODUCCIN A ISA SERVER 2006

ISA Server 2006 Administracin Publicacin de Servidores -

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

Aqu hallar ms informacin sobre ISA Server 2006.

CARRERAS PROFESIONALES CIBERTEC

ACTIVIDADES PROPUESTAS Efectan la instalacin del ISA Server 2006.

Ancho de banda de Internet

CARRERAS PROFESIONALES CIBERTEC

Configurar la red interna:

CARRERAS PROFESIONALES CIBERTEC

INSTALACION DE ISA Server 2006

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

INSTALACIN ISA SERVER.

Y MONITOREO DE LOS CLIENTES

LOGRO DE LA UNIDAD DE APRENDIZAJE

1.3 Instalacin y monitoreo de los clientes ISA 2006:

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

management console, expanda el nombre del servidor, clic en Monitoring.

CARRERAS PROFESIONALES CIBERTEC

LOGRO DE LA UNIDAD DE APRENDIZAJE

ACTIVIDADES PROPUESTAS Identifican y configuran reglas de red.

CARRERAS PROFESIONALES CIBERTEC

Pestaa web Proxy

CARRERAS PROFESIONALES CIBERTEC

Redes por defecto

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

ACTIVIDADES PROPUESTAS Identifican y configuran reglas de acceso.

CARRERAS PROFESIONALES CIBERTEC

usuarios del dominio, empleadostemporales.

Definicin de las reglas de acceso

Para realizar un trfico especfico

Desde un usuario particular

Desde una computadora particular

Desde un destino particular

Basado en una condicin particular

CARRERAS PROFESIONALES CIBERTEC

CARRERAS PROFESIONALES CIBERTEC

LOGRO DE LA UNIDAD DE APRENDIZAJE

Configuracin de elementos de una regla de acceso

ACTIVIDADES PROPUESTAS Identifican y configuran los elementos de una regla de acceso.

CARRERAS PROFESIONALES CIBERTEC

Nmero de protocolo Propiedades ICMP Conexiones secundarias