Unidad 2: ISA 2004 Avanzado

Cap 1. Migracin de configuracin desde ISA 2000 Proceso de actualizacin Migracin de configuracin desde ISA 2000 Cap 2. Configuraciones avanzadas de red (Firewall de 3 adaptadores, Firewall Back-to-Back) a. Topologas de Red b. Reglas de protocolos en configuraciones de firewall con 3 adaptadores c. Reglas de protocolos en configuraciones de firewall Back-to-Back Cap 3. Configuracin de acceso a sitios web corporativos (Web Publishing) a. Publicacin estndar b. Publicacin de OWA c. Publicacin de Sitios seguros (SSL) Cap 4. Configuraciones de acceso a servicios en la red perimetral/corporativa (Server publishing) a. Publicacin de Mail Server b. Publicacin de otros servicios c. Publicacin usando PAT (Port Address Translation) Cap 5. Monitoreo y reportes en ISA 2004. a. Generacin de reportes de utilizacin b. Monitoreo en tiempo real c. Monitoreo de servicios y alertas a. b.

1. Migracin de configuracin desde ISA 2000

Microsoft Internet Security and Acceleration (ISA) Server 2004 ofrece la posibilidad de actualizacin completa para los usuarios de ISA Server 2000. La mayora de las reglas, configuraciones de red, configuraciones de supervisin y configuraciones de la cach de ISA Server 2000 se actualizarn a ISA Server 2004. ISA Server 2004 presenta muchas caractersticas nuevas y cambios. Estos cambios afectan a la configuracin del servidor y a los entornos de actualizacin. Esta seccin proporciona informacin acerca de los elementos esenciales que debe tener en cuenta en el proceso de actualizacin.

a. Proceso de actualizacin

La herramienta de migracin de ISA Server 2004 ofrece la posibilidad de actualizacin completa para que los usuarios de ISA Server 2000 puedan actualizar a ISA Server 2004. La mayor parte de la informacin de configuracin de ISA Server 2000 se actualizar a ISA Server 2004. ISA Server 2004 presenta muchas caractersticas nuevas y cambios en comparacin con ISA Server 2000. Estos cambios afectan a la configuracin del servidor y a los entornos de actualizacin. Nota: ISA Server 2000 Service Pack 1 (SP1) debe instalarse en el equipo. Slo puede actualizar desde ISA Server 2000 Standard Edition. Existen tres opciones para actualizar desde ISA Server 2000: Actualizacin local. En este entorno, el usuario instala ISA Server 2004 en el mismo equipo en que se ejecuta ISA Server 2000. La configuracin se migra directamente a ISA Server 2004, tal como se describe en los temas siguientes. No es preciso ejecutar ninguna herramienta. Migrar la configuracin de ISA Server 2000. En este entorno, el usuario instala ISA Server 2004 en un equipo distinto, o bien quita ISA Server 2000 por completo antes de instalar ISA Server 2004. En cualquier caso, es preciso utilizar la herramienta de migracin para migrar la informacin de configuracin a ISA Server 2004, tal como se describe en los temas siguientes. Migrar la configuracin de Enrutamiento y acceso remoto. En este entorno, el usuario puede haber configurado previamente la red privada

virtual mediante Enrutamiento y acceso remoto. Puede utilizar la herramienta de migracin para copiar parte de la configuracin a ISA Server 2004. Actualizacin local Asimismo, el usuario puede llevar a cabo una actualizacin local y ejecutar la herramienta de migracin en un equipo con ISA Server 2000 instalado. Al realizar una actualizacin local, se quita ISA Server 2000 y se instala ISA Server 2004 con la configuracin migrada.

b. Migracin de configuracin desde ISA 2000

Migrar la configuracin Para migrar ISA Server 2000 a ISA Server 2004 se deben seguir estos pasos: 1. Ejecute el Asistente para la migracin de ISA Server en el equipo con ISA Server 2000. El asistente crea un archivo .xml con la informacin de configuracin. 2. Instale Microsoft ISA Server 2004. 3. Importe el archivo .xml en el equipo en que est instalado ISA Server 2004. Antes de importar el archivo .xml, recomendamos que realice una copia de seguridad completa de la configuracin actual del equipo en el que est instalado ISA Server 2004. La direccin IP real del adaptador de red externo del equipo original en el que estaba instalado ISA Server 2000 se guardar en el archivo .xml junto con la informacin de configuracin. Si ISA Server 2004 est instalado en un equipo distinto, debe corregir la direccin IP despus de importar el archivo .xml. Actualizacin de complementos

Los filtros de aplicacin y los filtros Web proporcionados por otros proveedores para ISA Server 2000 no son compatibles con ISA Server 2004. Algunos proveedores han creado nuevas versiones para ISA Server 2004. Para actualizar a las nuevas versiones, siga los siguientes pasos: 1. Desinstale los filtros de aplicacin y los filtros Web del equipo ISA Server 2000. 2. Lleve a cabo la actualizacin a ISA Server 2004 de la forma descrita aqu. 3. Instale la nueva versin del filtro de aplicacin o el filtro Web. Qu valores no se actualizan Los objetos y valores de configuracin siguientes de ISA Server 2000 no se migran a ISA Server 2004: ISA Server 2004 ya no admite reglas de ancho de banda. La configuracin de permisos, como las listas de control de acceso al sistema (SACL), no se actualizan. No se migra la configuracin ni la informacin de informes y registros. Si utiliza la herramienta de migracin para instalar ISA Server 2004, se instalar Firewall Client Share (con el software de Cliente Firewall para ISA Server 2004). Se recomienda que instale Firewall Client Share. Actualizar la configuracin de supervisin y administracin de ISA Server 2000 Parte de la configuracin de supervisin y administracin se migra a ISA Server 2004, como se detalla en las siguientes secciones. Listas de control de acceso al sistema En ISA Server 2000, puede utilizar Administracin del servidor ISA para volver a configurar una lista de control de acceso al sistema (SACL) en algunos objetos. Adems, se puede cambiar esta lista de cualquier elemento mediante el modelo de objetos Admin COM. Las listas SACL no se migran a ISA Server 2004. En su lugar, se aplican las listas SACL predeterminadas. Supervisin Todas las definiciones de alerta de ISA Server 2000 se migran directamente a ISA Server 2004. No obstante, existen las excepciones siguientes: En su lugar se crean definiciones de alerta que hacen referencia al proxy Web creado para el servicio del servidor de seguridad de Microsoft, ya que no existe este servicio proxy Web en ISA Server 2004. Las siguientes definiciones de alerta de ISA Server 2004 no se modifican: Intrusin DNS, Intrusin POP, Filtro RPC: la conectividad cambi y Error en la configuracin de SOCKS. No se migra la configuracin de registro de ISA Server 2000. La configuracin de registro de ISA Server 2004 se establece en la configuracin predeterminada posterior a la instalacin. Despus de la migracin, los registros de ISA Server 2004 se almacenan en registros de Microsoft Data Engine (MSDE) o en formato de texto. No se migran los trabajos de informes, los informes ni la configuracin de informes de Microsoft Data Engine. Actualizar la configuracin de la directiva de acceso de ISA Server 2000 La mayora de las reglas de directiva de acceso de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes. Tenga en cuenta que en ISA Server 2000, puede configurar una regla que bloquee el trfico entre el equipo servidor ISA (host local) y la red externa. No obstante, en ISA Server 2004, la directiva del sistema controla cmo el equipo servidor ISA (host

local) accede a todas las redes. Como las reglas de directiva del sistema se procesan en primer lugar, stas reemplazarn las reglas de directiva que puede configurar especficamente para denegar el acceso desde la red de host local a la red externa. Reglas de ancho de banda Las reglas de ancho de banda, y los elementos de la directiva asociados, no son compatibles con ISA Server 2004. No se actualizan. Filtros de paquetes IP Los filtros de paquetes de ISA Server 2000 no se pueden configurar explcitamente en ISA Server 2004. En ISA Server 2000, estos paquete se utilizaban para: Publicar en servidores en una red perimetral. Ejecutar aplicaciones u otros servicios en el equipo servidor ISA. Permitir el trfico saliente desde el equipo servidor ISA. Permitir el acceso a protocolos no basados en los protocolos UDP (protocolo de datagramas de usuarios) o TCP (protocolo de control de transporte). Si se deshabilita el filtrado de paquetes en ISA Server 2000, se aceptar todo el trfico al host local y a las redes perimetrales y se ignorarn los filtros de paquetes. Al migrar la configuracin de ISA Server 2000, los filtros de paquetes de esta aplicacin se migran tambin con el mismo estado a ISA Server 2004. La siguiente tabla muestra una lista de cmo se actualizan los filtros de paquetes de ISA Server 2000 a las reglas de acceso de ISA Server 2004. Propiedad
Nombre, descripcin y servidores habilitados Protocolo IP de ISA Server 2000 actualizado a ISA Server 2004: definicin de protocolo TCP, UDP, ICMP o protocolo IP personalizado Cualquiera

Filtro de paquetes de ISA Server 2000

Regla de acceso de ISA Server 2004

Los mismos valores que en ISA Server 2000 Mismo protocolo No hay protocolos nuevos y la herramienta de migracin establece el protocolo en Todo el trfico IP saliente Mismo nmero de protocolo El puerto de origen definido en la regla de acceso y el puerto de destino, o puerto de origen dependiendo de la direccin del protocolo, definido en la conexin de protocolo. Intervalo de puertos de origen (en la ficha Protocolo de la regla de acceso) Saliente Saliente (los campos A y De cambian segn corresponda) Enviar y recibir Enviar y recibir (los campos A y De cambian segn corresponda) Red de host local El elemento del equipo con la

Nmero de protocolo Puerto local

Nmero de puerto local

Direccin

Saliente Entrante Enviar y recibir Recibir y enviar

ISA Server 2000: el equipo local (Se aplica a) actualizado a ISA

Direccin IP predeterminada El valor del equipo local se

Server 2004: Propiedad "A" de regla de acceso

establece en la direccin IP del equipo con ISA Server 2000 El valor del equipo local se establece en una direccin IP especfica El valor del equipo local se establece en una red perimetral

direccin IP del equipo con ISA Server 2004 Elemento de equipo con la direccin IP especfica El objeto del intervalo de direcciones con las direcciones IP de la red perimetral Todas las redes externas Objeto de equipo se establece en la direccin IP del equipo remoto Subred con el intervalo de direcciones especificadas

ISA Server 2000: el equipo remoto (Se aplica a) actualizado a ISA Server 2004: Propiedad "De" de regla de acceso

Todos los equipos remotos Este equipo remoto Este intervalo de equipos

Nota Si la direccin del filtro de paquetes de ISA Server 2000 es Ambas (o Recibido y enviado), se crean dos reglas en ISA Server 2004, con las propiedades A y De alternadas para la segunda regla. Ejemplo Las reglas de acceso (creadas para reemplazar los filtros de paquetes de ISA Server 2000) que deniegan el acceso se ordenan primero. Las reglas que permiten el acceso se ordenan posteriormente, como se muestra en la siguiente tabla. ISA Server 2000 Filtro de paquetes con estas propiedades Protocolo: UDP Direccin: Enviar y recibir Puerto local: 53 Puerto remoto: 78 Equipo local se aplica a: direcciones IP predeterminadas de la interfaz externa Equipo remoto: Todos los equipos remotos ISA Server 2004 Regla de acceso con estas propiedades: El valor de la red de origen se establece en Host local Puerto: 53 Red de destino se establece en Todas las redes externas Definicin de protocolo con estas propiedades: Protocolo: UDP Puerto: 78 Direccin: Enviar y recibir

Filtros de paquetes IP: predefinidos ISA Server 2000 incluye varios filtros predefinidos para paquetes IP. La herramienta de migracin crea reglas de directiva del sistema, basadas en estos filtros de paquetes IP, como se detalla en la siguiente tabla. Filtro de paquetes IP de ISA Server 2000 Cliente DHCP Filtro DNS ICMP saliente Regla de directiva del sistema de ISA Server 2004 Permitir peticiones DHCP del servidor ISA a todas las redes Permitir DNS del servidor ISA hacia servidores seleccionados Permitir peticiones ICMP del servidor ISA a servidores

seleccionados Respuesta del ping de ICMP (entrante), Excedido el tiempo de espera de ICMP en, Paquete de control de flujo ICMP, No se puede obtener acceso a ICMP en IP Replay (out) Permitir peticiones ICMP (ping) de equipos seleccionados al servidor ISA Permitir peticiones ICMP del servidor ISA a servidores seleccionados

Al ejecutar la herramienta de migracin del servidor ISA, puede elegir si se permite el trfico desde la red interna al equipo servidor ISA. Si selecciona esta opcin, se crea una regla que permite el trfico desde la red interna a la red de host local y viceversa. Reglas de protocolo La directiva de acceso de ISA Server 2000 estaba formada por reglas de protocolo, as como reglas de sitio y contenido. ISA Server 2004 incluye slo reglas de acceso, que se basan en una combinacin de las reglas de protocolo originales, y reglas de sitios y contenido. Las reglas de protocolo de ISA Server 2000 se actualizan a las reglas de acceso de ISA Server 2004. La mayor parte de las propiedades se actualizan directamente a ISA Server 2004. La propiedad Se aplica a se actualiza, como se detalla en la siguiente tabla. Regla de protocolo de ISA Server 2000 Cualquier peticin Conjuntos de direcciones de clientes Regla de acceso de ISA Server 2004 El valor de la red de origen se establece en Interno y Host local. De se establece en un conjunto de equipos con direcciones IP especficas en el conjunto de direcciones de clientes original. La red de origen se establece en Interna. De se establece en un conjunto de usuarios con los usuarios concretos especificados originalmente. La red de origen se establece en Interna.

Usuarios y grupos

Tenga en cuenta que los filtros de aplicacin de terceros no se actualizan. De la misma forma, tampoco se actualiza ninguna definicin de protocolo instalada con el filtro de aplicacin. No se actualiza ninguna de las reglas que se aplican a estas definiciones de protocolo. Puede configurar una clave del registro de ISA Server 2000, IgnoreContentTypeIfNotApplicable, que determine si se omite un grupo de contenido para las reglas de protocolo que no se apliquen a HTTP. Si se habilita esta clave del registro, la herramienta de migracin crea dos reglas de acceso para cualquier regla de protocolo aplicada tanto a protocolos HTTP como a protocolos adicionales. Por ejemplo, si ISA Server 2000 incluye una regla de protocolo que se aplica a los protocolos POP3 y HTTP, la herramienta de migracin crea dos reglas de acceso en ISA Server 2004: una para POP3 y otra para HTTP. Reglas de sitio y contenido La directiva de acceso de ISA Server 2000 estaba formada por reglas de protocolo, as como reglas de sitio y contenido. ISA Server 2004 incluye slo reglas de acceso, que se basan en una combinacin de las reglas de protocolo originales, y reglas de sitios y contenido.

Las reglas de sitio y contenido de ISA Server 2000 se actualizan a las reglas de acceso de ISA Server 2004. La mayor parte de las propiedades se actualizan directamente a ISA Server 2004. La propiedad Se aplica a se actualiza, como se detalla en la siguiente tabla. Regla de sitio y contenido de ISA Server 2000 Cualquier peticin Conjuntos de direcciones de clientes Regla de acceso de ISA Server 2004 El valor de la red de origen se establece en Interno y Host local. De se establece en un conjunto de equipos con direcciones IP especficas en el conjunto de direcciones de clientes original. El valor de la red de origen se establece en Interno y Host local. De se establece en un conjunto de usuarios con los usuarios concretos especificados originalmente. La red de origen se establece en Interna.

Usuarios y grupos

Puede configurar una clave del registro de ISA Server 2000, IgnoreContentTypeIfNotApplicable, que determine si se omite un grupo de contenido para las reglas de protocolo que no se apliquen a HTTP. Si se habilita esta clave del registro, la herramienta de migracin crea dos reglas de acceso para cualquier regla de protocolo aplicada tanto a protocolos HTTP como a protocolos adicionales. Por ejemplo, si ISA Server 2000 incluye una regla de protocolo que se aplica a los protocolos POP3 y HTTP, la herramienta de migracin crea dos reglas de acceso en ISA Server 2004: una para POP3 y otra para HTTP. Migrar reglas de protocolo, as como de sitio y contenido Algunas reglas de protocolo, as como las reglas de sitio y contenido, se combinan en una sola regla de acceso al actualizar a ISA Server 2004.

Convenciones de nomenclatura La siguiente tabla detalla las convenciones de nomenclatura de las nuevas reglas de acceso. Regla de ISA Server 2000 Regla de denegacin de protocolo Regla de denegacin de sitio y contenido Filtro de paquetes Filtro de paquetes bidireccionales Regla de protocolos combinados, as como de sitio y contenido Nombre de la regla de ISA Server 2004 ISANmero-Nombre_regla_ISA Ejemplo ISA12-DenyNimda

ISANmero-Nombre_regla_ISA

ISA13-BlockBadStuff

ISANmero-Nombre_regla_ISA ISANmeroNombre_regla_ISA(Entrante) ISANmeroNombre_regla_ISA(Entrante) ISANmeroNombre_regla_ISA+Nombre_regla_ISA

ISA14-ICMP ISA18-NNMP(Entrante) ISA19-NNMP(Saliente)

ISA15_InternetAccess+BlockBadStuff

Actualizar la configuracin de la directiva de publicacin de ISA Server 2000 Las reglas de publicacin de ISA Server 2000 se actualizan a ISA Server 2004, como se detalla en las secciones siguientes. Tenga en cuenta que en ISA Server 2000, puede configurar una regla que bloquee el trfico entre el equipo servidor ISA (host local) y la red externa. No obstante, en ISA Server 2004, la directiva del sistema controla cmo el equipo servidor ISA (host local) accede a todas las redes. Como las reglas de directiva del sistema se procesan en primer lugar, stas reemplazarn las reglas de directiva que puede configurar especficamente para denegar el acceso desde la red de host local a la red externa. Reglas de publicacin de servidor Por cada regla de publicacin del servidor de ISA Server 2000, se crea una regla correspondiente en ISA Server 2004. Algunas propiedades se modifican durante el proceso de actualizacin, como se detalla en la siguiente tabla.

Propiedad Accin

Valor de ISA Server 2000 Direccin IP del servidor de la red interna Direccin IP externa Protocolo

Valor de ISA Server 2004 Se establece el valor de Para en el objeto de equipo con la direccin IP especfica. Se establece el valor de Direccin IP de la escucha externa en la direccin IP especfica. Valor igual al de ISA Server 2000. El valor de red de Origen se establece en Externa y De en Todos los usuarios. El valor de De se establece en un conjunto de equipos con direcciones IP especficas del conjunto de direcciones cliente. El valor de red de Origen se establece en Externa y De en Todos los usuarios.

Se aplica a

Cualquier peticin Conjuntos de direcciones de clientes Usuario y grupo

Puede configurar una clave del registro de ISA Server 2000, UseISAAddressInPublishing, que determine si se habilita el servicio proxy. Si se configura una clave del registro en el equipo con ISA Server 2000, se activa la casilla de verificacin Habilitar proxy en ISA Server 2004. Observe que la direccin IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la informacin de configuracin. Si ISA Server 2004 est instalado en un equipo distinto, debe corregir la direccin IP despus de importar el archivo .xml. Reglas de publicacin de Web Por cada regla de publicacin de Web de ISA Server 2000, se crea una regla correspondiente en ISA Server 2004. Algunas propiedades se modifican durante el proceso de actualizacin, como se detalla en la siguiente tabla.

Propiedad Accin

Valor de ISA Server 2000 Descartar la peticin

Valor de ISA Server 2004 Denegado. La regla se ordena en primer lugar, despus de las reglas cuyo objetivo es denegar el acceso. Permitido. A se establece en el equipo especificado de ISA Server 2000. Igual que en ISA Server 2000. A se establece en el equipo especificado de ISA Server 2000. Igual que en ISA Server 2000, especificado en la ficha Enlazar. No compatible. No se exporta la regla. Se genera un mensaje de registro. No compatible. No se exporta la regla. Se genera un mensaje de registro. Todas las peticiones. En ISA Server 2004, se pueden crear varias reglas de publicacin de Web si se aplic dicha regla de ISA Server 2000 a varios destino pblicos. Se establece en la primera direccin IP del intervalo.

Redirigir la peticin Enviar la peticin original Seleccin de puerto Destino Todos los destinos Todos los internos Todos los externos El destino seleccionado se establece en direccin IP nica o dominio El destino seleccionado se establece en un intervalo de direcciones IP Todos los destinos salvo el seleccionado Protocolo de puente HTTP a HTTP y SSL a HTTP HTTP a HTTP y SSL a SSL HTTP a SSL y SSL a SSL HTTP a FTP y SSL a FTP HTTP a HTTP y SSL a FTP HTTP a SSL y SSL a HTTP HTTP a SSL y SSL a FTP HTTP a FTP y SSL a HTTP HTTP a FTP y SSL a SSL

No compatible. No se exporta la regla. Se genera un mensaje de registro. Valor igual. No cambia Valor igual. Valor igual. HTTP a HTTP y SSL a SSL. HTTP a HTTP y SSL a SSL. HTTP a HTTP y SSL a SSL. HTTP a HTTP y SSL a SSL. HTTP a HTTP y SSL a SSL.

En ISA Server 2000, las escuchas de web se asignan implcitamente por cada regla de publicacin de Web. En ISA Server 2004, la escucha de web se asigna explcitamente a cada regla de publicacin de Web. Si se aplica una regla de publicacin de Web de ISA Server 2000 a varias escuchas, se crean las reglas correspondientes en ISA Server 2004 por cada escucha de web de ISA Server 2000. Por ejemplo, si se aplica una regla de publicacin de Web de ISA Server 2000 a tres escuchas de web, se crean tres reglas de publicacin de Web de ISA Server 2004, una por cada escucha de web especificada en la regla de publicacin de Web de ISA Server 2000 original. Si se aplica una regla de publicacin de Web de ISA Server 2000 a un conjunto de destinos con dos o ms direcciones IP distintas, o nombres de dominio, y dos o ms rutas de acceso diferentes, se crean reglas de publicacin de Web de ISA Server 2004 por cada par de rutas de acceso y direcciones IP. Observe que la direccin IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la informacin de configuracin. Si ISA Server 2004 est instalado en un equipo distinto, debe corregir la direccin IP despus de importar el archivo .xml. En ISA Server 2000, una regla de publicacin de Web puede aplicarse a un conjunto de destinos con una ruta de acceso vaca. Convenciones de nomenclatura La siguiente tabla detalla las convenciones de nomenclatura de las nuevas reglas de publicacin. Regla de ISA Server 2000 Regla de publicacin de servidor Regla de publicacin de Web Nombre de la regla de ISA Server 2004 ISANmero-Nombre_regla_ISA Ejemplo ISA12-PublishSMTP

ISANmero-Nombre_regla_ISA para Nombre_escucha para dominio/ruta de acceso

ISA13-Publishing para External IP: 122.11.223.123 para microsoft.com/foo

Actualizar los elementos de directiva de ISA Server 2000 La mayora de los elementos de la directiva de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes. Conjuntos de direcciones de clientes En ISA Server 2000, los conjuntos de direcciones de clientes incluan direcciones IP e intervalos de direcciones IP. Se utilizaban conjuntos de direcciones de clientes en las reglas de sitio y contenido, as como en las reglas de protocolo, y no en las de publicacin. En ISA Server 2004, los conjuntos de direcciones de clientes se sustituyen por conjuntos de equipos. Por cada regla de ISA Server 2000 que se aplique a un conjunto de direcciones cliente que se actualice, se crea un nuevo conjunto de equipos en ISA Server 2004. Las reglas actualizadas se aplican al nuevo conjunto, que incluye las mismas direcciones IP que el conjunto de direcciones cliente originales de ISA Server 2000. Grupos de contenido Los grupos de contenido de ISA Server 2000 se actualizan directamente a ISA Server 2004. Si existe un grupo de contenido con el mismo nombre en ISA Server 2004, no se importa el grupo de ISA Server 2000. Conjuntos de destinos

Los conjuntos de destinos de ISA Server 2000 podan incluir nombres de equipo, direcciones IP, intervalos de direcciones IP, nombres de dominio y rutas de acceso en los equipos. Estos conjuntos se utilizan en las reglas de sitio y contenido, as como en las reglas de publicacin. ISA Server 2004 no utiliza conjuntos de destinos. En su lugar, se presentan otros elementos que pueden utilizarse de forma flexible con reglas de acceso y de publicacin. La siguiente tabla describe cmo se asignan los conjuntos de destinos de ISA Server 2000 a diversos objetos de red de ISA Server 2004. Elemento de directiva de ISA Server 2000 Conjunto de destinos con comodines Conjunto de destinos con ruta de acceso Conjunto de destinos con una sola direccin IP Conjunto de destinos con una sola direccin IP con ruta de acceso Conjunto de destinos con intervalo de direcciones IP Conjunto de destinos con intervalo de direcciones IP y ruta de acceso Objeto de red de ISA Server 2004 Conjunto de nombres de dominio Conjunto de direcciones URL Conjunto de direcciones URL Conjunto de direcciones URL

Conjunto de equipos

Conjunto de direcciones URL Nota Si el conjunto de destinos del servidor ISA incluye ms de cinco direcciones IP, no se crea ninguna direccin URL. En este caso, se incluye una advertencia en el archivo de registro. Adems, si se aplica una regla a este conjunto de destino, no se actualiza y se incluye un mensaje en el archivo de registro.

La siguiente tabla muestra ejemplos de cmo se actualizan los conjuntos de destino de ISA Server 2000. Conjunto de destinos en ISA Server 2000 Conjunto de destinos con mayah.microsoft.com Conjunto de destinos con eitanh.microsoft.com y con ruta de acceso foo Conjunto de destinos con intervalo de direcciones IP 192.168.123.134 (IP nica) y ruta de acceso foo Conjunto de destinos con yairh.microsoft.com y ruta de acceso /foo, con direccin IP 1.2.3.4 y ruta de acceso boo y con intervalo de direcciones IP entre 1.2.3.4 y 1.2.3.5, y ruta de acceso /home Objeto de red en ISA Server 2004 Conjunto de nombres de dominio con mayah.microsoft.com Conjunto de nombres de dominio con eitanh.microsoft.com y conjunto de direcciones URL con http://eitanh.microsoft.com/foo/ Conjunto de equipos con intervalo entre 192.168.123.134 y 192.168.123.134 Conjunto de direcciones URL con http://192.168.123.134/foo/ Conjunto de equipos con intervalos de direcciones IP entre 1.2.3.4 y 1.2.3.4, e intervalos de direcciones IP entre 1.2.3.4 y 1.2.3.5. Conjunto de nombres de dominio con yairh.microsoft.com y conjunto de direcciones URL con http://yairh.microsoft.com/foo, http://1.2.3.4/boo, http://1.2.3.4/home y http://1.2.3.5/home

Conjuntos y reglas de destinos La siguiente tabla describe la configuracin de reglas de ISA Server 2004 de los conjuntos de destinos originalmente utilizados en las reglas actualizadas desde ISA Server 2000. ISA Server 2000 Todos los destinos Todos los destinos internos Todos los destinos externos Destino seleccionado ISA Server 2004 El valor de la propiedad Para se establece en En cualquier lugar. El valor de la propiedad Para se establece en Red interna. El valor de la red de destino se establece en Interno. El valor de la propiedad Para se establece en Red externa. El valor de la red de destino se establece en Externo. El valor de la propiedad A se establece en los conjuntos de equipos, nombres de dominio y conjuntos de direcciones URL, que corresponden al conjunto de destinos original.

Definiciones de protocolo ISA Server 2000 inclua dos tipos de definiciones de protocolo: Definiciones de protocolo explcitamente definidas. Elementos de protocolo creados en la instalacin, por el servidor ISA, o creados posteriormente por un usuario. Definiciones de protocolo implcitamente definidas. Utilizadas por filtros de aplicacin especficos o por filtros de paquetes IP.

La herramienta de migracin crea definiciones de protocolo correspondientes en ISA Server 2004 para todos los elementos de protocolo definidos explcitamente. Si ISA Server 2004 ya tiene una definicin de protocolo con el mismo nombre, no se importar la definicin de protocolo de ISA Server 2000. No se actualizan las definiciones de protocolo definidas implcitamente, creadas por filtros de aplicacin de terceros. Un mensaje de advertencia as lo indica en el archivo de registro de migracin. Se actualizan las definiciones de protocolo definidas implcitamente, utilizadas con filtros de paquetes IP. No se actualizan las definiciones de protocolo que no se puede identificar mediante la herramienta de migracin. Se eliminan todas las reglas que se aplican a definiciones de protocolo no identificadas. Programacin ISA Server 2000 programa la actualizacin directamente en ISA Server 2004. Cualquier regla de ISA Server 2000 que no tenga especficamente un programa con el mismo nombre que la regla, har referencia a los programas creados, con dicho nombre, en ISA Server 2004. Se puede crear un nuevo programa en ISA Server 2004 cuando se utilicen dos programas mediante una regla de sitio y contenido, y mediante una regla de protocolo en ISA Server 2000. Escuchas de web ISA Server 2000 inclua escuchas entrantes y salientes en una direccin IP especfica. En ISA Server 2004, las escuchas de web se pueden asignar a una red completa o a una direccin IP especfica. Las escuchas entrantes de ISA Server 2000 se actualizan a ISA Server 2004 como escuchas de web de la red externa. Las escuchas salientes predeterminadas de ISA Server 2000 se actualizan a ISA Server 2004 como escuchas de web de la red interna. Si no se utiliza la escucha predeterminada, no se actualiza ninguna escucha. Esto se anota en el archivo de registro. Observe que la direccin IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la informacin de configuracin. Si ISA Server 2004 est instalado en un equipo distinto, debe corregir la direccin IP despus de importar el archivo .xml. Convenciones de nomenclatura La siguiente tabla detalla las convenciones de nomenclatura de los nuevos elementos de regla. Elemento de directiva de ISA Server 2000 Conjunto de destinos, crea el conjunto de equipos Conjunto de destinos, crea el conjunto de direcciones URL Escucha de web predeterminada Programa combinado Elemento de regla de ISA Server 2004 Conjunto de equipos con Nombre_conjunto_destinos Conjunto de direcciones URL con Nombre_conjunto_destinos Escucha de web predeterminada externa NombrePrograma1_NombrePrograma2

Actualizar la configuracin de clientes y redes de ISA Server 2000 La configuracin de red y cliente de ISA Server 2000 se actualiza a ISA Server 2004, tal como se detalla en las siguientes secciones. Redes

ISA Server 2000 admite solamente dos tipos de redes: interna y externa. Se puede admitir una red perimetral (tambin conocida como DMZ, zona desmilitarizada o subred filtrada) mediante la creacin de filtros de paquetes para enrutar el trfico desde la red externa a esta red. ISA Server 2004 es compatible con muchas redes. Las redes siguientes se crean de forma predeterminada en ISA Server 2004: Interna, derivada de la tabla de direcciones locales (LAT) de ISA Server 2000. La red interna de ISA Server 2004 no incluye direcciones IP del grupo de direcciones estticas de VPN de ISA Server 2000. Tampoco incluye la direccin de difusin. Externa Host local Clientes de VPN La herramienta de migracin crea las siguientes reglas de red en ISA Server 2004: Regla de red que define una relacin de ruta entre el host local y la red interna. Regla de red que define una relacin de ruta entre la red perimetral y la red externa. Regla de red que define una relacin NAT entre la red interna y la red perimetral. Tabla de dominios locales La tabla de dominios locales (LDT) se migra, tal y como est, a ISA Server 2004 . Si la tabla LDT de ISA Server 2000 incluye direcciones IP, stas no se migrarn a ISA Server 2004. Configuracin de cliente En ISA Server 2004, la configuracin de cliente se establece en la red correspondiente. La configuracin de cliente de ISA Server 2000 se actualiza directamente a la configuracin de cliente de la red interna de ISA Server 2004. Como ocurre en ISA Server 2000, la configuracin de aplicacin de cliente del servidor de seguridad de ISA Server 2004 se aplica a todas las peticiones de cliente. La configuracin de aplicacin del cliente del servidor de seguridad se actualiza directamente a ISA Server 2004. Actualizar la configuracin de enrutamiento, encadenamiento y marcado de ISA Server 2000 La mayor parte de los valores de configuracin de enrutamiento, encadenamiento y marcado de ISA Server 2000 se actualizan a ISA Server 2004, como se detalla en las secciones siguientes. Conexiones de acceso telefnico En ISA Server 2000, se podan crear varias conexiones de acceso telefnico, pero slo una poda estar activa cada vez. En ISA Server 2004, slo se puede crear una nica conexin. En ISA Server 2000, la conexin de acceso telefnico se defina por cliente del servidor de seguridad y por cliente proxy Web. En ISA Server 2004, la conexin de acceso telefnico se define por redes. Como parte del proceso de actualizacin, slo se actualiza la conexin de acceso telefnico activa. Se asigna a la red externa. No se actualizan las dems conexiones de acceso telefnico. Esta informacin se incluye en el archivo de registro de actualizacin. Encadenamiento del servidor de seguridad La configuracin de encadenamiento de ISA Server 2000 se actualiza directamente a ISA Server 2004. La nica excepcin es la conexin de acceso telefnico especificada

en ISA Server 2000. En ISA Server 2004, la conexin de acceso telefnico se crea en la red externa. Reglas de enrutamiento Cada regla de enrutamiento de ISA Server 2000 se duplica en ISA Server 2004 como una regla de cach y como una regla de enrutamiento. La regla de enrutamiento de ISA Server 2004 se crea con las mismas propiedades que la regla de enrutamiento original de ISA Server 2000. Los destinos especificados para la regla de enrutamiento de ISA Server 2000 se asignan a redes especficas en la pgina de propiedades A de las propiedades de la regla de enrutamiento de ISA Server 2004. Si la regla de enrutamiento de ISA Server 2000 utiliza una entrada de acceso telefnico, se crea una entrada de acceso telefnico con las mismas propiedades en la red externa de ISA Server 2004. Se crea tambin una regla de cach nueva basada en la regla de enrutamiento original de ISA Server 2000. Los destinos especificados para la regla de enrutamiento de ISA Server 2000 se asignan a redes especficas en la pgina de propiedades A de las propiedades de la regla de enrutamiento de ISA Server 2004. Las siguientes propiedades no son compatibles con las reglas de cach de ISA Server 2004 y, por consiguiente, no se actualizan desde la regla de enrutamiento original de ISA Server 2000: enlazar y accin.

Actualizar la configuracin de complementos de ISA Server 2000 La mayora de las reglas de directiva de acceso, las reglas de publicacin y los filtros de paquetes IP de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes. En ISA Server 2000, los filtros de aplicacin se aplicaban sin condiciones a un determinado trfico. En ISA Server 2004, algunos filtros pueden aplicarse de forma individual para cada regla. La tabla siguiente describe la forma en que se actualizan las funciones de los filtros de aplicacin de ISA Server 2000 a ISA Server 2004.

Nota: Asegrese de eliminar todos los filtros de aplicacin o filtros Web propocionados por otros proveedores antes de realizar la actualizacin. Si estos filtros de aplicacin o Web tambin se encuentran disponibles para ISA Server 2004, puede volver a instalarlos despus de la actualizacin. Filtro de aplicacin o regla Acceso a FTP

ISA Server 2000 Reglas de protocolo que se aplican a FTP Reglas de protocolo que se aplican a la descarga FTP Reglas de protocolo que se aplican al servidor FTP

ISA Server 2004 Regla de acceso con la opcin Slo lectura del filtrado FTP deshabilitada Regla de acceso con la opcin Slo lectura del filtrado FTP habilitada Regla de publicacin de servidor con la opcin Slo lectura del filtrado FTP deshabilitada Filtrar escuchas en la red externa Filtrar escuchas en la red interna Igual que en ISA Server 2000 No se admite Sustituido por el filtrado por regla Igual que en ISA Server 2000 Se actualizan a una regla de publicacin de servidor de SMTP de forma individual para cada regla Escuchar peticiones de SOCKS iniciadas desde la red interna La misma configuracin que ISA Server 2000 No se admite la divisin de transmisin por secuencias MMS

Filtro H.323

Permitir llamada entrante Permitir llamadas salientes Resto de configuraciones

Redireccin de HTTP Filtro RPC Filtro SMTP

Todas las configuraciones Todas las configuraciones Comandos SMTP Datos adjuntos, usuarios y dominios, y palabras clave

Filtro SOCKS V4 Medios de transmisin por secuencias

Habilitado Filtro MMS, filtro PNM y filtro RTSP: cualquier configuracin

Los valores de configuracin de los siguientes filtros de aplicacin se actualizan directamente a ISA Server 2004: Filtro de deteccin de intrusiones DNS Filtro de deteccin de intrusiones POP Si el filtro de mensajes no est instalado en el equipo que se va a actualizar a ISA Server 2004, se bloquear todo el trfico proveniente del equipo del filtro de mensajes a menos que configure especficamente ISA Server 2004 para permitir el trfico desde y a la red interna, y desde y a la red de host local. Del mismo modo, puede agregar una regla que permita el trfico de Control de Firewall de Microsoft desde el equipo del filtro de mensajes al equipo de host local. Algunas propiedades del filtro de aplicacin se configuran de distinta forma en ISA Server 2004 que en ISA Server 2000. Tenga en cuenta que los filtros de aplicacin de terceros no se actualizan. De la misma forma, tampoco se actualiza ninguna definicin de protocolo instalada con el

filtro de aplicacin. No se actualiza ninguna de las reglas que se aplican a estas definiciones de protocolo.

Actualizar la configuracin de la cach de ISA Server 2000 La mayora de los valores de configuracin de la cach de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes. Almacenamiento en cach La mayora de las propiedades de la cach de ISA Server 2000 se actualizan directamente, sin cambio alguno, desde ISA Server 2000 a ISA Server 2004. Tenga en cuenta las siguientes excepciones: Las propiedades generales de la cach que especifican si los objetos de la cach deben actualizarse se actualizan a los valores por defecto que ISA Server 2004 tiene para estas propiedades. No se actualizan las propiedades generales de la cach que especifican si deben actualizarse los objetos que superan un tamao determinado. Las propiedades generales de la cach que especifican si se almacena en la cach el contenido dinmico se establecen en la regla de cach predeterminada de ISA Server 2004. La configuracin de la unidad de la cach se mantiene en ISA Server 2004. Si la migracin se realiza a otro equipo, el equipo con ISA Server 2004 debe tener un hardware y una configuracin de unidades similares a las del equipo original con ISA Server 2000. Si ISA Server 2000 se instal en modo de cach, la herramienta de migracin realiza las siguientes operaciones: Configura la red interna de ISA Server 2004 para incluir todas las direcciones asociadas con el adaptador de red individual especificado en el equipo con ISA Server 2000. Crea un regla de acceso que permite el acceso HTTP, HTTPS y FTP desde la red interna a la red interna. Trabajos programados de descarga de contenido Los trabajos de descarga de contenido programados de ISA Server 2000 se actualizan directamente a ISA Server 2004.

Actualizar Enrutamiento y acceso remoto de ISA Server 2000 Al instalar ISA Server 2004, puede actualizar la configuracin de Enrutamiento y acceso remoto. Es posible actualizar la configuracin a ISA Server 2004, est o no ISA Server 2000 instalado en el equipo. Tenga en cuenta las limitaciones siguientes sobre la actualizacin de la configuracin de Enrutamiento y acceso remoto: Para establecer el nmero mximo de clientes de redes privadas virtuales remotas (VPN) que pueden conectarse a ISA Server 2004 se tiene en cuenta el valor ms grande de los siguientes en Enrutamiento y acceso remoto: el nmero de puertos PPTP o el nmero de puertos L2TP. Si el nmero de direcciones IP asignadas estticamente es inferior al nmero de clientes de VPN, este nmero se reducir para que se ajuste al tamao del conjunto de direcciones estticas. Se emite una advertencia al usuario durante el proceso de actualizacin de Enrutamiento y acceso remoto. Las claves previamente compartidas para Enrutamiento y acceso remoto no se exportan. Se emite un mensaje de advertencia. Si se configura una direccin IP no vlida para el servidor DNS principal, sta no se exportar. En su lugar, se utilizarn los valores de DHCP y se emitir un

mensaje de advertencia. Si se configura una direccin IP no vlida para el servidor DNS de reserva, sta no se exportar. Se emite un mensaje de advertencia. Si se configura una direccin IP no vlida para el servidor WINS principal, sta no se exportar. En su lugar, se utilizarn los valores de DHCP y se emitir un mensaje de advertencia. Si se configura una direccin IP no vlida para el servidor WINS de reserva, sta no se exportar. Se emite un mensaje de advertencia. Si una conexin de sitio a sitio se configura en Enrutamiento y acceso remoto primero como PPTP (y despus como L2TP), se actualizar a la red de un sitio remoto en ISA Server 2004 que utilice solamente PPTP. Se emite un mensaje de advertencia. Si una conexin de sitio a sitio se configura en Enrutamiento y acceso remoto primero como L2TP (y despus como PPTP), se actualizar a la red de un sitio remoto en ISA Server 2004 que utilice solamente L2TP. Se emite un mensaje de advertencia. Las claves previamente compartidas para conexiones de sitio a sitio en Enrutamiento y acceso remoto no se exportan. Se emite un mensaje de advertencia. Las credenciales configuradas para conexiones de sitio a sitio en Enrutamiento y acceso remoto tampoco se exportan. En ISA Server 2004, las conexiones VPN salientes se deshabilitan hasta que se vuelvan a configurar. Se emite un mensaje de advertencia.

Actualizar la configuracin de revisiones y Feature Pack 1 de ISA Server 2000 Feature Pack 1 de ISA Server 2000 presenta varias funciones nuevas, que se incluyen en ISA Server 2004. La mayor parte de la informacin de configuracin de Feature Pack 1 de ISA Server 2000 se migra directamente a ISA Server 2004. Tenga en cuenta las siguientes excepciones: Traduccin de vnculos. Funcin directamente migrada a ISA Server 2004. Tenga en cuenta lo siguiente: Se crea un nuevo grupo de contenido para los grupos de contenido a los que se aplica el filtro de traduccin de vnculos de ISA Server 2000. Con la traduccin de vnculos de Feature Pack 1 de ISA Server 2000, puede configurar si se debe evitar el almacenamiento en cach de las respuestas en servidores proxy externos. Esta caracterstica ya no se admite en ISA Server 2004. Compatibilidad con autenticacin SecurID. Funcin directamente migrada a ISA Server 2004. Tenga en cuenta lo siguiente: En Feature Pack 1 de ISA Server 2000, la autenticacin SecurID se configuraba por regla de publicacin de Web. En ISA Server 2004, se configura para cada escucha de web. Si ISA Server 2000 tiene dos reglas de publicacin en Web con configuraciones distintas, se migran las reglas pero se deshabilita la configuracin de autenticacin SecurID. Para completar la migracin de la configuracin de autenticacin SecurID, proceda del modo siguiente: 1. Copie el archivo Sdconf.rec generado por el servidor de entrada de control de acceso (ACE) en %SystemRoot%\System32. 2. Cree una regla de acceso que permita la comunicacin entre el host local y el servidor ACE.

URLScan. El nombre de este filtro cambia a filtro HTTP en ISA Server 2004. La siguiente funcionalidad, compatible con Feature Pack 1 de ISA Server 2000, no est disponible en ISA Server 2004: EnableLogging PerProcessLogging AllowLateScanning PerDayLogging RejectResponseUrL UseFastPathReject DenyUrlSequences Revisiones de ISA Server 2000 Todas las claves del registro instaladas como parte de las revisiones de ISA Server 2000 se migran directamente a ISA Server 2004.

2. Configuraciones avanzadas de red (Firewall de 3 adaptadores,

Firewall Back-to-Back)

El servidor ISA presenta el concepto de redes mltiples. Puede utilizar las caractersticas de redes mltiples del servidor ISA para proteger la red frente a amenazas internas y externas a la seguridad, ya que limitan la comunicacin entre clientes, incluso dentro de la propia organizacin. Puede agrupar equipos de la red interna en conjuntos de redes y configurar una directiva de acceso especfica para cada uno de ellos. Tambin puede especificar relaciones entre las diversas redes y determinar, de este modo, la forma en que se comunican los equipos de cada red entre s mediante el servidor ISA. En un entorno de publicacin normal, quiz prefiera aislar los servidores publicados en su propia red, como una red perimetral. La funcionalidad de redes mltiples del servidor ISA es compatible con un entorno as, para que pueda configurar la forma

en que tienen acceso a la red perimetral los clientes de la red corporativa y los clientes de la red externa. Puede configurar las relaciones entre las diversas redes y definir directivas de acceso diferentes entre cada red.

a. Topologas de Red

El servidor ISA incluye plantillas de red, que se corresponden con topologas de red comunes. Las plantillas de red se pueden utilizar para configurar la directiva de servidor de seguridad para el trfico entre redes. El servidor ISA incluye las siguientes plantillas de red: Firewall perimetral. Esta plantilla supone que hay una topologa de red con el servidor ISA en el lmite de la red. Un adaptador de red se conecta a la red interna y el otro se conecta a una red externa (Internet). Si selecciona esta plantilla, puede permitir todo el trfico saliente o limitar el trfico saliente para permitir solamente acceso a Web. 3-Leg Perimeter (Permetro de 3 secciones). Esta plantilla supone que hay una topologa de red con el servidor ISA conectado a la red interna, la red externa y una red perimetral (conocida tambin como DMZ, zona desmilitarizada o subred protegida). Cliente. Esta plantilla supone que hay una topologa de red con el servidor ISA en el lmite de la red, con otro servidor de seguridad configurado en el servidor de servicios de fondo, para proteger la red interna. Servidor de servicios de fondo. Esta plantilla supone que hay una topologa de red con el servidor ISA implementado entre una red perimetral y

la red interna, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna. Adaptador de red nico. Esta plantilla supone que hay una configuracin de un adaptador de red nico en una red perimetral o corporativa. En esta configuracin, el servidor ISA se utiliza como servidor de envo a travs de proxy Web y almacenamiento en cach. b. Reglas de protocolos en configuraciones de firewall con 3 adaptadores

El servidor ISA incluye plantillas de red, que se corresponden con topologas de red comunes. Un entorno implica la configuracin de un equipo servidor ISA con tres adaptadores de red: uno se conecta a Internet (red externa), otro a la red interna y el tercero a una red perimetral. La plantilla de red perimetral de tres secciones se aplica a este entorno. Al configurar el servidor ISA mediante la aplicacin de la plantilla de red perimetral de tres secciones, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad de acuerdo con la directiva concreta que se seleccione. Directiva de servidor de seguridad Como parte del proceso de aplicacin de plantillas de red, seleccione la directiva de servidor de seguridad que ms se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red perimetral de tres secciones e indica las reglas que se crean al seleccionar la directiva.

Nombre de directiva

Descripcin

Reglas que se crean

Esta directiva bloquea todos los accesos de red a travs del servidor ISA. Esta opcin no crea reglas de acceso, a excepcin de la Bloquear a todos regla predeterminada, que bloquea todos Ninguna. los accesos. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Bloquear el acceso a Internet, permitir el acceso a los servicios de red en la red perimetral Bloquear el acceso a Internet, pero permitir el acceso a los servicios de red del ISP Esta directiva bloquea todos los accesos de red a travs del servidor ISA, a excepcin del acceso a los servicios de red (DNS) de la red perimetral. Use esta opcin cuando desee definir la directiva de servidor de seguridad por cuenta propia. Esta directiva bloquea todos los accesos de red a travs del servidor ISA, a excepcin del acceso a los servicios de red externos, como DNS. Esta opcin es til cuando el ISP es el que proporciona los servicios de red. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Permitir trfico DNS desde la red interna y la red de clientes de VPN a la red perimetral. Permitir trfico DNS desde la red interna, la red de clientes de VPN y la red perimetral hacia la red externa (Internet).

Permitir trfico HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hasta Esta directiva permite acceso a Web la red perimetral y la Permitir acceso a limitado mediante el uso exclusivo de red externa web limitado HTTP, HTTPS y FTP. Esta directiva bloquea (Internet). los restantes accesos de red. Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna. Permitir trfico HTTP, HTTPS y FTP desde la red interna y la red de Esta directiva permite acceso a Web clientes de VPN hacia limitado mediante el uso exclusivo de la red perimetral y la Permitir acceso a HTTP, HTTPS y FTP, y permite el acceso a red externa web limitado, los servicios de red de la red perimetral. (Internet). permitir el acceso Los restantes accesos de red estn Permitir trfico DNS a los servicios de bloqueados. desde la red interna y red de la red Esta opcin es til cuando los servicios de la red de clientes de perimetral infraestructura de red estn disponibles en VPN hacia la red la red perimetral. perimetral. Permitir todos los protocolos desde la red de clientes de VPN

hacia la red interna. Permitir trfico HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red externa (Internet). Esta directiva permite el acceso limitado a Permitir acceso a Permitir DNS desde la Internet y permite el acceso a los servicios web limitado, red interna, la red de de red, como DNS, que proporciona su ISP. permitir servicios clientes de VPN y la Los restantes accesos de red estn de red del ISP red perimetral hacia bloqueados. la red externa (Internet). Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna. Permitir todos los protocolos desde la Esta directiva permite el acceso a Internet red interna y la red de sin restricciones a travs del servidor ISA. clientes de VPN hacia El servidor ISA prevendr el acceso de la red perimetral y la Permitir todos los Internet a las redes protegidas. red externa protocolos Puede modificar las reglas de acceso ms (Internet). tarde para bloquear determinados tipos de Permitir todos los acceso de red. protocolos desde la red de clientes de VPN hacia la red interna.

c.

Reglas de protocolos en configuraciones de firewall Back-toBack

Plantilla de red de servidor de seguridad de cliente El servidor ISA incluye plantillas de red, que se corresponden con topologas de red comunes. Un entorno implica que el equipo servidor ISA se implementa en los lmites de una red, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna. En este entorno, el servidor ISA acta como lnea delantera de defensa en una configuracin opuesta de red perimetral. La plantilla de red de cliente se aplica a este entorno. Al configurar el servidor ISA mediante la aplicacin de la plantilla de red de cliente, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad conforme a la directiva concreta que se seleccione.

Directiva de servidor de seguridad Como parte del proceso de aplicacin de plantillas de red, seleccione la directiva de servidor de seguridad que ms se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red de cliente e indica las reglas que se crean al seleccionar cada directiva. Nombre de Reglas que se Descripcin directiva crean Esta directiva bloquea todo el acceso a redes a travs del servidor ISA. Esta opcin no crea reglas de acceso, a excepcin de la regla predeterminada, que bloquea todos Ninguna. los accesos. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Permitir DNS desde la red de clientes de VPN y la red perimetral hacia la red externa (Internet). Permitir DNS desde la red interna y la red de clientes de VPN hacia la red perimetral. Permitir HTTP, HTTPS y FTP desde la red de clientes de VPN y la red perimetral hacia la red externa (Internet). Permitir todos los protocolos desde la red de clientes de VPN hacia la red perimetral.

Bloquear a todos

Esta directiva bloquea todo el acceso a redes a travs del servidor ISA, excepto el Bloquear acceso a acceso a los servicios de red externos, Internet, permitir como DNS. Esta opcin es til cuando el ISP acceso a servicios es el que proporciona los servicios de red. de red ISP Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Esta directiva bloquea todos los accesos de Bloquear acceso a red a travs del servidor ISA, a excepcin Internet (los del acceso a los servicios de red, como servicios de red DNS, de la red perimetral. Use esta opcin estn en la red cuando desee definir la directiva de servidor perimetral) de seguridad por cuenta propia.

Permitir acceso a web limitado (los servicios de red estn en la red perimetral)

Esta directiva permite el acceso a Web limitado. Los dems accesos a redes estn bloqueados.

Permitir HTTP, HTTPS y FTP desde la red perimetral y Esta directiva permite el acceso de Web Permitir acceso de la red de clientes de limitado y permite el acceso a los servicios web limitado, VPN hacia la red de red, como DNS, que proporciona su ISP. permitir servicios externa (Internet). Los dems accesos a redes estn de red del ISP Permitir DNS desde bloqueados. la red interna, la red de clientes de VPN y la red perimetral

hacia la red externa (Internet). Permitir todos los protocolos desde la red de clientes de VPN hacia la red perimetral. Permitir todos los protocolos desde la red perimetral y la Esta directiva permite el acceso sin restricciones a Internet a travs del servidor red de clientes de VPN hacia la red ISA. El servidor ISA prevendr el acceso Permitir acceso sin externa (Internet). desde Internet hacia las redes protegidas. restricciones Permitir todos los Puede modificar las reglas de acceso ms adelante para bloquear tipos especficos de protocolos desde la acceso a redes. red de clientes de VPN hacia la red perimetral. Plantilla de red de servidor de servicios de fondo El servidor ISA incluye plantillas de red, que se corresponden con topologas de red comunes. Un entorno implica que el equipo servidor ISA se implementa entre una red perimetral y la red interna, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna. En este entorno, el servidor ISA acta como lnea de fondo de defensa en una configuracin opuesta de red perimetral. La plantilla de red de servidor de servicios de fondo se aplica a este entorno. Al configurar el servidor ISA mediante la aplicacin de la plantilla de red de servidor de servicios de fondo, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad conforme a la directiva concreta que se seleccione.

Directiva de servidor de seguridad Como parte del proceso de aplicacin de plantillas de red, seleccione la directiva de servidor de seguridad que ms se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red de servidor de servicios de fondo e indica las reglas que se crean al seleccionar cada directiva. Nombre de Descripcin Reglas que se crean directiva Esta directiva bloquea todo el acceso a redes a travs del servidor ISA. Esta opcin no crea reglas de acceso, a Sin acceso: Bloquear excepcin de la regla predeterminada, Ninguna. que bloquea todos los accesos. Use a todos esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Sin acceso: Bloquear acceso a Internet (los servicios de red estn en la red perimetral) Esta directiva bloquea todo el acceso a redes a travs del servidor ISA, excepto el acceso a los servicios de red (DNS) de la red perimetral. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Permitir DNS desde la red interna y la red de clientes de VPN hacia la red perimetral.

Esta directiva bloquea todo el acceso a redes a travs del servidor ISA, excepto el acceso a los servicios de red Sin acceso: Bloquear externos, como DNS. Esta opcin es til cuando el ISP es el que acceso a Internet, proporciona los servicios de red. permitir acceso a servicios de red ISP Use esta opcin cuando desee definir las reglas de acceso de la directiva de servidor de seguridad por cuenta propia.

Permitir DNS desde la red interna y la red de clientes de VPN hacia la red externa (Internet), excepto el intervalo de direcciones perimetrales

Acceso restringido: Permitir acceso a web limitado

Permitir HTTP, HTTPS y FTP desde la red interna y la red de Esta directiva permite el acceso a Web clientes de VPN hacia la limitado. Los dems accesos a redes red externa (Internet). estn bloqueados. Permitir todos los protocolos de la red de clientes de VPN hacia la red interna. Permitir HTTP, HTTPS y FTP desde la red interna y la red de Esta directiva permite el acceso a Web clientes de VPN hacia la limitado y el acceso a los servicios de red perimetral y la red red de la red perimetral. Los dems externa (Internet). accesos a redes estn bloqueados. Permitir DNS desde la red interna y la red de clientes de VPN hacia la

Acceso restringido: Permitir acceso a web limitado (los servicios de red estn en la red perimetral)

red perimetral. Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna. Permitir HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red externa (Internet). Permitir DNS desde la Acceso restringido: Esta directiva permite el acceso de red interna y la red de Permitir acceso de web limitado y permite el acceso a los clientes de VPN hacia la web limitado, servicios de red, como DNS, que red externa (Internet), proporciona su ISP. Los dems accesos permitir acceso a excepto el intervalo de servicios de red ISP a redes estn bloqueados. direcciones del permetro. Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna. Permitir todos los protocolos desde la red Esta directiva permite el acceso sin interna y la red de restricciones a Internet a travs del clientes de VPN hacia la servidor ISA. El servidor ISA prevendr red externa y el el acceso desde Internet hacia las intervalo de direcciones redes protegidas. Puede modificar las del permetro. reglas de acceso ms adelante para Permitir todos los bloquear tipos especficos de acceso a protocolos desde la red redes. de clientes de VPN hacia la red interna.

Acceso a Internet sin restricciones: Permitir todos los protocolos

3. Configuracin de acceso a sitios web corporativos (Web Publishing)

Escuchas de red Al crear una regla de publicacin de servidor para publicar un servidor, en realidad, est configurando el servidor ISA para que est atento a las peticiones de clientes en nombre de ese servidor. En otras palabras, debe configurar una escucha de red en el equipo servidor ISA que espera peticiones de clientes. Al configurar una escucha de red, debe especificar la red correspondiente al adaptador de red en el equipo servidor ISA que estar atento a las peticiones entrantes para el servidor publicado. La escucha puede estar atenta a todas las direcciones IP asociadas a una red o a direcciones IP especficas. El servidor ISA est atento al adaptador de red especificado, utilizando el nmero de puerto asociado al protocolo que est publicando el servidor.

Seleccin de redes de escucha (direcciones IP) La red o redes de escucha que seleccione dependen de las redes desde la que se conectarn los clientes al servidor publicado. Por ejemplo, si el servicio que va a publicar acepta peticiones de clientes de Internet (una red externa), debera seleccionar la red externa para la escucha. Al seleccionar la red externa, se seleccionan las direcciones IP en el equipo servidor ISA asociado al adaptador de red externo. Si no limita las direcciones IP, todas aqullas asociadas al adaptador de red externo se incluirn en la configuracin de la escucha. Adems, para que funcione la red, los orgenes de trfico (entidades de red) especificados en la ficha De de las propiedades de la regla de publicacin deben incluirse en una red seleccionada como escucha de red.

a. Publicacin estndar

El servidor ISA utiliza las reglas de publicacin de Web para aliviar los problemas asociados con el contenido de publicacin de Web sin comprometer la seguridad de red. Las reglas de publicacin de Web determinan cmo debe interceptar el servidor ISA las peticiones entrantes para los objetos HTTP (protocolo de transferencia de hipertexto) en un servidor Web y cmo debe responder el servidor ISA en representacin del servidor Web. Las peticiones se envan seguidamente al servidor Web ubicado detrs del equipo servidor ISA. Si es posible, la peticin se atiende desde la cach del servidor ISA. Las reglas de publicacin de Web asignan peticiones entrantes a los servidores Web correspondientes. Tambin permiten la configuracin de las funciones avanzadas de filtrado, publicando la informacin basada en Web mientras la protegen de un acceso malintencionado. Nota Las reglas nuevas slo se aplican a las conexiones nuevas. Cuando configure reglas de publicacin de Web, especifique lo siguiente: Nombre (o direccin IP) del servidor Web. Puede limitar la aplicacin de la regla a todos los sitios Web del servidor o a un sitio Web especfico. Asignacin de ruta de acceso. Antes de reenviar una peticin, el servidor ISA puede modificar la ruta externa especificada en la peticin y asignarla a la ruta interna correspondiente. Usuarios o equipos con acceso al servidor Web publicado. Origen. Los objetos de red que pueden tener acceso al servidor Web publicado. Tenga en cuenta que los objetos de red que especifique deben incluirse tambin en la escucha de web especificada para esta regla de publicacin de Web. Escucha de web. Se trata de la direccin IP del equipo servidor ISA que est atenta a las peticiones de los clientes. Protocolo de puente. Con el protocolo de puente, puede configurar el envo de las peticiones HTTP al servidor publicado. Traduccin de vnculos. Con la traduccin de vnculos, puede configurar cmo el servidor ISA examina las pgina Web en busca de vnculos y las actualiza con el nombre y la ruta externos. Adems, puede filtrar las peticiones efectuadas al servidor Web, configurarndo el filtrado HTTP. Importante Es recomendable no permitir la funcin de examinar directorios en el servidor Web publicado por el servidor ISA. Adems, el servidor Web no puede requerir autenticacin implcita ni bsica. En caso de que requiera autenticacin, es posible que el nombre interno o la direccin IP del servidor Web aparezcan en Internet. Accin Las reglas de publicacin de Web especifican el servidor, si existe alguno, que devolver el objeto solicitado. La peticin puede descartarse o redirigirse a un sitio alternativo, normalmente, a un servidor Web de la red corporativa. Al configurar la regla para redirigir las peticiones a un sitio alojado, el servidor ISA recupera el objeto a partir de la ruta especificada en la peticin del equipo host. Por ejemplo, imagine que especifica que el servidor ISA redirija las peticiones de

example.microsoft.com/development a un equipo host llamado Dev. Cuando un cliente solicita un objeto de example.microsoft.com/development, el servidor ISA recupera el objeto en la carpeta de desarrollo en el equipo Dev. Las reglas de publicacin de Web determinan el destino solicitado al leer el encabezado del host. Asignacin de ruta de acceso Antes de reenviar una peticin a un servidor Web publicado, el servidor ISA comprueba la ruta (externa) especificada en la peticin. Si configura la asignacin de ruta de acceso, el servidor ISA reemplazar la ruta especificada por el nombre de ruta correspondiente. Tenga en cuenta que cada ruta que especifique debe ser distinta y nica. Siga esta directrices para especificar la asignacin de ruta de acceso: Al especificar la ruta interna a la que se asignar la peticin, emplee este formato: /miruta/*. No se puede utilizar un carcter comodn en la ruta. Por ejemplo, no especifique miruta*/ o /miruta*. Evite especificar un nombre de archivo cuando configure la asignacin de ruta de acceso. De lo contrario, tenga en cuanto que slo se atender una peticin para la ruta exacta.

Protocolo de puente Al crear una regla de publicacin de Web, puede proteger an ms la comunicacin HTTP. Aunque la comunicacin inicial utilice HTTP, una vez el servidor ISA reciba la peticin, puede redirigirse la comunicacin utilizando SSL. Si la peticin se redirige como una peticin SSL, se cifrarn los paquetes. A esta redireccin tambin se le conoce como protocolo de puente. Puede establecer que las peticiones HTTP o SSL se procesen como peticiones FTP (protocolo de transferencia de archivos) en el servidor Web. Si el cliente externo solicita un objeto mediante HTTP o SSL, el servidor ISA puede redirigir la peticin al servidor Web interno mediante FTP. Si configura el protocolo de puente de esta forma, podr especificar el puerto que debe utilizarse al enlazar las peticiones de FTP. El servidor Web que precede en la cadena puede requerir un certificado de cliente. En tal caso, configure el servidor ISA para que se autentique con un certificado de cliente especfico. Si configura la regla de publicacin de Web para que requiera un canal seguro, todas las peticiones de clientes para los destinos especificados deben encontrarse en el puerto indicado para las conexiones SSL.

Publicacin de sitios Web con el mismo nombre de dominio Los cliente identifican los sitios Web publicados por su nombre de dominio completo (FQDN), tal y como los public el servidor ISA. Es decir, el nombre de dominio completo del sitio Web es el nombre configurado en la regla de publicacin de Web.

Si se publican varios servidores Web con el mismo nombre de dominio completo, el cliente supone que los dos sitios publicados son realmente el mismo. En otras palabras, el cliente Web puede enviar la informacin destinada a un servidor Web al otro servidor Web. Orden de reglas Las reglas de publicacin de Web se procesan junto con las reglas de directiva de servidor de seguridad. Se procesan en orden, para cada peticin de Web entrante. Cuando la regla coincide con una peticin, sta se enruta y se almacena en cach de la forma especificada. Si no coincide ninguna regla con la peticin, el servidor ISA procesa la regla predeterminada y descarta la peticin. b. Publicacin de OWA

Microsoft Internet Security and Acceleration (ISA) Server 2004 y Microsoft Outlook Web Access pueden combinarse para mejorar la seguridad de los mensajes de correo electrnico. Puede publicar de forma segura servidores Outlook Web Access con reglas de publicacin de servidor de correo. Al publicar servidores Outlook Web Access mediante el servidor ISA, protege el servidor Outlook Web Access frente a un acceso externo directo, ya que el nombre y la direccin IP de este servidor no son accesibles para el usuario. El usuario accede al equipo servidor ISA, que reenva a continuacin la peticin al servidor Outlook Web Access en funcin de las condiciones de la regla de publicacin de servidor de correo. El Asistente para publicacin de servidor de correo le conduce por los pasos necesarios pata publicar servidores Outlook Web Access de forma segura. Dado que

el servidor Outlook Web Access requiere que el cliente solicite el nombre de dominio completo (FQDN), el asistente configura el servidor ISA para que reenve el encabezado de host original al servidor Outlook Web Access publicado. Despus de completar el asistente, se especifican las siguientes rutas para la regla de publicacin de Web resultante:

/exchange/* /exchweb/* /public/*

Para obtener informacin detallada acerca de cmo publicar entornos Outlook Web Access con el servidor ISA, vea el documento "Publicacin del servidor Outlook Web Access en ISA Server 2004", disponible en el sitio Web del servidor ISA(http://www.microsoft.com/isaserver).

Publicacin de servidores Outlook Web Access Al crear la regla de publicacin de servidor de correo, tenga en cuenta lo siguiente: Debe especificar slo puertos estndares, tanto en el servidor ISA como en el servidor OWA. El puerto estndar para HTTP es 80 y el puerto estndar para HTTPS es 443. Al publicar el servidor OWA, no puede configurar el protocolo de puente para que se reenven las peticiones HTTP como peticiones HTTPS. Si configura el protocolo de puente, especificando que las peticiones HTTPS deben reenviarse como peticiones HTTP al servidor OWA, no habilite la traduccin de vnculos.

Publicar Outlook Mobile Access y Exchange Application Services Como parte del Asistente para publicacin de servidor de correo, puede seleccionar configurar la publicacin de Outlook Web Access y Exchange Application Services, que, al igual que Outlook Web Access, son servidores de correo basados en Web. Si publica Outlook Mobile Access y Exchange Application Services, se especificarn las rutas de acceso siguientes para la regla de publicacin resultante:

/OMA/* /Microsoft-Server-ActiveSync/*

Escuchas de web para la publicacin de Outlook Web Access La escucha de web que configure para la publicacin de Outlook Web Access puede configurarse para que utilice la autenticacin basadas en formas. Si configura conexiones seguras con los clientes, asegrese de que la escucha atiende las peticiones en un puerto HTTPS. En este caso, los formularios de autenticacin se atendern desde el equipo servidor ISA, habilitando la autenticacin basada en formas al publicar Exchange 2000 Server y Exchange Server versin 5.5. Importante

Por razones de seguridad, se recomienda que la escucha de web configurada para la publicacin Outlook Web Access no se utilice para ningn otro entorno de publicacin.

Autenticacin basada en formularios Como parte del asistente, especifique la escucha que desea utilizar para las peticiones Outlook Web Access entrantes. Cuando configure Outlook Web Access, le recomendamos que utilice la autenticacin basada en formas. Con esta autenticacin se evita el peligro inherente al almacenamiento en cach de credenciales de cliente en el equipo cliente. El almacenamiento en cach de credenciales es arriesgado en entornos de pantalla completa. Como las credenciales se almacenan en cach, aunque el usuario cierre la sesin, si la ventana del explorador se queda abierta, un usuario malintencionado puede lograr acceso a la sesin original de Outlook Web Access. Para habilitar la autenticacin basada en formas, debe especificar una escucha configurada para utilizar este tipo de autenticacin. El servidor ISA admite la autenticacin basada en formas al publicar Exchange Server 2003, Exchange 2000 Server y Exchange Server, versin 5.5. Nota La autenticacin basada en formas no se puede utilizar con clientes Outlook Mobile Access.

Modo de protocolo de puente Como parte del asistente para la regla de publicacin de Outlook Web Access, puede especificar el modo de protocolo de puente que desea utilizar: Conexin segura a clientes. Si se selecciona esta opcin, el servidor ISA establece una conexin segura con los equipos cliente y una conexin estndar con el servidor de correo. Conexin segura a servidor de correo y clientes. Si se selecciona esta opcin, el servidor ISA establece una conexin segura tanto con el servidor de correo como con los clientes. Slo conexiones estndar. Si se selecciona esta opcin, el servidor ISA establece una conexin estndar tanto con el servidor de correo como con los clientes.

La configuracin recomendada para la publicacin de Outlook Web Access es utilizar comunicacin con cifrado SSL (HTTPS), tanto desde el cliente externo hacia el equipo servidor ISA como desde ste al servidor Outlook Web Access. Esto se debe a que la informacin de las credenciales que se utiliza en el proceso de autenticacin debe protegerse y no debe exponerse, ni siquiera dentro de la red interna. Por este motivo

debe instalar certificados digitales tanto en el equipo servidor ISA como en el servidor Outlook Web Access. Equipos pblicos (compartidos) y privados Outlook Web Access permite a los usuarios tener acceso a sus buzones de Exchange desde cualquier equipo. Dicho equipo puede ser tanto privado como pblico (compartido). La comodidad que ofrece la capacidad para tener acceso a mensajes de correo electrnico desde cualquier lugar se contrarresta con el peligro que supone dejar los datos en un equipo pblico. Para combatir estas amenazas, la autenticacin basada en formas del servidor ISA le ayuda a asegurarse de que los usuarios no dejan sus contraseas almacenadas en la cach de equipos pblicos. Cambiar contraseas de usuario Outlook Web Access incluye una funcionalidad opcional que permite a los usuarios cambiar sus contraseas. Si un usuario cambia su contrasea durante una sesin de Outlook Web Access, dejar de ser vlida la cookie proporcionada despus de que el usuario iniciara la sesin. Cuando la autenticacin basada en formas se configura en el servidor ISA, el usuario que cambie la contrasea durante una sesin de Outlook Web Access ver la pgina de inicio de sesin la prxima vez que se realice una peticin. Para permitir a los usuarios cambiar sus contraseas, asegrese de agregar la carpeta /IISADMPWD/* a la regla de publicacin del servidor de correo Outlook Web Access. Si no lo hace, el usuario recibir un error cada vez que haga clic en el botn Cambiar contrasea de Outlook Web Access. Bloquear datos adjuntos Con el servidor ISA se puede impedir que los usuarios abran y guarden datos adjuntos. El bloqueo se puede configurar para clientes Outlook Web Access en un equipo pblico, en uno privado o en ambos. Tenga en cuenta que el bloqueo de datos adjuntos del servidor ISA difiere del que realiza Exchange Server. El usuario puede ver que los mensajes tienen datos adjuntos, pero no pueden abrirlos ni guardarlos. Recuperar pginas previamente Los servidores Exchange Outlook Web Access incluyen una caracterstica de recuperacin previa, que permite descargar archivos al equipo cliente mientras el cliente transfiere las credenciales. Al utilizar la autenticacin basada en formas del servidor ISA, para habilitar esta caracterstica, debe quitar las marcas de comentario de la siguiente lnea de los archivos logoff_msierich.htm y logoff_msierich_smimecap.htm, que suelen encontrarse en la subcarpeta CookieAuthFilter (en la carpeta de instalacin del servidor ISA):

"<IFRAME src="/exchweb/controls/preload.htm" style="display:none"></IFRAME>" Esta caracterstica de recuperacin requiere el acceso no autenticado a la carpeta /exchweb/* del servidor Outlook Web Access. Por lo tanto, si los clientes de correo basado en Web necesitan autenticarse en el servidor ISA, debe crear una regla de publicacin de Web que permita el acceso annimo a la carpeta /exchweb/* en el servidor Outlook Web Access. Posteriormente, no debera habilitarse la caracterstica de recuperacin si la escucha de web est configurada para requerir autenticacin.

c.

Publicacin de Sitios seguros (SSL)

Con el servidor ISA puede crear reglas de publicacin de Web seguras para publicar sitios Web que alojen contenido HTTP. Las reglas de publicacin de Web seguras determinan la forma en que el servidor ISA va a interceptar las peticiones entrantes de objetos HTTPS en un servidor Web interno y cmo va a responder el servidor ISA en nombre del servidor Web. Las peticiones se reenvan al servidor Web interno, que se ubica detrs del equipo servidor ISA. Nota Las reglas nuevas slo se aplican a las conexiones nuevas.

Protocolo de puente

Con el protocolo de puente puede configurar cmo se debe transmitir el trfico al servidor Web. Por ejemplo, imaginemos que un cliente utiliza SSL (capa de sockets seguros) para comunicarse con el equipo servidor ISA y una regla de publicacin de Web asigna la peticin a un servidor Web interno. La comunicacin inicial utiliza SSL. Sin embargo, de forma predeterminada, el resto de comunicaciones utiliza un protocolo no seguro, como HTTP. Al crear una regla de publicacin de Web segura, se puede configurar la forma en que se van a redirigir las peticiones de SSL, como peticiones de HTTP o peticiones de SSL. Si se redirigen como peticiones de SSL, el servidor ISA vuelve a cifrar los paquetes antes de transmitirlos al servidor Web. Por lo tanto, se establece un nuevo canal seguro para la comunicacin con el servidor Web SSL. Esta redireccin tambin se denomina Protocolo de puente SSL. Protocolo de tnel Al configurar una regla de publicacin de Web segura para que utilice el modo de protocolo de tnel, el servidor ISA enva el trfico cifrado sin modificar al servidor Web publicado. En otras palabras, el servidor ISA no realiza filtrado adicional del trfico. Las reglas de publicacin de Web segura que utilizan el modo de protocolo de tnel (en lugar del modo de protocolo de puente) son ms similares a las reglas de publicacin de servidor que a las reglas de publicacin de Web. Muchas de las caractersticas de publicacin de Web no se pueden aplicar a estas reglas, incluyendo la traduccin de vnculos y la asignacin de rutas de acceso. La regla no se puede aplicar a usuarios especficos (slo a objetos de red). Escucha Al configurar reglas de publicacin de web seguras, se define la forma en que se va a tener acceso al contenido HTTPS en un servidor Web publicado. Debe especificarse una escucha adecuada, configurada para atender un puerto HTTPS, para la regla de publicacin de Web segura.

4. Configuraciones de acceso a servicios en la red

perimetral/corporativa (Server publishing) a. Publicacin de Mail Server

Cuando se crean reglas de publicacin de servidor de correo, ISA Server 2004 crea las reglas de publicacin necesarias para permitir el acceso de los clientes a los servidores de correo. Segn el tipo de servidor de correo especificado, se configuran las reglas de publicacin de Web o de servidor, que permiten el acceso a los servidores de correo mediante los protocolos que especifique. Puede seleccionar uno de los tipos de acceso siguientes ofrecidos por el servidor de correo publicado: Acceso de cliente web. Permite el acceso de los clientes a servidores Microsoft Outlook Web Access, Outlook Mobile Access o Exchange Application Services. Si selecciona esta opcin, el servidor ISA configurar las reglas de publicacin de Web correspondientes. Acceso de cliente. Permite que los clientes usen la llamada a procedimiento remoto (RPC), el Protocolo de acceso de mensajes de Internet, versin 4rev1 (IMAP4), el Protocolo de oficina de correos, versin 3 (POP3) o el Protocolo simple de transferencia de correo (SMTP) para tener acceso al correo. Al seleccionar esta opcin, se crea una regla de publicacin de servidor para cada protocolo seleccionado. Comunicacin de servidor a servidor. Permite el acceso a los servidores SMTP (correo) y a los servidores NNTP (noticias). Al publicar un servidor de correo, es recomendable configurar el nombre FQDN del servidor de correo con el nombre DNS externo del equipo servidor ISA. De este modo, el nombre interno del servidor de correo no estar disponible pblicamente y, por lo tanto, no ser propenso a ataques.

Filtrado SMTP Si el filtro SMTP est instalado y habilitado, puede aplicar el filtrado SMTP. Filtrado RPC Al publicar servidores de correo de tipo RPC, puede aplicar el filtrado RPC. b. Publicacin de otros servicios

El servidor ISA utiliza la publicacin de servidor para procesar las peticiones entrantes en servidores internos como, por ejemplo, servidores FTP (protocolo de transferencia de archivos), servidores SQL (lenguaje de consulta estructurado), etc. Las peticiones se envan seguidamente al servidor interno que se ubica detrs del equipo servidor ISA. La funcin de publicacin de servidor permite a casi todos los equipos de la red interna publicar en Internet. La seguridad no se pone en peligro porque todas las peticiones entrantes y respuestas salientes se transfieren a travs del servidor ISA. Cuando un servidor se publica mediante un equipo servidor ISA, las direcciones IP publicadas coinciden con las direcciones IP del equipo servidor ISA. Los usuarios que solicitan objetos creen que estn estableciendo una comunicacin con el servidor ISA (al solicitar el objeto, ellos especifican el nombre o la direccin IP de dicho servidor). No obstante, en realidad, estn solicitando la informacin del servidor de publicacin. Esto se produce cuando la red en la que se encuentra el servidor publicado tiene una relacin NAT (traduccin de direcciones de red) desde la red en la que se encuentran los clientes que tienen acceso al servidor publicado. Al configurar una relacin de redes enrutadas, los clientes utilizan la direccin IP real del servidor publicado para obtener acceso a l. Las reglas de publicacin de servidor determinan el funcionamiento de la publicacin del servidor, sobre todo, el filtrado de todas las peticiones entrantes y salientes procesadas por el equipo servidor ISA. Las reglas de publicacin de servidor asignan peticiones entrantes a los servidores adecuados detrs del equipo servidor ISA. Estas

reglas proporcionan, de un modo dinmico, el acceso de los usuarios de Internet al servidor de publicacin que se haya especificado. El servidor publicado es un cliente de SecureNAT. Por lo tanto, no se requiere ninguna configuracin especial del servidor publicado tras crear la regla de publicacin de servidor en el equipo servidor ISA. Observe que el servidor ISA debe configurarse como la puerta de enlace predeterminada en el servidor publicado. Notas No se admiten los protocolos principales de publicacin ICMP (protocolo de mensajes de control de Internet) y Nivel de IP. No obstante, s se admite, de forma excepcional, el protocolo PPTP (protocolo de tnel punto a punto), que es una combinacin de una conexin TCP y los paquetes GRE (Generic Routing Encapsulation). Las reglas nuevas slo se aplican a las conexiones nuevas. Las reglas de publicacin de servidor se aplican slo a un protocolo. Filtrado por regla El filtrado de aplicacin se configura por reglas. Esto quiere decir que puede utilizar la directiva de servidor de seguridad que mejor se adapte a sus necesidades de seguridad especficas. El filtrado por regla est disponible para las reglas de publicacin de servidor desde el filtro RPC de Exchange: Funcionamiento de la publicacin de servidor El servidor ISA lleva a cabo los siguientes pasos durante la publicacin del servidor: 1. Un equipo cliente de Internet solicita un objeto desde una direccin IP que corresponde a la del servidor de publicacin. La direccin IP est asociada en realidad al equipo servidor ISA. Se trata de la direccin IP del adaptador de red externo perteneciente al equipo servidor ISA. 2. El equipo servidor ISA procesa la peticin, asignando la direccin IP a una direccin IP interna de un servidor interno. 3. El servidor interno devuelve el objeto al equipo servidor ISA, y ste lo transfiere al cliente que lo solicit. Uso de la regla de publicacin de servidor En la mayora de los casos, puede utilizar una regla de acceso, en lugar de una regla de publicacin de servidor, para poner el servidor a disposicin de los clientes. A continuacin se describen algunos puntos que debe tener en cuenta: Debe utilizar una regla de publicacin de servidor cuando exista una relacin de redes NAT entre la red del servidor publicado y la red del cliente. Una regla de publicacin de servidor slo puede publicar un nico servidor identificado. Para publicar varios servidores, son necesarias varias reglas. Con las reglas de publicacin de servidor, puede configurar las opciones para sobrescribir puertos. Publicacin de servidores DNS El servidor ISA no traduce la direccin IP de los servidores DNS. Para publicar un servidor DNS, configure una relacin de redes enrutadas entre la red de host local y la red que incluye el servidor DNS. Asimismo, el servidor ISA debe conocer la direccin IP del servidor DNS. Deshabilitar reglas Al deshabilitar una regla de publicacin de servidor, cualquier intento de establecer conexin con el servidor ser rechazado. Sin embargo, tenga en cuenta que el servidor ISA no cierra las conexiones activas.

Dichas conexiones pueden detenerse mediante la desconexin de las sesiones relacionadas. c. Publicacin usando PAT (Port Address Translation)

De forma predeterminada, al crear una regla de directiva de servidor de seguridad, el servidor ISA est atento al puerto especificado, si bien acepta peticiones de clientes en cualquier puerto. Puede limitar la regla para aceptar peticiones slo de puertos de origen especificados para las reglas de acceso y las reglas de publicacin de servidor. Adems, para las reglas de publicacin de servidor, puede especificar el puerto que utilizar el servidor ISA para aceptar las peticiones de clientes entrantes destinadas al servidor publicado. Si decide publicar en un puerto distinto al predeterminado, el servidor ISA recibir las peticiones de clientes para el servicio publicado en el puerto no estndar y, a continuacin, reenviar las peticiones al puerto designado en el servidor publicado. Por ejemplo, una regla de publicacin de servidor puede especificar que las peticiones de clientes para los servicios del Protocolo de transferencia de archivos (FTP) se conecten a travs del puerto 22 en el equipo servidor ISA antes de redireccionarlas al puerto 21 en el servidor publicado. Adems, puede especificar, para las reglas de publicacin de servidor, que el servidor publicado acepte las peticiones de clientes para el servicio publicado en un puerto distinto al predeterminado. Por ejemplo, si desea publicar dos servidores FTP, puede publicar un servidor FTP en el puerto predeterminado para un conjunto de usuarios y publicar el otro en otro puerto no estndar para un conjunto de usuarios diferente.

Para reemplazar los puertos predeterminados en las reglas de publicacin de servidor 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall. o Microsoft ISA Server 2004 o Nombre_servidor o Directiva de servidor de seguridad En el panel de detalles, haga clic en la regla aplicable. En la ficha Tareas, haga clic en Editar regla seleccionada. En la ficha Trfico, haga clic en Puertos. En Puertos del firewall, seleccione una de las opciones siguientes: o Publicar a travs del puerto predeterminado especificado en la definicin de protocolo. Si se selecciona esta opcin, el servidor ISA aceptar las peticiones entrantes de los clientes en el puerto predeterminado. o Publicar en este puerto en lugar del puerto predeterminado. Si se selecciona esta opcin, el servidor ISA aceptar las peticiones entrantes de los clientes en cualquier puerto que no sea el predeterminado. Si se selecciona un puerto alternativo, el servidor ISA recibe las peticiones de cliente para el servicio publicado en un puerto no estndar y, a continuacin, reenva las peticiones al puerto designado en el servidor publicado. En Puertos del servidor publicado, seleccione una de las opciones siguientes: o Enviar peticiones al puerto predeterminado en el servidor publicado. Si se selecciona esta opcin, el servidor ISA aceptar peticiones del servicio publicado en el puerto predeterminado, como se indica en la definicin del protocolo. o Enviar peticiones a este puerto en el servidor publicado. Si se selecciona esta opcin, el servidor ISA aceptar peticiones del servicio publicado en cualquier puerto que no sea el predeterminado. En Puertos de origen, seleccione una de las opciones siguientes: o Permitir trfico de cualquier puerto de origen permitido. Si se selecciona esta opcin, el servidor ISA aceptar peticiones de cualquier puerto de los equipos cliente permitidos. o Limitar acceso al trfico de este intervalo de puertos de origen. Si se selecciona esta opcin, el servidor ISA slo aceptar peticiones de los puertos que se especifiquen.

2. 3. 4. 5.

6.

7.

Nota Para abrir Administracin del servidor ISA, haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server y, a continuacin, haga clic en Administracin del servidor ISA.

5. Monitoreo y reportes en ISA 2004. a. Generacin de reportes de utilizacin

Puede utilizar la funcin de creacin de informes del servidor ISA para resumir y analizar los patrones de comunicacin. En particular, se pueden crear informes que muestren los patrones de uso comn. Por ejemplo: quin tiene acceso a los sitios y los sitios a los que se tiene acceso. qu protocolos y aplicaciones son los que se utilizan con ms frecuencia. patrones generales del trfico. proporcin de la cach. Los informes tambin se pueden utilizar para supervisar la seguridad de la red. Por ejemplo, se pueden generar informes que realicen un seguimiento de los intentos malintencionados de tener acceso a los recursos internos. De igual forma, mediante el seguimiento del nmero de conexiones a un servidor publicado o del trfico al servidor, se puede identificar un intento de denegacin de servicio. Informes peridicos El mecanismo de creacin de informes del servidor ISA permite programar informes peridicos en funcin de los datos recogidos de los archivos de registro. Se puede programar que los informes se generen de forma peridica y recurrente cada da, semana, mes o ao. El informe puede incluir datos diarios, semanales, mensuales o anuales. Al programar un trabajo de informes, especifique lo siguiente: periodo de actividad que abarcar el informe.

cundo y con qu frecuencia se generar el informe.

Cmo funciona el mecanismo de los informes El mecanismo de generacin de informes del servidor ISA combina los registros de resmenes de los equipos ISA Server en una base de datos en cada equipo servidor ISA. Dicha base de datos se encuentra en una carpeta del equipo servidor ISA; de forma predeterminada, en la carpeta ISASummaries. Al crearse un informe, todas las bases de datos de resmenes relevantes se combinan en una sola base de datos de informes. El informe se crea segn los resmenes combinados. Los informes del servidor ISA se basan en los registros del servicio proxy Web y del servicio del servidor de seguridad de Microsoft. La tabla siguiente muestra los campos del registro del servicio del servidor de seguridad y los campos de registro del proxy Web que se utilizan para generar informes. Campos del registro del Campos del registro del servicio del servidor proxy Web de seguridad Bytes recibidos Bytes enviados Agente del cliente IP de cliente Nombre de usuario de cliente Nombre de host de destino IP de destino Puerto de destino Cdigo de estado HTTP Hora de registro Fecha del registro Origen del objeto Tiempo de procesamiento Protocolo Transporte Direccin URL Accin Bytes recibidos Bytes enviados Diferencia de bytes enviados Agente del cliente Nombre de usuario de cliente IP de cliente Puerto del cliente IP de destino Puerto de destino Fecha del registro Hora de registro IP de cliente original Tiempo de procesamiento Diferencia de tiempo de procesamiento Protocolo Cdigo de resultados Transporte En un momento determinado, la aplicacin DailySum.exe, que se instala con el servidor ISA, resume la informacin del registro mostrada arriba. De forma predeterminada, DailySum.exe siempre se ejecuta en el equipo servidor ISA, independientemente de que se creen o se programen informes. Se guardan dos resmenes del registro: uno con un resumen diario y otro con un resumen mensual. Al principio de cada mes, Dailysum.exe crea tambin un resumen mensual que incluye todos los resmenes diarios del mes anterior. Se guardan, como mnimo, treinta y cinco resmenes diarios y trece mensuales. Puede configurar la forma y el lugar en que el servidor ISA guarda los resmenes del registro. Para generar los informes, el servidor ISA ejecuta la aplicacin ISARepGen.exe, que tambin se instala con l. Visualizacin y publicacin de informes Para ver un informe, puede hacer doble clic en el nombre del informe en Administracin del servidor ISA. El informe se muestra en Internet Explorer.

El informe puede verse slo en el equipo en el que se ejecuta Administracin del servidor ISA. En cualquier otro equipo, el informe no mostrar ningn dato o mostrar una pgina con marcos vacos y el siguiente mensaje: "No se puede mostrar la pgina". Tenga en cuenta lo siguiente en relacin con los datos que se muestran en el informe: Las peticiones se calculan solamente cuando finaliza la conexin. Los bytes se cuentan en cada lnea del registro. Publicar informes Para hacer que los informes sean ms accesibles, puede publicarlos en una carpeta compartida. Todo aqul que necesite tener acceso a los informes deber contar con permisos de lectura en esta carpeta. De esta forma, el resto podr ver los informes sin necesidad de tener acceso al equipo servidor ISA y tampoco a travs de Administracin del servidor ISA. Cuando se publica un informe, se guardan varios archivos de informe y los grficos asociados en la carpeta de publicacin especificada. Credenciales para la publicacin de informes Al publicar cualquier informe, el proceso IsaRepGen.exe debe contar con permisos de escritura en la carpeta de publicacin. Puede configurar las credenciales utilizadas por IsaRepGen.exe para crear informes. De forma predeterminada, se utiliza la cuenta del sistema local. Sin embargo, tenga en cuenta que si publica informes en un equipo distinto, las credenciales de la cuenta del sistema local se transmiten como las de la cuenta del equipo (con servidor ISA). La cuenta del equipo debe tener permisos de escritura en la carpeta compartida de red. Si el servidor ISA est instalado en un dominio Windows NT 4.0 o en modo de grupo de trabajo, IsaRepGen.exe utiliza la cuenta no autenticada. En este caso, recomendamos que especifique las credenciales de usuario al publicar los informes en otro equipo. Contenido de los informes Puede configurar el contenido que quiere incluir en cada informe. Es posible incluir el siguiente tipo de contenido en un informe: Resumen. Al incluir el contenido de resumen, el informe incluye informacin resumida sobre el uso del trfico de red, ordenado por aplicacin. Estos informes son muy importantes para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa. Uso de web. Al incluir el contenido de uso del Web, el informe muestra informacin sobre los usuarios ms frecuentes del Web, las respuestas comunes y los exploradores. Estos informes son muy importantes para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa. Muestran cmo se utiliza el Web en una empresa. Uso de aplicaciones. Al incluir el contenido de uso de la aplicacin, el informe muestra informacin del uso de la aplicacin de Internet sobre los usuarios ms frecuentes, las aplicaciones del cliente y los destinos. Trfico y utilizacin. Al incluir el contenido de trfico y utilizacin, el informe muestra el uso total de Internet por aplicacin, protocolo y direccin. Estos informes tambin muestran el promedio del trfico y el nmero mximo de conexiones simultneas, la frecuencia de aciertos de la cach y otras estadsticas. Seguridad. Al incluir el contenido de seguridad, el informe enumera los intentos de quebrantar la seguridad de la red.

b. Monitoreo en tiempo real

La vista Escritorio digital del servidor ISA resume la informacin de supervisin de las sesiones, alertas, servicios, informes y conectividad, as como el estado general del sistema. La vista predeterminada Escritorio digital muestra la siguiente informacin: Conectividad. Comprueba la conectividad entre el servidor ISA y otros equipos o direcciones URL. Alertas. Enumera los sucesos que han tenido lugar en el equipo servidor ISA. Servicios. Enumera los servicios del equipo servidor ISA y su estado actual. Sesiones. Enumera el total de las sesiones de los clientes. Informes. Enumera los informes creados recientemente. Estado del sistema. Muestra la informacin de rendimiento del equipo servidor ISA. Cada rea del escritorio digital cuenta con una indicacin visual de estado. Una X en un crculo rojo indica un posible problema, un icono amarillo indica una advertencia y una marca de verificacin en un crculo verde indica que no hay ningn problema. Puede personalizar la vista Escritorio digital para ocultar cierta informacin. Utilizar el escritorio digital para supervisar el estado del servidor ISA El escritorio digital resulta til para identificar rpidamente problemas graves relacionados con el servidor ISA. Verificar el estado de los servidores y servicios principales puede formar parte de la rutina diaria.

Por ejemplo, puede verificar que los servicios del servidor ISA funcionan correctamente y que los servidores principales tienen conectividad. Con echar un vistazo al escritorio digital podr saber si todo funciona correctamente. Una vez comprobado el estado del funcionamiento, puede revisar las alertas para comprobar si se han evitado ataques o si algn problema especfico requiere atencin inmediata. Si descubre algn problema en el escritorio digital, puede buscar ms informacin fcilmente. Haga clic en el encabezado del panel correspondiente para tener acceso a una ficha con informacin ms detallada. Puede confirmar y restablecer instancias de alertas en la vista Escritorio digital. c. Monitoreo de servicios y alertas

Al instalar el servidor ISA, tambin se instalan los siguientes servicios del sistema operativo Microsoft Windows: Servicio del servidor de seguridad de Microsoft Servicio Control de Microsoft ISA Server Servicio Programador de trabajos de Microsoft ISA Server Motor de datos Microsoft La vista Servicios se puede utilizar para detener o iniciar los servicios del servidor de seguridad de Microsoft, Programador de trabajos de Microsoft ISA Server y Motor de datos Microsoft. Adems, el controlador del filtro de paquetes (fweng) es un controlador en modo de ncleo que captura todo el trfico del servidor de seguridad y toma las decisiones de filtrado de paquetes y traduccin de direcciones del trfico de red. Servicio del servidor de seguridad de Microsoft El servicio del servidor de seguridad de Microsoft (fwsrv) es un servicio de Windows que admite peticiones de clientes del servidor de seguridad y clientes SecureNAT.

Administracin del servidor ISA para supervisar el estado del servicio del servidor de seguridad de Microsoft. Asimismo, puede utilizar Administracin del
Puede utilizar servidor ISA para detener o iniciar el servicio del servidor de seguridad. El servicio del servidor de seguridad admite peticiones de cualquier explorador Web, lo que permite el acceso a Web a casi todos los sistemas operativos de escritorio, entre los que se incluyen Microsoft Windows Server 2003, Windows XP, Windows 2000, Windows Millennium Edition, Windows NT, Windows 98, Windows 95, Macintosh y UNIX. El servicio del servidor de seguridad funciona a nivel de aplicacin en nombre de un cliente que solicita un objeto de Internet que se puede recuperar con uno de los protocolos compatibles con los protocolos proxy Web: Protocolo de transferencia de archivos (FTP), protocolo de transferencia de hipertexto (HTTP) y HTTPS. Los clientes, normalmente exploradores, deben configurarse especficamente para utilizar el equipo servidor ISA. Cuando un usuario solicita un sitio Web, el explorador analiza la direccin URL. Si se utiliza una direccin punto com, como en un nombre de dominio completo (FQDN) o una direccin IP, el explorador considera que el destino es remoto y enva la peticin HTTP al equipo servidor ISA para que la procese. Al detener el servicio del servidor de seguridad, la informacin de la cach no se elimina. Sin embargo, al reiniciarlo, pueden pasar varios segundos antes de que la cach est totalmente habilitada y en funcionamiento. Si se produce un fallo en el servicio, el servidor ISA restaurar la informacin de la cach. Esta accin puede tardar un tiempo y es posible que el rendimiento no sea ptimo hasta que se restaure la cach. Servicio Control del servidor ISA El servicio Control del servidor ISA (mspadmin) es un servicio de Microsoft Windows responsable de: Reiniciar otros servicios del servidor ISA, segn sea necesario. Generar alertas y ejecutar acciones. Eliminar archivos de registro no utilizados. Administracin del servidor ISA no se puede utilizar para detener o iniciar el servicio Control del servidor ISA. Para detener el servicio, escriba el siguiente texto en el smbolo del sistema: net stop isactrl Si detiene el servicio Control del servidor ISA, tambin se detendrn el resto de servicios del servidor ISA. Programador de trabajos de Microsoft ISA Server El servicio Programador de trabajos de Microsoft ISA Server (w3prefch) es un servicio de Microsoft Windows que descarga contenido de la cach de los servidores Web, de acuerdo con los trabajos que configure con Administracin del servidor ISA. Puede utilizar Administracin del servidor ISA para supervisar el estado del servicio Programador de trabajos de Microsoft ISA Server. Asimismo, puede utilizar Administracin del servidor ISA para detener o iniciar el servicio Programador de trabajos de Microsoft ISA Server. Si este servicio se detiene, no se pueden ejecutar trabajos de descarga programada de contenido.

Alertas El servicio de alertas del servidor ISA le notifica cundo se producen los sucesos especificados. Puede configurar las definiciones de alerta para que, al producirse un suceso, se desencadene una serie de acciones. El servicio de alertas del servidor ISA

acta como distribuidor y como filtro de sucesos. Se encarga de captar sucesos, comprobar si se renen ciertas condiciones y de adoptar las acciones correspondientes. Administracin del servidor ISA muestra la lista completa de sucesos que han tenido lugar, clasificada por categoras de tipos de alerta: informacin, advertencia y error. Todas las alertas se muestran en la vista Alertas. Confirmar y restablecer alertas Cuando tiene lugar un suceso, el servidor ISA desencadena la accin configurada en la definicin de la alerta. La alerta aparece en la vista Alertas y se muestra un resumen de todos los sucesos en la vista Escritorio digital. Puede restablecer un grupo completo de instancias de alertas seleccionando el encabezado de la alerta. En la vista Alertas, las instancias de alertas se agrupan por categora (por ejemplo, Servicio desconectado). Puede expandir o contraer los encabezados de grupo para mostrar u ocultar los elementos que contienen. Puede utilizar Administracin del servidor ISA para indicar que est administrando un suceso o un grupo de sucesos concreto confirmando los sucesos. Cuando marca un suceso (o un grupo de sucesos) como confirmado, su estado cambia en la vista Alertas y dichos sucesos ya no se muestran en el escritorio digital. De forma similar, es posible restablecer una alerta quitndola de la vista Alertas. Nota Todas las alertas se restablecen cuando se reinicia el equipo servidor ISA. Crear definiciones de alertas Al instalar el servidor ISA, se preconfigura una alerta para cada tipo de evento. Puede definir ms sucesos especficos. Por ejemplo, considere la definicin de alerta preconfigurada para el suceso La configuracin de red cambi. Como administrador de la red, tal vez quiera precisar esta alerta general y crear dos definiciones de alerta nicas: Una definicin de alerta para el caso en que se deshabilite una red. Una definicin de alerta para el caso en que se habilite una red. La definicin de alerta de la primera opcin desencadenara una accin que ejecutase un archivo por lotes para desconectar el equipo de un clster con equilibrio de carga cada vez que se deshabilita una red. La definicin de alerta de la segunda opcin podra ser el envo de un mensaje de correo electrnico. Nota Las alertas con sucesos especficos tienen prioridad frente a las de sucesos menos especficos. Por ejemplo, suponga que tiene configuradas dos alertas, una para "Cualquier cambio de configuracin de red" y otra para "Red conectada". Cuando una red est conectada, tendrn lugar las acciones de alerta de la segunda opcin.

Configurar definiciones de alertas Puede seleccionar el suceso y la condicin adicional que desencadena una accin de alerta. Tambin puede configurar los siguientes umbrales, que determinan cundo debe realizarse la accin de alerta. Nmero de veces por segundo que se produce el suceso antes de emitirse una alerta (tambin se denomina umbral de frecuencia de suceso). Nmero de sucesos que deben producirse antes de emitirse la alerta. Tiempo de espera antes de volver a emitir la alerta. Accin de alerta

Puede establecer una o varias de las siguientes acciones para que se realicen al cumplirse una condicin de alerta: Enviar un mensaje de correo electrnico. Ejecutar una accin especfica. Registrar el suceso en el registro de sucesos de Windows. Detener o iniciar el servicio del servidor de seguridad de Microsoft o el servicio de descarga de contenido programado. Puede configurar las credenciales que deben utilizarse cuando se ejecuta una aplicacin. Utilice la directiva de seguridad local para configurar los privilegios del usuario. Nota

Asegrese de que el usuario especificado tenga los privilegios de Inicio de sesin como trabajo en lote. Cuando la accin de alerta consiste en ejecutar un comando, la ruta de acceso especificada para la accin del comando debe existir en el equipo servidor ISA. Recomendamos utilizar variables de entorno (como %SystemDrive%) en el nombre de la ruta de acceso. Si configura una accin por correo electrnico para utilizar un servidor SMTP ubicado en la red interna, debe habilitar la regla de directivas del sistema que permita a la red del host local tener acceso a la red interna a travs del protocolo SMTP. En el Editor de directivas del sistema, en el grupo de configuracin Supervisin remota, selecione SMTP y, a continuacin, haga clic en Habilitar. Se habilita la regla Allow SMTP protocol from firewall to trusted servers. Si configura una accin por correo electrnico para utilizar un servidor SMTP externo, debe crear una regla de acceso que permita a la red del host local tener acceso a la red externa (o a la red en la que se ubica el servidor SMTP) a travs del protocolo SMTP.

Sucesos La siguiente tabla enumera los sucesos y, cuando es necesario, las claves adicionales definidas por el servidor ISA. Al crear una alerta, especifique uno de los siguientes sucesos que la desencadenan. Suceso Descripcin Error en la accin de alerta Error al inicializar el contenedor de cach Recuperacin del contenedor de cach finalizada Error al cambiar el tamao del archivo de cach Error al inicializar la cach Restauracin de la cach finalizada Error de escritura en la cach Objeto almacenado en cach descartado Error al cargar el componente Error de configuracin Se super el lmite de conexiones Error en la accin asociada con esta alerta. Error de inicializacin del contenedor de cach, contenedor omitido. Finaliz la recuperacin de un contenedor simple. Ha fallado la operacin para reducir el tamao de la cach. La cach de proxy Web se deshabilit debido a un error global. Finaliz la restauracin del contenido de la cach. Error al escribir el contenido en la cach. Durante la recuperacin de la cach se detect un objeto con informacin conflictiva. El objeto se omiti. Error al cargar un componente de la extensin. Error al leer la informacin de configuracin. Un usuario o una direccin IP super el lmite de conexiones.

Se super el lmite de Se super el nmero de conexiones permitidas por conexiones para una regla segundo para una regla. Mecanismo de deteccin de intrusiones "antipoisoning" de DHCP deshabilitado Error del marcado a peticin Se ha deshabilitado el mecanismo de deteccin de intrusiones "anti-poisoning" de DHCP. Error al crear una conexin de marcado a peticin, debido a que no se obtuvo respuesta o la lnea estaba ocupada.

Intrusin de transferencia Se produjo un ataque de transferencia de zona. de zona DNS Error del registro de sucesos Se produjo un error al registrar la informacin del suceso en el registro de sucesos del sistema. Esta alerta est deshabilitada de forma predeterminada.

Error de comunicacin del Error en la comunicacin entre el cliente Firewall y el firewall servicio del servidor ISA. El filtro FTP no pudo analizar los comandos ftp permitidos. Compruebe que los comandos se almacenan con el Advertencia de formato correcto. Cada comando no debera tener ms de inicializacin del filtro FTP 4 caracteres y cada uno debe estar separado del anterior por un carcter de espacio.

Intrusin detectada

Un usuario externo intent un ataque por intrusin. Se ha revocado el certificado de cliente debido a que la lista de revocacin de certificados (CRL) no exista o no era vlida. La CRL puede haber caducado y el servidor ISA no ha podido descargar una CRL vlida. Compruebe que el grupo de configuracin de directiva del sistema de descarga de CRL est habilitado y que hay conectividad entre los puntos de distribucin de CRL (CDP). La direccin IP de la oferta DHCP no es vlida. Se detectaron credenciales de marcado a peticin no vlidas. El nombre de usuario o la contrasea especificados para esta base de datos ODBC no es vlido. La direccin de origen del paquete IP no es vlida. Los cambios realizados en la configuracin slo se aplicarn tras reiniciar el equipo. Error en el registro <nombre del servicio>. Se ha alcanzado uno o varios de los lmites de almacenamiento del registro. Se detect un cambio en la configuracin de red que afecta al servidor ISA. No se pudo crear un socket de red porque no haba puertos disponibles. El servidor ISA no pudo establecer una conexin con el servidor solicitado. Existe un conflicto con uno los componentes del sistema operativo: editor NAT (conversin de direcciones de red), ICS (conexin compartida a Internet) o RRAS (enrutamiento y acceso remoto). El servidor ISA elimin un paquete UDP (protocolo de datagramas de usuarios) porque exceda el tamao mximo, como se especifica en la clave del registro. Se detect un desbordamiento del bfer en el protocolo de oficina de correos (POP). Se ha eliminado un usuario de la red de clientes de VPN en cuarentena. Esta alerta est deshabilitada de forma predeterminada. Se recibi un error mientras se generaba un resumen del informe a partir de los archivos de registro. Se produjo un error en la asignacin de recursos. Por ejemplo, el sistema se qued sin memoria. Se produjo un error al enrutar la peticin al servidor que precede en la cadena. El servidor ISA continu el enrutamiento a un servidor que precede en la cadena.

Se encontr una CRL no vlida

Oferta DHCP no vlida Credenciales de marcado a peticin no vlidas Credenciales de registro ODBC no vlidas Simulacin de IP El equipo servidor ISA debe reiniciarse Error de registro Lmites de almacenamiento del registro La configuracin de red cambi No hay puertos disponibles Sin conectividad Conflicto con el componente del SO Paquete UDP demasiado grande Intrusin POP Cambios de la red de clientes de VPN en cuarentena Error al generar el resumen del informe Error de asignacin de recursos Error de enrutamiento (encadenamiento) Recuperacin del enrutamiento (encadenamiento)

Filtro RPC: error de enlace

El filtro RPC no puede utilizar el puerto definido porque ya est siendo utilizado.

Filtro RPC: la conectividad Cambi la conectividad con el <nombre del servidor> del cambi servicio RPC de publicacin. <clave adicional> Error de publicacin del servidor No se puede aplicar la publicacin de servidor. Recuperacin de la publicacin de servidor Error de inicializacin del servicio El servicio no responde Servicio desconectado Servicio iniciado Conectividad lenta Suceso del filtro SMTP Error en la configuracin de SOCKS Ataque de SYN Suceso no registrado Credenciales del encadenamiento precedente Error de conexin VPN La regla de publicacin de servidor se ha configurado incorrectamente. No se puede aplicar la regla de publicacin de servidor. Ahora se puede aplicar la regla de publicacin de servidor. Se produjo un error en la inicializacin del servicio. Un servicio del servidor ISA se interrumpi o se detuvo inesperadamente. Un servicio se detuvo correctamente. <%nombre del servicio%> Un servicio se inici correctamente. <%nombre del servicio%> El servidor ISA encontr una conexin lenta al servidor solicitado. Se ha infringido una regla de comando SMTP (protocolo simple de transferencia de correo). Otro protocolo est utilizando el puerto especificado en las propiedades de SOCKS. El servidor ISA detect un ataque de SYN. Se encontr un suceso no registrado. Las credenciales del encadenamiento precedente son incorrectas. Error en el intento de conexin de cliente de VPN.