SERVIDOR ISA SERVER

POR:
DEYSSY ARICAPA ARAQUE
CESAR PINEDA GONZALEZ
ANDRS FELIPE DEOSSA
INSTRUCTOR
FERNANDO QUINTERO
ADMINISTRACION DE REDES DE COMPUTADORES
REGIONAL ANTIOQUIA
SENA
2009
1
CONTENIDO
1. Licencia4
2. introduccin.5
3. justificacin..6
4. Objetivo general.7
5. Objetivos especficos..........................7
6. !sa "erver 2##6...........................$
%aractersticas........................................$
7. &abla co'parativa de la ()* (st+ndar , (nterprise......................-
$. "oluciones !sa "erver.....................................................................................1#
.ard/are..................................................................................................1#
"oft/are...................................................................................................1#
-. 0recio de licencia de soft/are.........................................................................11
1#. 1e2uisitos 'ni'os del siste'a.....................................................................12
11. !nstalacin !sa "erver.....................................................................................13
3ctuali4ando nuestro siste'a..................................................................13
12. 0oltica por defecto )1O0.............................................................................31
0ara tener en cuenta................................................................................31
)ar acceso a !nternet a nuestro 5ost local...............................................31
6enerando reglas.....................................................................................32
13. (scenario a desarrollar..................................................................................45
1ecursos..................................................................................................45
1e2uisitos................................................................................................45
2
14. 3ceptando ping desde la red L37 5acia el 8ire/all.......................................46
.aciendo pruebas.....................................................................................53
15. 3ccediendo a nuestro servidor ""5 desde la red 937..................................55
.aciendo pruebas.....................................................................................62
15. 3ccediendo a nuestro servidor de correo desde la red 937.........................64
.aciendo pruebas......................................................................................6$
16. 3ccediendo a nuestro servidor 9eb :ail seguro desde la red 937...............7#
0ara tener en cuenta..................................................................................73
17. 0er'itir a los usuarios ad'inistradores acceso a !nternet...............................74
1$. %onfigurando 0ro;, 9eb en !sa "erver...........................................................$3
1-. %onclusiones....................................................................................................-#
3
LICENCIA
Esta obra est bajo una licencia Reconocimiento-No
comercial-Compartir
Bajo la misma licencia 2.5 Colombia de Creative
Commons. Para ver una
Copia de esta licencia, visite
http!!creativecommons.or"!licenses!b#-ncsa!
2.5!co! o envie una carta a Creative Commons, $%$
&econd &treet, &uite
'((, &an )rancisco, Cali*ornia +,$(5, -&..
4
INTRODUCCION
(l siguiente 'anual estar+ orientado a la i'ple'entacin de una 5erra'ienta bajo
licencia'iento privado de :icrosoft< con el fin de proveer seguridad a una red
interna de ; o , e'presa.
"e contara con la instalacin de la 5erra'ienta de 8ire/all de :icrosoft< la cual
ad2uiri'os desde la pagina oficial con un licencia'iento libre de 1$# das< esta'os
5ablando de !"3 "erver en su 'as nuevas edicin la 2##6< por lo tanto si desea
utili4ar esta 5erra'ienta en entorno de e'presa tendr+ 2ue pagar un
licencia'iento a la co'pa=a de :icrosoft.
(specificare'os los costos de las diferentes clases de licencia'iento< ediciones
del producto , lo 2ue se debe tener en cuenta al 'o'ento de la i'ple'entacin
del !"3 "erver.
5
JUSTIFICACION
(l presente 'anual se reali4o con el fin de tener docu'entado el proceso de
i'ple'entacin de una 5erra'ienta 8ire/all de :icrosoft en un escenario 'u,
co'>n< as lograr fa'iliari4arnos con 5erra'ientas de un coste elevado de
i'ple'entacin , poder reconocer sus desventajas , ventajas ante los de'+s
productos con fines si'ilares a la de :icrosoft , otras co'pa=as en el 'ercado.
0ara la gran 'a,ora de 'ultinacionales en el 'undo el poseer 5erra'ientas 2ue
tengan valor econ'ico en el 'undo de la infor'+tica< representa 'a,or
confiabilidad para 2uien la este i'ple'entando< en el caso de la seguridad de los
datos< el trabajar con productos licenciados significara tener 'as seguridad en el
escenario donde este corriendo< ,a 2ue se tendra 'as soporte en cuanto a
posibles proble'as de seguridad.
.a, 2ue tener en cuenta 2ue no todo en la vida es gratis , por ende las soluciones
a nuestros proble'as no sie'pre llegaran desde el ca'ino de lo no licenciado<
para ello debe'os estar con capacidad de to'ar una buena decisin a la 5ora de
escoger un producto e i'ple'entarlo en nuestra red< teniendo en cuenta nuestras
necesidades b+sicas.
6
OBJECTIVO GENERAL:
La i'ple'entacin de 5erra'ientas de 8ire/all a nivel de licencia'iento privado<
2ue cubran las necesidades b+sicas de nuestra red local.
OBJETIVOS ESPECIFICOS:
0er'itir cone;iones seguras entre la red L37 5acia la red 937 , viceversa.
!'ple'entar reglas b+sicas 2ue per'itan la co'unicacin de la red local
con la red e;terna.
0roteger e2uipos vitales de co'unicacin de nuestra L37 ante a'ena4as
del e;terior.
%ontrolar las cone;iones de los usuarios de nuestra L37.
:onitorear las peticiones de los usuarios< per'itiendo o denegando las
'is'as.
%oncebir prioridades a los usuarios ad'inistradores.
7
ISA SERVER 2006
(s un 6ate/a, integrado de seguridad peri'etral 2ue contribu,e a la proteccin de
a'ena4as procedentes de !nternet< , ade'+s ofrece a sus usuarios un acceso
re'oto r+pido , seguro a sus aplicaciones , datos corporativos.
!nternet 3cceleration and "ecurit, ?!"3@ "erver 2##6 se basa en la anterior versin
de !"3 "erver< as co'o en la tecnologa :icrosoft 9indo/s "erver para ofrecer
un fire/all potente< robusto , eficiente< , de gran facilidad de uso. .a, dos
ediciones de !"3 "erver 2##6 disponibles* la (dicin (st+ndar , la (nterprise.
Caractersticas:
0ublicacin segura de aplicaciones
3cceso re'oto seguro a las aplicaciones< datos , docu'entos desde
cual2uier ordenador o dispositivo.
0reAautentica al usuario antes de 2ue tenga acceso a cual2uier servidor<
autenticacin avan4ada ?s'artcards@.
%apacidad para generar logs , e'isin de reportes< de esta 'anera los
intrusos son '+s f+ciles de detectar.
6ate/a, de intercone;in para redes locales.
0roteccin del acceso a !nternet.
8
TABLA COPARATIVA DE LA ED: ESTANDAR ! ENTERPRISE
%aractersticas (). (st+ndar Bd. (nterprise
1edes "in li'itacin "in li'itacin
(scalabilidad .asta 4 0%C"< 2A6D
de 13:
"in li'itacin ?la 2ue
deter'ine el ".O@
(scalabilidad .ori4ontal Cn solo servidor .asta 32 nodos
'ediante 7LD
%ac5e 3l'acena'iento de
servidor >nico
"in l'ite ?utili4ando
%310@
"oporte 7LD 7o soportado "! ?integrado@
0olticas Locales 6estin de 3rra de
servidores , directivas
corporativas 'ediante
3)3:
1edes de oficinas !'portacin ,
e;portacin 'anual de
polticas
0olticas de nivel
corporativo , de 3rra,
de servidores
:onitori4acin , alertas %onsola de
'onitori4acin de un
>nico servidor
:O:
%onsola de
'onitori4acin
'ultiservidor
:O:
:>ltiples redes :ediante plantillas :ediante plantillas
9
S"#$ci"%es ISA Ser&er:
!sa "erver provee soluciones tanto en 5ard/are co'o en soft/are.
'ar()are: !ntegrado en un 5ard/are preconfigurado 2ue inclu,e un servidor con
una versin reducida de :icrosoft 9indo/s "erver , una edicin !sa "erver 2##6
preinstalados.
PRECIO: "e puede obtener una solucin basada en 5ard/are a partir de 2.5##
C") unos 65#### pesos colo'bianos en pro'edio
S"*t)are: (ste pa2uete se ad2uiere gracias a licencias 2ue el usuario co'pra
directa'ente a :icrosoft< listo para su instalacin sobre sus servidores actuales<
esta opcin per'itir+* !'plantar< dar 'anteni'iento , opti'i4ar la configuracin e
incluso desarrollar cdigo 2ue puede ejecutarse sobre el 'is'o servidor !"3
"erver para 'a;i'i4ar el beneficio.
10
PRECIOS DE LICENCIA DE SOFT+ARE,
Licencia de entorno
en produccin
)escripcin 0recio C") 0recio E
!"3 "erver 2##6 (d.
(st+ndar
6ate/a, integrado para la
seguridad peri'etral<
protegiendo contra a'ena4as
procedentes de !nternet<
per'itiendo acceso re'oto de
usuario r+pida , segura
14-- C")
por
procesador
3$#.###E
por
procesador
!"3 "erver 2##6 (d.
(nterprise
)ise=ado para grandes
organi4aciones 2ue necesiten
i'ple'entacin fle;ible<
capacidad de gestin ,
escalabilidad.
5.--- C")
por
procesador
1.5##.###E
por
procesador
!"3 "erver 2##6 (d.
(nterprise Fpa2uete
de 25 procesadores
(ste pa2uete se ofrece con un
descuento del 5#G para
a2uellos clientes 2ue
necesiten "erver en
escenarios de i'plantacin.
(je'plo sucursales.
75.### C")
para 25
procesadore
s
1-.###.###E
para 25
procesadore
s
11
Re-$isit"s .%i."s (e# siste.a,
INSTALACION DE ISA SERVER
12
Procesador PC con un Pentium III 733 Mhz o superior.
Sistema Operativo Microsoft Server 2003 de 32 bits (SP! o (SP2!.
Memoria "2 me#ab$tes de %&M o mas es recomendado
'isco duro Con formato ()*S +oca+ con "0 M, de espacio +ibre.
Otros 'ispositivos &daptador de red para +a comunicaci-n con +a red
interna.
.n adaptador de red adiciona+.
C'/%OM o '0'/%OM.
01& o monitor de ma$or reso+uci-n.

)espuHs de 5aber repasado un poco de lo 2ue era !"3 "erver< sus caractersticas<
precios< ediciones< etc. 0rocedere'os a 5acer la respectiva instalacin< para esto
descargare'os la versin de prueba de 1$# das desde la siguiente C1L*
5ttp*II///.'icrosoft.co'Ido/nload"Idetails.asp;Jfa'il,idK-53%161#A%232A4644A
D$2$A%55((%6#5)55Ldispla,langKes
NOTA* %o'o ,a se 'enciono anterior'ente nuestro 9indo/s "erver 2##3 debe
tener instalado el "01 o "02< respectiva'ente< si por alg>n 'otivo no tene'os
actuali4ado nuestro siste'a< lo pri'ero 2ue debe'os 5acer antes de proceder a
instalar !"3 "erver es dejar nuestro e2uipo con los re2ueri'ientos antes
'encionados.
Act$a#i/a%(" %$estr" Siste.a:
%o'o nuestro siste'a no tiene instalado el service pacM 2< procedere'os a
instalarlo< para poder ejecutar el !"3 "erver.
0ara esto descargare'os el pa2uete de "02 desde la siguiente C1L*
)espuHs de descargado procedere'os a ejecutarlo*
13
)espuHs de e;traer todos los arc5ivos< nos aparecer+ el siguiente cuadro de
dialogo*
32u nos est+n reco'endando 5acer bacMup de nuestro siste'a co'o tal< para
'a,or seguridad. Le da'os siguiente.
14
7os especifican la licencia del producto el cual debere'os estar de acuerdo para
poder proseguir con nuestra actuali4acin del siste'a. )espuHs de aceptar la
licencia da'os siguiente.
(n este cuadro de dialogo< nos 'uestra la ruta donde 2uedaran guardados los
arc5ivos del "02 despuHs de instalados< si 2uere'os lo deja'os por defecto< de lo
contrario le pode'os ca'biar la ruta , especificarle la 2ue nosotros 2uera'os.
)a'os siguiente ter'inada la especificacin de la ruta donde 2uedaran los
arc5ivos de actuali4acin del siste'a.
15
(spera'os a 2ue el asistente co'pruebe la configuracin actual de nuestro
siste'a< e instale los arc5ivos nuevos. &er'inada la actuali4acin da'os clic en
finali4ar , espera'os a 2ue se reinicie nuestro e2uipo para 2ue los ca'bios
5ec5os 5agan efecto.
16
I%sta#aci0% ISA Ser&er*
&er'inada la actuali4acin de nuestro siste'a< pode'os a5ora si proceder a
instalar el "ervidor !"3 "erver< para esto ejecuta'os el instalador del !"3 "erver<
descargado anterior'ente desde la p+gina oficial de :icrosoft.
"i por alg>n 'otivo no 5as descargado el instalador de isa "erver< lo pueden
descargar desde la siguiente C1L*
5ttp*II///.'icrosoft.co'Ido/nloadsIdetails.asp;Jfa'il,idK$45#4cadA$-3bA4212A
-ab2A
---ad1d$fe6$Ldispla,langKesL.as5KO)LNi9'c8s(O0;vOd0%1gstr%P/e6gB3
G2b28g$aO,e!G2b2G2b361i-Qd55(DN:O7M72-aN0:9b904./3dG2fD
G2bB#6RgPG3dG3d
(spera'os a 2ue se e;traiga todos los arc5ivos del ejecutable.
17
)espuHs de ter'inado de e;traer todos los arc5ivos necesarios para la instalacin<
nos deber+ aparecer el siguiente cuadro de dialogo*
%o'o se puede apreciar< tene'os la posibilidad leer un poco sobre las
caractersticas del producto antes de instalarlo. (s i'portante tener en cuenta 2ue
la versin 2ue esta'os utili4ando es una versin de prueba de 1$# das. )a'os
clic en instalar !"3 "erver.
18
('pe4are'os por instalar los co'ponentes principales< despuHs los co'ponente
adicionales , final'ente inicia'os el asistente de ad'inistracin del servidor.

19
(n este pantalla4o nos da a conocer el producto 2ue va'os a instalar en nuestro
e2uipo< da'os clic en siguiente para continuar.
)espuHs de 5aber ledo , aceptado los tHr'inos de la licencia da'os clic en
siguiente para continuar.
20
(n el siguiente cuadro de dialogo nos pedir+ infor'acin b+sica del cliente co'o lo
es el respectivo no'bre , la organi4acin a la 2ue esta vinculado.
NOTA: %o'o es un producto de prueba el nu'ero de la serial ,a viene
especificado por defecto< de lo contrario le debe'os copiar la 2ue el proveedor nos
de a la 5ora de ad2uirir la licencia. )a'os clic en siguiente para continuar.
(l paso a seguir es escoger el tipo de instalacin< en nuestro caso ser+ la tercera
opcin< la cual incluira el servidor ad'inistrador , el de al'acena'iento de
configuracin.
21
%o'o pode'os observar< se instalara las caractersticas de servidor< ad'inistrador
de !"3 "erver , servidor de al'acena'iento de configuracin. &a'biHn
especificare'os la ruta en donde 2uedaran guardados los arc5ivos de nuestro !"3
"erver. (n este caso se deja por defecto< clic en siguiente para continuar.
22
(n el cuadro de dialogo especifica'os si desea'os crear un nuevo servidor de
al'acena'iento< o si ,a tene'os uno pode'os replicarlo , crear una copia.
3ntes de continuar< leere'os atenta'ente la advertencia , si cu'pli'os las
especificaciones 2ue all nos dice< dare'os clic en siguiente para continuar con la
instalacin.
23
(specifica'os a5ora la red interna ?L37@ la cual va a estar asociada a una interfa4
fsica de nuestro e2uipo.
7O&3* %o'o se 'enciono anterior'ente nuestro e2uipo debe estar dotado con
dos interfaces fsicas< una para asociar la red interna ?L37@ , la otra para asociar
la red e;terna ?937@.
)a'os clic en agregar< para especificar el intervalo de red a utili4ar en nuestra
L37
24
%o'o ve'os< nos el asistente nos per'ite< agregar de una ve4 el adaptador fsico
de nuestra interfa4< o un direcciona'iento privado ,a especificado por el asistente<
o por ulti'o agregar nosotros 'anual'ente el intervalo de red a utili4ar. 0or
co'odidad decidi'os agregar el intervalo de red 'anual'ente< para esto le da'os
clic en 3gregar intervalo.
(n el siguiente cuadro especificare'os el rango de red de nuestra L37< da'os clic
en aceptar para continuar.
25
7os deber+ 2uedar as< da'os clic en aceptar para continuar.
7O&3* 0ode'os agregar cuantos intervalos de red 2uera'os< de acuerdo a
nuestras necesidades.
26
(n este cuadro de dialogo nos per'ite decidir si 2uere'os 2ue nuestro fire/all
utilice cifrado para las cone;iones de nuestros clientes< es opcional el 'arcar o
dejar des'arcado el cuadrito blanco. )a'os clic en siguiente para continuar<
32u nos est+n advirtiendo los servicios 2ue se reiniciaran , los 2ue se
des5abilitaran durante la instalacin del !"3 "erver. %lic en siguiente para
continuar.
27
Listo da'os clic en instalar para proceder a tener el servidor !"3 "erver corriendo
en nuestra 'a2uina.
28
(spera'os a 2ue se ter'ine de instalar todos los arc5ivos , co'ponentes
adicionales.
&er'inada la instalacin pode'os proceder a ejecutar el asistente de
ad'inistracin de nuestro servidor. 0ara esto c5ulea'os el cuadrito co'o se
'uestra en la i'agen. )a'os clic en finali4ar.
29
"i todo salio bien nos deber+ aparecer el asistente de configuracin co'o se
'uestra en el pantalla4o.
30
POLITICA POR DEFECTO DENEGAR 1DROP2
PARA TENER EN CUENTA:
&er'inada la instalacin de nuestro 8ire/all< este e'pe4ar+ a aplicar la regla por
defecto establecida en el producto< en este caso del !"3 "erver es denegar todo el
trafico de red< por lo 2ue nuestra 'a2uina estar+ total'ente blo2ueada.
DAR ACCESO A INTERNET A NUESTRO 'OST LOCAL:
(ntendiendo co'o 5ost local< al e2uipo donde estar+ corriendo nuestro 8ire/all.
)espuHs de instalado el 8ire/all< 2uere'os acceder a !nternet desde nuestro 5ost<
pero nos aparece el siguiente error*
32u nos dice 2ue el fire/all instalado en la 'a2uina< en este caso el !"3 "erver<
esta blo2ueando toda peticin 2ue se 5aga desde el 5ost 5asta el 0ro;, ?se 5ace
peticin al 0ro;,< por 'otivo de 2ue en la red en la 2ue esta'os 'ontando el
laboratorio< tiene configurado un 0ro;,@ por el cual tene'os acceso a !nternet< la
31
esta rec5a4ando< esto se debe a la poltica por defecto 2ue es denegar todo el
trafico de pa2uetes desde , 5acia !nternet.
Ge%era%(" re3#as:
3ccedere'os al asistente de configuracin.
%o'o pode'os ver< la >nica regla 2ue se esta aplicando en nuestro servidor es
de denegar todo< procedere'os a generar una nueva regla la cual per'itir+ 2ue el
5ost local tenga acceso a !nternet. 0ara esto da'os clic en tareas , seguida'ente
en crear regla de acceso.
(n el siguiente cuadro de dialogo nos pedir+ especificar el no'bre de la nueva
regla a crear< la cual la lla'are'os* 0er'itir salir a !nternet a 5ost local.
32
)a'os clic en siguiente para continuar.
33
35ora especificare'os la accin a cu'plir con dic5a regla la cual ser+ per'itir. %lic
en siguiente para continuar.
"eguida'ente procedere'os a elegir el protocolo 2ue 2uere'os 2ue nuestro
8ire/all no filtren , per'ita la co'unicacin de pa2uetes. (n este caso 2ue es dar
acceso a !nternet a nuestro 5ost local le dare'os el protocolo 5ttp. 0ara esto
da'os clic en agregar< nos aparecer+ algo as*
34
(st+n son algunas carpetas 2ue vienen establecidas por defecto< las cuales
contienen los protocolos 'as co'unes en una red de datos. 7os ubicare'os en la
carpeta de protocolos '+s co'unes , da'os clic.
35
(l asistente nos desplegara una lista de protocolos '+s co'unes< en la cual
elegire'os el protocolo de !nternet 2ue es el 5ttp , da'os clic en agregar.
7os deber+ 2uedar algo si'ilar a esta i'agen. "i es as da'os clic en siguiente
para continuar.
36
(n este cuadro de dialogo nos piden especificar el origen de la co'unicacin< o
desde donde se originara< para ello da'os clic en 3gregar.
7os aparecer+ para escoger si es una red en especfico< un 5ost< una subred.
(n este caso ser+ una red ?!nterfa4 de la 937@< para esto da'os clic en la
carpeta redes.
37
(sta carpeta desplegara un listado de redes asociadas al e2uipo< co'o la regla es
per'itir 2ue nuestro servidor tenga acceso a !nternet< escogere'os la opcin 2ue
dice 5ost local. R da'os clic en aceptar.
38
35ora el asistente nos pide especificar el destino a 2ue le per'itire'os 2ue el 5ost
local se pueda co'unicar< en este caso es la red 937 o !nternet. 0ara esto da'os
clic en agregar.
7os ubica'os en la carpeta de red< , selecciona'os la red e;terna ?!nternet@ co'o
destino< posterior'ente da'os clic en agregar. )eber+ 2uedar as*
39
)a'os clic en siguiente para continuar.
40
32u el asistente nos pide especificar a los usuarios 2ue per'itir+ dar acceso a
!nternet.
NOTA: &eniendo en cuanta 2ue el origen va a 5acer el 5ost local< los usuarios 2ue
per'itire'os salir a !nternet son los 2ue est+n creados en el 5ost local.
)a'os clic en siguiente para continuar.
(n este cuadro de dialogo nos 'uestra los detalles de la nueva regla acabada de
crear por nosotros. )a'os clic en finali4ar.
41
Listo< a5ora la nueva regla se puede visuali4ar en la directiva de 8ire/all< para
poder 2ue se cu'pla debe'os dar clic en aplicar.
)espuHs de recargar nuestro 8ire/all< da'os clic en 3ceptar
42
3ntes de intentar salir a !nternet verifica'os 2ue nuestra interfa4 937 este
correcta'ente configurada con la !0 publica 2ue nos provee el proveedor de
!nternet.
%o'o pode'os ver todos los par+'etros est+n correcta'ente configurados< a5ora
si procedere'os a abrir nuestro navegador favorito , tratar de navegar< para
verificar 2ue la regla anterior'ente creada esta correcta.
43
0erfecto< a5ora ,a pode'os navegar desde nuestro 5ost local. 6racias a la regla
anterior'ente creada.
('pe4are'os a configurar nuestro servidor !"3 "erver teniendo en cuenta el
siguiente escenario*
44
Esce%ari" a Desarr"##ar:
Rec$rs"s:
(2uipo servidor de !"3 "erver.
"/itc5
5 servidores en la L37.
)os (2uipos ad'inistradores.
(2uipos de la L37.
Re-$isit"s a c$.4#ir:
)ar acceso desde !nternet a nuestros 5 servidores* "".< %orreo< 9eb 'ail seguro<
3cceso a planta telefnica< 9eb.
)enegar 3cceso de los usuarios co'unes de la L37 a* 9eb< %orreo< Nuego
%ounter "triMe< :sn.
0er'itir 2ue los dos e2uipos de ad'inistradores accedan a !nternet.
45
Desarr"##a%(" esce%ari":
NOTA: %abe acordar 2ue nuestro servidor !"3 "erver< ,a le 5e'os configurado la
pri'era regla< 2ue es dejar salir a !nternet nuestro servidor !"3 "erver< la cual va a
aplicar al e2uipo 5ost ?servidor !"3@<
E.4e/a%(" (es(e #" 56sic":
('pe4are'os creando reglas b+sicas< las cuales nos van a ir dando confian4a con
nuestro servidor !"3 "erver.
Ace4ta%(" Pi%3 (es(e #a re( LAN a Fire)a##,
3brire'os el ad'inistrador de servidor !"3 "erver< nos ubicare'os en 3d'inistrar
directivas de 8ire/all< tareas , agregar regla de acceso. 7os deber+ aparecer el
siguiente cuadro de dialogo*
Le dare'os un no'bre a la nueva regla< la cual ser+ 0ing desde L37 a .O"&
?2ue es el e2uipo donde estar+ instalado nuestro !"3 "erver@.
46
"eguida'ente especificare'os la accin 2ue va a cu'plir dic5a regla< co'o#
2uere'os 2ue los e2uipos de la L37 puedan dar ping a nuestro !"3 "erver< la
accin es per'itir. %lic en siguiente.
47
(n la opcin agregar especificare'os el protocolo 2ue 2uere'os per'itir en dic5a
regla en nuestro caso ser+ el de ping*
)espuHs de seleccionarlo , agregarlo nos deber+ aparecer el siguiente cuadro de
dialogo*
48
)a'os clic en siguiente para continuar.
)are'os clic en agregar para escoger desde 2ue red se generara la peticin ping.
49
35ora especifica'os el origen del pa2uete ping< en este caso ser+ desde la propia
L37< por lo 2ue escogere'os la opcin de red interna< da'os clic en 3gregar ,
cerrar< por lo 2ue 2uedara co'o se 'uestra a continuacin*
50
)are'os clic en siguiente para continuar.
(l cuadro de dialogo nos pedir+ 2ue especifi2ue'os el destino 2ue tendr+ nuestra
peticin ping< para ello dare'os clic en agregar.
51
(scogere'os 2ue el destino sea nuestra 'a2uina 5ost local ?servidor !"3 "erver@<
3gregar , cerrar.
%lic en siguiente para continuar.
(specifica'os a 2ue todos los usuarios se le cu'plan la regla. %lic en siguiente.
0antalla4o
%o'o se puede observar< nos 'uestra las caractersticas con la 2ue se genero la
nueva regla en nuestro !"3 "erver< dare'os clic en finali4ar para ter'inar con la
creacin de la regla.
35ora dare'os clic en 3plicar , 3ceptar.
52
'ACIENDO PRUEBAS.
7os ubicare'os en un e2uipo de la L37< , tratare'os de dar ping a nuestro
servidor !"3 "erver< el resultado deber+ ser satisfactorio.
Berifica'os 2ue el e2uipo tenga una !0 en el rango de la L37.
NOTA: (l usuario esta i'ple'entando un siste'a operativo Cbuntu.
Dien< esta en el rango de la L37 del servidor !"3 "erver. 35ora procedere'os a
ejecutar el co'ando ping.
3 la interfa4 de la L37 del servidor !"3 "erver.
53
3 la interfa4 937 de nuestro servidor !"3 "erver.
"i los resultados fueron si'ilares a los anteriores< entonces da'os co'o
conclusin 2ue la regla creada para este fin esta funcionando correcta'ente.
54
ACCEDIENDO A NUESTRO SERVIDOR SS' DESDE LA RED +AN,
%o'o uno de los re2uisitos del escenario es per'itir el acceso desde la 937 al
servidor "". 2ue tene'os corriendo en un e2uipo dentro de la red L37<
procedere'os a crear una regla en !"3 "erver para poder cu'plir con este punto.
)esde la directiva de fire/all creare'os una nueva regla de acceso.
7os ubicare'os en tareas< , publicar protocolos de servidor no 9eb. 7os
aparecer+ el siguiente cuadro de dialogo.
(specificare'os el no'bre con el 2ue va'os a lla'ar a la nueva regla. )a'os clic
en siguiente.
NOTA: "e escoge la opcin de publicar servidor no 9eb< ,a 2ue lo 2ue se busca
es redireccionar desde el 8ire/all la cone;iones 2ue vengan desde la red 937
5acia un e2uipo local de la red.
55
(n este cuadro de dialogo< especificare'os la direccin !0 2ue tendr+ nuestro
e2uipo de la red L37< el cual ser+ la !0 del servidor "".. %lic en siguiente.
56
35ora seleccionare'os el puerto 2ue va'os a redireccionar< co'o el puerto del
"". no esta especificado en la lista de protocolos< nos tocara asignar uno nuevo
por la opcin nuevo.
(specifica'os el no'bre del nuevo protocolo< el cual lo lla'are'os open ss5. %lic
en siguiente.
57
35ora dare'os clic en nueva para definir el puerto , tipo de protocolo a utili4ar.
(n direccin es entrada por 2ue todos los pa2uetes vendr+n desde la 937 5acia
la red L37< , pel puerto 2ue especificare'os ser+ 22. %lic en aceptar para
continuar
58
35ora dare'os clic en siguiente.
)are'os clic en siguiente< especificando 2ue no desea'os aceptar cone;iones
secundarias en nuestro servidor ""..
59
8inali4ado la creacin de nuestro protocolo "".< nos 'uestra las caractersticas
con la 2ue 2uedo nuestro protocolo en el !"3 "erver. %lic en finali4ar.
)are'os en siguiente para continuar nuestra configuracin.
60
35ora especificare'os desde donde se generara las peticiones "".< las cuales
vendr+n desde la red 937. %lic en siguiente para continuar.
&er'inada la regla< da'os clic en finali4ar.
61
'ACIENDO PRUEBAS:
&er'inada la creacin de la regla< desde un e2uipo de la red 937< tratare'os de
acceder al servidor "". de la red L37< con la 5erra'ienta putt,.
%o'o pode'os observar< al e2uipo 2ue real'ente esta'os accediendo desde
!nternet< no es al servidor "". directa'ente< ,a 2ue el "". esta corriendo en la
red L37< o sea en una red privada< lo 2ue significa 2ue desde la red 937 esta red
no es alcansable< por lo 2ue nos debere'os conectar al fire/all< , este se
encargara de redireccionarnos al servidor "".< 2ue fue la regla 2ue anterior'ente
crea'os.
62
)espuHs de conectarnos re'ota'ente< el servidor "". nos pedir+ 2ue nos
logue'os< con un usuario , contrase=a 2ue deber+ e;istir en el e2uipo donde esta
corriendo nuestro servidor ""..
"i el usuario , contrase=a son correctos< nos deber+ dejar acceder a la 'a2uina
re'ota< co'o lo pode'os observar en el pantalla4o anterior.
63
ACCEDIENDO A NUESTRO SERVIDOR DE CORREO DESDE LA RED +AN,
35ora per'itire'os 2ue desde la red 937 se pueda acceder a nuestro servidor de
correo< 2ue esta ubicado en el interior de nuestra L37.
0ara ello creare'os una nueva regla en nuestro fire/all.
7os ubicare'os en directivas de fire/all< tareas , da'os clic en , publicar
protocolos de servidor de correo. 7os deber+ aparecer el siguiente cuadro de
dialogo*
(n el cual nos pedir+ el no'bre de la nueva regla 2ue se regir+ desde nuestro
fire/all. %o'o es de per'itir cone;iones desde el e;terior 5asta nuestro servidor
de correo en el interior de la L37< le di'os el no'bre de acceso servidor.
)a'os clic en siguiente para continuar.
64
35ora nos pedir+ el tipo de acceso a nuestro servidor de correo. (scogere'os la
pri'era opcin si lo 2ue 2uere'os es 2ue sean clientes 2ue tengan acceso a
nuestro servidor< pero si lo 2ue 2uere'os es una co'unicacin de servidor a
servidor< escogere'os la segunda opcin. (n nuestro caso ser+ la pri'era ,
dare'os clic en siguiente para continuar.
65
35ora seleccionare'os el servicio 2ue publicare'os< escogere'os el de ":&0< ,a
2ue lo 2ue publicare'os ser+ un servidor de correo< dare'os clic en siguiente para
continuar.
66
35ora nos pedir+ especificar la !0 con la 2ue estar+ configurado nuestro servidor
de correo< recorde'os 2ue el servidor esta dentro de la L37 lo 2ue esta en el
rango de !0 privado de nuestra corporacin.
35ora especifica'os las redes 2ue estar+n per'itidas a reali4ar peticiones a
nuestro servidor de correo< co'o es desde la red 937 2ue 2uere'os 2ue tengan
acceso escogere'os la red e;terna , dare'os clic en siguiente.
67
Listo< dare'os clic en finali4ar< aplicare , aceptar.
'ACIENDO PRUEBAS:
&er'inado de publicar nuestro servidor de correo< procedere'os a 5acer la
respectiva prueba< desde una 'a2uina de la red 937< accedere'os por telnet al
puerto 25 de la 'a2uina donde esta nuestro servidor de correo.
68
%o'o pode'os observar< 5are'os un telnet a nuestro servidor de correo< 2ue esta
(scuc5ando por el puerto 25.
0ode'os observar 2ue esta'os conect+ndonos< espera'os a 2ue se ter'ine de
conectar con nuestro servidor.
&er'inada la cone;in< pode'os observar 2ue nuestro servidor de correo es un
postfi;< , esta corriendo en una 'a2uina ubuntu. "i nos aparece co'o se puede
ver en el recuadro anterior es por 2ue todo esta correcto.
69
ACCEDIENDO A NUESTRO SERVIDOR +EB AIL SEGURO DESDE LA RED
+AN
35ora necesita'os 2ue desde la red 937 accedan a nuestro 9eb 'ail seguro<
para lograr esta 5a4a=a< procedere'os a crear una nueva regla de acceso< para
esto nos ubicare'os en directivas de fire/all< tareas , publicar servidor de correo.
%o'o sie'pre al 'o'ento de crear una nueva regla en nuestro fire/all< nos pedir+
2ue la no'bre'os< esta la lla'are'os acceso a /eb'ail seguro< ,a 2ue la
co'unicacin se 5ar+ de 'anera cifrada. %lic en siguiente.
70
35ora seleccionare'os el tipo de acceso 2ue per'itire'os< el cual ser+ acceso de
clientes< co'o el anterior , clic en siguiente.
71
35ora seleccionare'os el servicio a publicar el cual ser+ el ":&0 de 'anera
segura< ,a 2ue ser+ el /eb'ail seguro. %lic en siguiente.
(specificare'os la !0 de nuestro servidor de /eb'ail seguro< el cual estar+ en el
rango de la !0 privada< clic en siguiente.
72
35ora especifica'os la red 2ue tendr+ acceso a nuestro 9eb 'ail seguro la cual
ser+ la e;terna< clic en siguiente.
)are'os clic en finali4ar para cul'inar con la creacin de nuestra nueva regla de
acceso< posterior'ente dare'os clic en aplicar , aceptar.
PARA TENER EN CUENTA:
%o'o se planteo en el ejercicio< debe'os dar acceso a unos cuantos servicios de
nuestra L37 desde !nternet< pero seria 'u, canson< estar repitiendo el 'is'o
procedi'iento para cada uno de ellos< lo cual se deduce 2ue con los 3 eje'plos
2ue se dieron anterior'ente< se puede decir 2ue se aclaro el co'o generar reglas
de acceso para los servicios.
Los 2ue 2uedaron por e;plicar en este docu'ento< se desarrollan si'ilar'ente a
los desarrollados anterior'ente< con la >nica diferencia 2ue se le ca'bia el
no'bre de la regla< el protocolo , el puerto por donde estar+ escuc5ando dic5o
servicio.
0ara blo2uear las aplicaciones 'encionadas en el ejercicio< es si no dejar el
servidor !"3 "erver co'o lo tene'os< sin crear ninguna regla de per'isos< ,a 2ue
por defecto viene denegando todas las peticiones 2ue se 5agan desde la L37
5acia el e;terior< por lo 2ue no necesitare'os preocuparnos por blo2uear los
servicios 2ue all nos 'encionan 2ue blo2uee'os< a 'edida 2ue va,a'os
73
necesitando 2ue los usuarios se co'uni2uen por un servicio en especifico< va'os
creando las respectivas reglas para 2ue no 5a,an ning>n tipo de inconvenientes<
por lo 2ue nos 2uedara faltando crear la regla para 2ue los ad'inistradores tengan
acceso a !nternet.
PERITIR A LOS ADINISTRADORES ACCESO A INTERNET DESDE LA RED
LAN
%ul'inada la creacin de las reglas para los usuarios de la red 937 , la red L37<
continuare'os desarrollando los re2uisitos del ejercicio planteado al principio de
este artculo< el cual nos 'enciona per'itir 2ue los dos usuarios ad'inistradores
tengan acceso a !nternet desde la red L37.
7os ubica'os en directivas de fire/all< posterior'ente elegi'os la opcin tareas< ,
crear nueva regla de acceso.
(n el cuadro de dialogo 2ue nos aparece< especificare'os el no'bre 2ue
2uere'os ponerle a nuestra regla. %lic en siguiente para continuar.
74
35ora especifica'os la accin 2ue el fire/all va a ejecutar para dic5a regla< la cual
ser+ per'itir< clic en siguiente para continuar.
35ora nos pregunta 2ue protocolos va'os a per'itir en esta regla< selecciona'os
agregar , siguiente.
75
7os deber+ aparecer el siguiente cuadro de dialogo< en el cual seleccionare'os el
o los protocolos para la regla 2ue esta'os creando. 7os ubica'os en la carpeta
2ue corresponda al protocolo 2ue esta'os buscando , la desplega'os.
3l seleccionar la carpeta se despliega los protocolos 2ue est+n relacionados con la
'is'a< co'o esta es una regla para acceso a la 9eb< escogere'os los
protocolos correspondientes< los cuales son )7" , 5ttp.
76
0osterior'ente dare'os clic en 3gregar.
35ora ,a nos aparece los protocolos 2ue se cu'plir+n en dic5a regla< dare'os clic
en siguiente para continuar.
NOTA: .ubiHse'os podido especificar todo el tr+fico saliente< pero nos referi'os
al punto del ejercicio para desarrollar dic5a regla< aun2ue la regla aplicara a
usuarios ad'inistradores.
77
35ora escogere'os el origen de la peticin< da'os clic en agregar para continuar.
7ueva'ente nos ubicare'os en la carpeta la cual contenga el origen de la
co'unicacin< en este caso ser+n los dos e2uipos ad'inistradores< los cuales
ser+n en la carpeta e2uipos< la desplega'os , nos aparecer+n los e2uipos de
nuestra L37.
%o'o pode'os ver< est+n los e2uipos de la L37< escogere'os a los e2uipos de
los ad'inistradores. 0osterior'ente le da'os clic en 3gregar.
78
7O&3S Los e2uipos se deben agregar 'anual'ente< d+ndole clic en nuevo<
e2uipo< , especifica'os la !0 del e2uipo , el no'bre.
Ra agrega'os los e2uipos ad'inistradores< desde donde se generaran las
peticiones 9eb< da'os clic en siguiente para continuar.
79
35ora especifica'os 5acia donde estar+ orientado el trafico de los dos
ad'inistradores de la L37< el cual los agregare'os dando clic en el icono 3gregar.
7ueva'ente ubica'os la carpeta 2ue contenga el destino 2ue este'os buscando
, la desplegare'os desde el icono T.
80
7os aparecen posibles destinos< el cual agregare'os la red e;terna< ,a 2ue es la
red de !nternet< da'os clic en 3gregar.
Listo 2uedo ,a especificado el destino al 2ue tendr+n acceso nuestros
ad'inistradores< dare'os clic en siguiente para continuar.
81
35ora especifica'os a 2ue usuarios aplicara dic5a regla< co'o es el e2uipo
ad'inistrador nos poda'os i'aginar f+cil'ente 2ue el >nico 2ue tendr+ acceso a
la 'a2uina es el respectivo ad'inistrador< lo cual podra ingresar desde cual2uier
usuario de ese e2uipo< por eso deja'os la opcin 2ue el !"3 "erver nos arroja por
defecto. R da'os clic en siguiente.
35ora dare'os clic en finali4ar< para cul'inar de crear nuestra nueva regla.
0osterior'ente clic en 3plicar , 3ceptar para 2ue nuestro servidor 8ire/all coja los
ca'bios , cargue nuestra nueva regla.
82
CONFIGURANDO PRO7! +EB EN ISA SERVER
35ora e'pe4are'os a configurar un servidor 0ro;, 9eb con el fin de a5orrar
recursos de anc5o de banda con respecto a peticiones 5ttp , por supuesto a filtrar
pa2uetes de acuerdo a sus e;tensiones , las urls. 0ara ello nos ubicare'os en
nuestro ad'n. )e !"3 "erver , en la opcin cac5e nos deber+ aparecer algo
si'ilar a lo siguiente*
32u nos 'uestra el no'bre de nuestra particin en disco< su espacio total< para
poder asignar un ta'a=o para la cac5e dare'os clic derec5o la opcin
propiedades*
83
%o'o pode'os observar el espacio 2ue se le asigno a la cac5e fue de 1## :D ,
estar+ guardada en la unidad %* de nuestro disco. )are'os clic en aceptar para
continuar.
35ora en red< selecciona'os la red interna< clic derec5o , propiedades.
84
(n la opcin 0ro;, 9eb le configurare'os el puerto por donde los usuarios se van
a conectar al 0ro;,< el cual ser+ por donde estar+ corriendo dic5o servicio en
nuestro caso ser+ el puerto 312$. 3plicar aceptar.
35ora nos ubica'os en la 'atri4 de nuestro servidor< en la regla 2ue le esta
per'itiendo dar salida a todos nuestros usuarios de la red al e;terior< dare'os clic
derec5o escogere'os la opcin configurar 5ttp , nos deber+ aparecer el siguiente
cuadro de dialogo*
35ora nos ubicare'os en la pesta=a e;tensiones< selecciona'os la opcin de
denegar e;tensiones< si lo 2ue 2uere'os es denegar las e;tensiones 2ue se
'encionaran en este cuadro< de lo contrario la opcin 2ue 'as le sea de utilidad.
)a'os clic en agregar , nos debe aparecer el siguiente cuadro de dialogo*
85
(scribire'os las e;tensiones 2ue 2uere'os 2ue nuestro 0ro;, filtre a los usuarios<
dare'os clic en aceptar. 7os deber+ 2uedar algo si'ilar a lo siguiente*
Ra teniendo definidas las e;tensiones a filtrar dare'os clic en aplicar , aceptar.
86
35ora especificare'os las url 2ue 2uere'os 2ue filtre nuestro 0ro;,< para ello nos
ubica'os donde nos 'enciona el recuadro , da'os clic en agregar.
(scribire'os el no'bre 2ue le 2uere'os poner al conjunto de reglas ,
posterior'ente las url a denegar. 35ora dare'os clic en aplicar , aceptar<
87
%o'o en nuestra red 5a, un 0ro;, padre< configurare'os a nuestro 0ro;, para
2ue se redireccione , pueda reenviar las peticiones al 0ro;, global de nuestra
co'pa=a< co'o nos 'uestra la i'agen anterior nos ubica'os en esa ruta ,
dare'os clic derec5o propiedades.
88
)are'os clic en la pesta=a accin , escogere'os la 2ue 'enciones
redirigiHndolas a un servidor. R configuracin*
35ora especifica'os la !0 del 0ro;, padre< el puerto por donde escuc5a , aceptar.
0ara 5acer las respectivas pruebas< desde un e2uipo de nuestra L37<
configurare'os en el navegador por la opcin 5erra'ientas< opciones de !nternet<
avan4ado< red< servidor 0ro;,< , dare'os la !0 de nuestra 'a2uina 2ue esta
sirviendo co'o 0ro;,< con el puerto por donde el servicio este escuc5ando.
89
CONCLUCIONES
"e nos facilito el uso de la 5erra'ienta por ser entorno grafico la
configuracin.
Duena docu'entacin pese a estar en ingles la gran 'a,ora de esta.
"e cont con los recursos necesarios para 'ontar , poder si'ular una red
co'o la del escenario.
"e alcan4aron los objetivos propuestos en el escenario.
"e logro i'ple'entar 0ro;, co'o contra'edida o refuer4o para el fire/all.
"e obtuvo conoci'iento de la 5erra'ienta 'as utili4ada en :icrosoft co'o
fire/all.
90