12 Unidad Didctica Microsoft Internet Security

and Acceleration Server ISA SERVER 2006

Eduard Lara

ISA SERVER
Es un firewall de stateful packet inspection (analiza el encabezado de los paquetes IP) y de application layer (analiza la trama de datos en busca de trfico sospechoso) Tambin es un firewall de red, VPN y web cache. ISA Server 2006 es la ltima versin, manteniendo siempre el esquema de ediciones estndar y enterprise, y los appliances de distintos fabricantes de hardware.

ISA SERVER
A partir de febrero de 2007, Microsoft liber una edicin especial de ISA Server llamada Intelligent Application Gateway 2007. IAG 2007 es un servicio de VPN por medio de SSL, adems de incorporar polticas de seguridad como zonas de cuarentena, chequeos de seguridad en las conexiones entrantes, y definicin de perfiles de uso de las aplicaciones publicadas. IAG 2007 es el producto de la adquisicin que realiz Microsoft de la empresa Whale Communications en Junio de 2006. Microsoft IAG 2007 solamente est disponible por medio de appliances.
3

VERSIONES ISA SERVER

2007 2006 2004 2000 1999 1996 Intelligent Application Gateway 2007 (liberado en Febrero de 2007) ISA Server 2006 (liberado el 6/9/2006) ISA Server 2004 ISA Server 2000 Proxy Server 2.0 Proxy Server 1.0

LICENCIAS DEL PRODUCTO

ISA Server 2006 Ed. Estndar Gateway perimetral integrado que protege el entorno de IT frente a amenazas basadas en Internet y ofrece a los usuarios remotos un acceso rpido y seguro a las aplicaciones y datos Diseado para grandes organizaciones que necesitan opciones de instalacin flexibles con los mximos niveles de disponibilidad, escalabilidad y capacidad de gestin. El paquete de licencias para 25 procesadores de ISA Server 2006 Enterprise se ofrece con un descuento del 50% para clientes que necesitan ISA Server en escenarios de grandes despliegues, como son las redes de oficinas. ISA Server 2006 Ediciones Estndar y Enterprise requieren el sistema operativo Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft Windows Server 2003 R2.
5

ISA Server 2006 Ed. Enterprise ISA Server 2006 Ed. Enterprise, paquete de 25 procesadores Microsoft Windows Server 2003

PUBLICACIN SEGURA DE APLICACIONES

La publicacin segura de aplicaciones con ISA Server 2006 permite el acceso de forma protegida a aplicaciones Exchange, SharePoint y otros servidores de aplicaciones Web. Los usuarios remotos pueden acceder a ellas desde fuera de la red corporativa con el mismo nivel de seguridad y privacidad que desde dentro.

PUBLICACIN SEGURA DE APLICACIONES

Su organizacin necesita Publicacin rpida de correo electrnico y otros contenidos Acceso seguro para cualquier aplicacin Web y desde cualquier dispositivo de cliente Control riguroso de la identidad ISA Server 2006 le ofrece Herramientas para la publicacin automtica de Exchange y SharePoint Autenticacin basada en formularios Web personalizable Autenticacin multifactorial mejorada (con soporte para tarjetas inteligentes, RADIUS OTP), y delegacin (NTLM, Kerberos) Logon nico (SSO, Single Sign-on), y traduccin automtica de enlace Balanceo de carga para la publicacin Web Soporte para LDAP Administracin de certificados mejorada Integracin de cuarentena para VPNs Bridging basado en SSL

Experiencias de usuario transparentes Publicar un nmero elevado de servidores Integracin flexible con el Active Directory Una gestin ms sencilla de SSL Proteccin frente a ataques desde sistemas externos Bloqueo para ataques con paquetes cifrados

GATEWAY PARA REDES DE OFICINAS

ISA Server 2006 puede utilizarse como Gateway para redes de oficinas. Permite conectar y proteger los enlaces entre oficinas remotas y departamentos centrales y optimizar el uso del ancho de banda.

GATEWAY PARA REDES DE OFICINA

Su organizacin necesita Mnima exposicin a ataques externos de Denegacin de Servicio (DoS) y DDOS Proteccin contra gusanos que se propagan internamente Medidas de mitigacin del impacto en caso de ataque. Deteccin de ataques ms rpida ISA Server 2006 le ofrece Mayor resistencia a ataques por inundacin. Mayor resistencia ante ataques de gusanos Registro y control del consumo de memoria y peticiones DNS pendientes. Sistema de alertas, condiciones de disparo y respuestas completo y totalmente automatizado Integracin con Microsoft Operations Manager (MOM) 2005 Inspeccin de contenidos multinivel y en profundidad. SDK Flexible para crear complementos de proteccin, como filtros antivirus y Web Herramientas de gestin sencillas y fciles de aprender y utilizar.

Control e informes de actividad de los gateways remotos Deteccin de ataques sofisticados Adaptabilidad ante cambios en las modalidades de amenaza Gestin rpida y sencilla de polticas complejas

PROTECCIN DEL ACCESO A LA WEB

La proteccin del acceso a la Web que proporciona ISA Server 2006 aumenta la seguridad a los entornos de IT corporativos frente a amenazas internas y externas basadas en Internet.

10

PROTECCIN DEL ACCESO A LA WEB

Su organizacin necesita Configuracin sencilla de las conexiones de oficinas remotas Actualizacin rpida de los sistemas de las oficinas remotas Uso eficiente de un ancho de banda limitado Reducir los costes de soporte de las infraestructuras remotas Una mejor gestin de prioridades del trfico de red Acceso rpido con enlaces de ancho de banda mnimo Gestin centralizado y seguro de las oficinas remotas Aprovechar al mximo la infraestructura existente ISA Server 2006 le ofrece Herramientas automatizadas y soporte para instalaciones desatendidas Cache basada en BITS para la distribucin de actualizaciones de software Compresin y cache de HTTP Propagacin ms rpida de polticas y optimizacin de conexiones de escaso ancho de banda Soporte para DiffServ Cache distribuido jerrquicamente cache para contenidos Web Funcionalidades de gestin central y remota Arquitectura multirred con plantillas de administracin de redes.
11

CONFIGURACIN MNIMA PARA ISA SERVER 2006

Procesador Sistema Operativo Memoria Disco duro PC con procesador Pentium III a 733 MHz o superior. ISA Server 2004 Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft Windows Server 2003 R2. Se recomienda 512 megabytes (MB) de RAM o ms Particin en disco duro local con formato NTFS con 150 Mb de espacio de disco disponible; puede necesitarse ms espacio para cache Web

Adaptador de Adaptador de red para la conexin a la red interna. red Otro adaptador de red adicional, modem o adaptador RDSI para cada una de las redes a las que se conecta el equipo. Otra tarjeta de red adicional para comunicaciones internas si el servidor pertenece a un array con balanceo de carga (NLB) de ISA Server 2006 Enterprise Edition.
12

PRACTICA 12. CONFIGURACIN DEL ISA SERVER 2006

Paso 1. Instalar la versin de Windows Server 2003 Enterprise en Castellano que os proporcionar el profesor. Se trata de una versin con licencia correcta bajada del MSDN. Durante el proceso de instalacin poner como nombre del equipo el vuestro propio. Paso 2. Para utilizar las ediciones Estndar o Enterprise de ISA Server 2006 es necesario instalar el paquete SP1 de Windows Server 2003 Enterprise que tambin os proporcionar el profesor. Copiar el paquete en el escritorio y realizar la instalacin. Paso 3. Copiar en el escritorio el programa ISA Server. Realizar la instalacin. Paso 4. Arrancar ISA Server y desplegar las opciones de administracin para realizar una captura (recuerda que la mquina Windows Server ha de tener tu nombre). Paso 5. Ir a la opcin de Directiva de Firewall. Que se observa? Qu regla hay y que crees que hace realmente?
13

PRACTICA 12. CONFIGURACIN DEL ISA SERVER 2006

Paso 6. Abrir un navegador (p.e. Internet Explorer) y dirigirse a la pgina web de google. Indica el mensaje que se obtiene. Qu cdigo de error http ocurre y quien lo provoca? Paso 7. Debemos habilitar el trfico aadiendo una nueva regla. Hacer click botn derecho del ratn sobre Directivas de Firewall. Seleccionar Nuevo/Regla de acceso. Indicar el nombre de la regla como Habilitar Navegacin. Paso 8. Indicar regla de tipo Permitir. Paso 9. En la pantalla protocolos, debemos agregar los protocolos HTTP y HTTPS, buscndolos en protocolos comunes o en todos los protocolos. Paso 10. En la pantalla Orgenes de regla de acceso, debemos indicar las redes que originan el trfico que queremos permitir. Ir a Agregar/Conjunto de redes y seleccionar Todas las redes (y host local).
14

PRACTICA 12. CONFIGURACIN DEL ISA SERVER 2006

Paso 11. En la pantalla Destinos de regla de acceso, debemos indicar las redes que son destino del trfico que queremos permitir. Ir a Agregar/Conjunto de redes y seleccionar Todas las redes (y host local). Paso 12. En la pantalla Conjunto de usuarios, dejaremos la opcin por defecto Todos los usuarios y finalizamos la regla (obtener 2 capturas, la primera de la pantalla de usuarios y la segunda con el resumen de la regla diseada). Paso 13. Indica el nmero que el sistema aplica a la nueva regla est antes o despus de la regla por defecto? Aplica la regla creada para que el sistema la incorpore a su operativa. Paso 14. Abrir un navegador y dirigirse a la pgina web de google. Funciona ahora?

15

PRACTICA 12. CONFIGURACIN DEL ISA SERVER 2006

Paso 15. Crear una regla de acceso que impide el acceso a youtube y facebook. Sobre la opcin de Directiva de Firewall hacer click botn derecho del ratn y seleccionar Nuevo/Regla de acceso. - Nombre regla: Deniega sitios. - Denegar - Protocolos seleccionados: HTTP y HTTPS. - Orgenes de regla de acceso: Todas las redes (y host local) Paso 16. En el pantalla Destino de regla de acceso, pulsar Agregar y hacer click en el botn superior Nuevo. Seleccionar Conjuntos de direcciones URL. En la nueva pantalla que obtenemos, poner el nombre Bloqueo de ciertas pginas Paso 17. Haciendo click en el botn Agregar, aadir URLs de pginas que queramos bloquear www.youtube.com y www.facebook.com. Al acabar, hacer click en Aceptar.
16

PRACTICA 12. CONFIGURACIN DEL ISA SERVER 2006

Paso 18. Nuestra opcin de Bloqueo de ciertas pginas nos aparece en el men de posibles destinos de regla de acceso. Seleccionarla y pasar a la siguiente pantalla. Paso 19. Aceptar Todos los usuarios y finalmente se observa el resumen de la regla. Paso 20. Aplicar la regla al sistema, en el mismo orden de entrada. Paso 21. Probar que se puede ir a cualquier web, menos a las webs bloqueadas explcitamente por ISA. Paso 22. Bajar la ltima regla anteriormente definida. Sobre la regla hacer click botn derecho del ratn y seleccionar Bajar. Aplicar el cambio en la configuracin del firewall. Paso 23. Desde un navegador ir a las webs anteriormente bloqueadas. Se pueden ver? Qu crees que ha pasado? A que dispositivo te recuerda este funcionamiento?
17