Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Introduccin
En este documento veremos cmo configurar un servidor que ejecuta ISA Server 2006, dicho servidor esta optimizado para prestar el servicio de Proxy HTTP & HTTS, partiremos de una infraestructura de red ya establecida, establecida significa que ya est operativa a nivel de capa 3 (Capa de red del modelo OSI), lo que quiere decir que ya tenemos conectividad entre todos los dispositivos de red que conforman nuestro entorno y hacia internet. El servicio de DNS, DHCP y la aplicacin ISA Server ya se ha realizado.
Blog: http://jfherrera.wordpress.com
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Topologa de red
Tabla de direccionamiento
Default Gateway N/A N/A 10.10.10.62 10.10.10.62 DHCP
Blog: http://jfherrera.wordpress.com
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Operating System/Ver sion Windows Server 2003 SP2 Windows Server 2003 SP2
IP Address / Suffix
10.10.10.60 /26
10.10.10.61 /26
Blog: http://jfherrera.wordpress.com
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
SVR-DNS-DHCP-01 El equipo etiquetado como SVR-DNS-DHCP-01 tendr los servicios de DNS y DCHP, a continuacin encontraremos una serie de Screenshot en los cuales se describen rpidamente la configuracin para dichos servicios.
Observamos el hostname y direccionamiento del STACK TCP/IP utilizado para este host.
Blog: http://jfherrera.wordpress.com
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Y finalmente esta es la configuracin que se aplic al servicio DNS, permitiendo las actualizaciones dinmicas en la zona directa e inversa por parte de los clientes de la LAN1 y LAN2. SVR-FW-01 En nuestro servidor SVR-PROXY-01 esta con las actualizaciones al dia e instalado ya el ISA Server (solo la instalacin), este tiene la direccin IP 10.10.10.61/26. ISA Server 2006 Partiremos de una instalacin ya realizada de ISA Server en SVR-PROXY-01.
Iniciada la consola de administracin damos clic sobre la opcin Network, y como podemos observar est configurado como Edge Firewall, como nuestro Servidor esta optimizado para servir como proxy en nuestra red, lo que haremos ser seleccionar la plantilla Single Network Adapter. Del panel derecho, pestaa Templates.
Blog: http://jfherrera.wordpress.com
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
En la configuracin de la red interna lo dejaremos tal cual y presionamos en Next. Blog: http://jfherrera.wordpress.com 9
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Seleccionamos el tipo de poltica que se aplicara por defecto, en nuestro caso la nica existente, y posteriormente iremos abriendo comunicaciones necesarias.
Al momento de dar clic en Finish nos genera un aviso y en el cual especifica que: Cuando ISA Server est configurado con un solo adaptador de red, la red Externa no tiene asociada una direccin IP. Como resultado de dicha configuracin, especificar la red Externa en reglas de acceso, o especificar dicha red para solicitudes web en una regla, el resultado ser que no se tendr ningn efecto por parte de dichas reglas o polticas.
Blog: http://jfherrera.wordpress.com
10
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Finalmente damos clic en Apply para as cargar el nuevo entorno. Plantillas ISA Server ISA Server 2006 viene con muchas plantillas definidas. A continuacin veremos algunos de los detalles de cada plantilla. Podemos seleccionar uno de ellos que se acople ms con el entorno de red corporativo. Servidor de seguridad perimetral Esta es una topologa de red estndar para pequeas y medianas organizaciones. El ISA Server es una puerta principal que controla el trfico entre la intranet e Internet. El Servidor ISA Server necesita 2 interfaces de red.
3-Leg permetro Esta es una topologa de red estndar para medianas y grandes organizaciones. Hay otra red que es la red perimetral aadida al servidor ISA en comparacin con el borde del cortafuego. La red perimetral o DMZ (zona desmilitarizada) es una red que es menos seguro para servir de servidor Blog: http://jfherrera.wordpress.com 11
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Web, servidor de correo electrnico, servidor DNS, etc, para que los usuarios de Internet pueden acceder a estos servicios sin acceso a la red interna. El Servidor ISA Server necesita 3 interfaces de red.
Firewall frontal Se trata de una topologa de red en la que la seguridad es imprescindible para la organizacin. En este caso, hay ms de un servidor de seguridad. Cuando el servidor es atacado por hakers no solo deben traspasar ese sino que todava hay un nuevo firewall para proteger su red interna. Esta plantilla, el servidor ISA ser actuar como servidor de seguridad frente entre la red de Internet y el permetro y las necesidades de dos interfaces de red.
Firewall trasero Se trata de una topologa de red en la que la seguridad es imprescindible para la organizacin. La configuracin es la misma que en el Frente de plantilla, excepto que el servidor de seguridad ISA Server que se est configurando el servidor de seguridad de nuevo esa plantilla red. Este separa la red interna y perimetral, ISA Server necesita dos interfaces de red.
Blog: http://jfherrera.wordpress.com
12
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
nico adaptador de red Se trata de una topologa de la red de ISA Server y en la cual acta como servidor proxy solamente. ISA Server puede hacer el almacenamiento en cach para mejorar el rendimiento para los usuarios el uso de Internet en la organizacin. Esta plantilla, ISA Server requiere slo una nica interfaz de red como el nombre de la plantilla.
En este punto debemos tener presente que para las plantillas Firewall frontal y Firewall trasero se debe utilizar ms de un servidor ISA. Firewall Policy Ok, esta es la seccin en la consola de administracin del ISA Server en la que se trabajara prcticamente siempre. El ISA Server trae ya por defecto unas reglas predefinidas, las cuales estn ocultas. Para ver dichas reglas seguimos la siguiente ruta en la consola de administracin del ISA Server men View > Show System Policy Rules.
Blog: http://jfherrera.wordpress.com
13
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
En esta captura observamos que la mayora de reglas se permiten solo a el trafico que tiene origen Local Host (ISA Server), en otras palabras solo se permite comunicaciones originadas desde el servidor de ISA Server en resto se deniega ya que hay una poltica por defecto Deny. Es importante tener presente que algunas de estas reglas estn deshabilitadas.
Blog: http://jfherrera.wordpress.com
14
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Pulsando clic derecho sobre Firewal Policy > Edit System Policy, podemos habilitar o deshabilitar las reglas de default que incorpora el ISA Server. Lo siguiente consiste en crear una nueva regla que permita el trfico de los protocolos HTTP (80) y HTTPS (443) para todos los usuarios de la red LAN1. Clic derecho sobre la option Firewall Policy > New > Access Rule
Blog: http://jfherrera.wordpress.com
15
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Nos levanta el asistente para crear la regla, ingresamos el nombre que tendr la nueva regla y pulsamos en Next >.
La accin que configuraremos para esta regla ser permitir, entonces seleccionamos Allow y damos clic en Next.
Blog: http://jfherrera.wordpress.com
16
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Como esta regla se aplicara a todo el origen generado desde la LAN1 entonces seleccionamos la red Interna y pulsamos en Next.
La regla se aplicara a cualquier destino, entonces agregamos la red Externa que en nuestro caso sera la interface (NIC) Bridge, pulsamos en Add > Close y Next para continuar.
Blog: http://jfherrera.wordpress.com
17
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Como la regla se aplicara a todos los usuarios que estn en la red Interna (LAN1) dejamos la opcin por defecto y para terminar seleccionamos Next y Finish.
Blog: http://jfherrera.wordpress.com
18
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Bien en este punto del documente vamos a explicar la configuracin de FW01, la funcin de FW01 es enrutar el trfico de la red LAN1 hacia internet, igualmente est prestando los servicios de NAT (PAT) con el fin de permitir conexiones hacia internet de ms de un cliente simultneamente ya que se dispone solo de una direccin pblica. Actualmente el FW01 est permitiendo cualquier servicio hacia internet, cualquier cliente puede navegar en la WWW sin configurar ningn tipo de proxy en el Web browser. Explicado esto vamos a configurar unas ACLs en FW01 para que solamente permita las solicitudes de HTTP y HTTPS iniciadas por el SVR-PROXY-01, con el objetivo de obligar a los usuarios que deseen navegar por la WWW a configurar el proxy en el Web browser y filtrando as comunicaciones HTTP y HTTPS.
ip access-list extended ALLOW_WEB_ACCESS_FROM_PROXY_ONLY permit tcp host 10.10.10.61 any eq 80 permit tcp host 10.10.10.61 any eq 443 permit udp host 10.10.10.60 any eq 53 deny tcp 10.10.10.0 0.0.0.63 any eq 80 deny tcp 10.10.10.0 0.0.0.63 any eq 443 deny udp 10.10.10.0 0.0.0.63 any eq 453 permit ip 10.10.10.0 0.0.0.63 any deny ip any any interface fa0/1 ip access-group ALLOW_WEB_ACCESS_FROM_PROXY_ONLY in
Blog: http://jfherrera.wordpress.com
19
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
En estas capturas vemos que no tenemos configurado el proxy en el navegado y que no podemos navegar por la WWW.
Igualmente si observamos las coincidencias de las reglas creadas podemos ver que se han permitido comunicaciones para los servicios HTTP y HTTPS solo desde el SVR-PROXY-01,
Blog: http://jfherrera.wordpress.com
20
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
igualmente se han denegado comunicaciones HTTP y HTTPS que no son originadas por SVRPROXY-01.
El nombre proxy1.dominio.local ya que hemos creado un Alias para un RR en la zona directa de nuestro servicio DNS para el SVR-PROXY-01. Si deseamos cambiar el nmero de puerto para el proxy a utilizar, nos vamos a la siguiente ruta de la consola de administracin del ISA Server Networks > Internal > clic derecho properties > seleccionamos la pestaa Web Proxy.
Blog: http://jfherrera.wordpress.com
21
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Configurado nuestro web browser con el proxy ya podemos acceder a los servicios HTTP & HTTPS. Bloquear un navegador especfico En este apartado veremos cmo configurar una regla en el ISA Server para prohibir el uso de web browser especficos como Mozilla Firefox, Google Chrome, Apple Safari, entre otros.
En esta imagen observamos que tenemos varios navegadores web, y vamos a utilizarlos para comprobar reglas de prohibir la operatividad de un web browser especfico. Bloquear Mozilla Firefox web browser
Blog: http://jfherrera.wordpress.com
22
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
En esta imagen observamos la estructura de un paquete que se capturo, la parte resaltada con el recuadro rojo es la que nos interesa. Crearemos una firma para denegar las solicitudes que contengan la palabra Firefox.
Damos clic derecho sobre la regla Allow web acces y seleccionamos la opcin Configure HTTP.
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Y en la ventana que nos levanta llenamos los campos con los valores que se muestran en la imagen.
Verificamos que la nueva Signature este comprobada y damos clic en Apply > OK.
Blog: http://jfherrera.wordpress.com
24
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Aplicamos los cambios y comprobamos la configuracin intentando acceder a la WWW por medio del web browser Mozilla Firefox.
Blog: http://jfherrera.wordpress.com
25
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Como podemos comprobar no est permitido la navegacin para el web browser Mozilla Firefox, pero para IE s. Bloquear Safari web browser
Blog: http://jfherrera.wordpress.com
26
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
27
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Al momento del ISA cargar los cambios podemos ver que la Signature ahora est operando como lo deseamos. Bloquear Chrome web browser
Si probamos navegar con Chrome no se va a permitir ya que como en las solicitudes del web browser Chrome hay valores como Safari en la directiva User-Agent:.
Blog: http://jfherrera.wordpress.com
28
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Pero igualmente podemos crear una Signature para el web browser Google Chrome, esto si no deseamos bloquear el web browser Apple Safari.
Blog: http://jfherrera.wordpress.com
29
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
30
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
31
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Aplicados los cambios vemos que las Signatures se estn filtrando correctamente. Bloquear Internet Explorer web browser
Blog: http://jfherrera.wordpress.com
32
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
33
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Salvada la configuracin y aplicados los cambios vemos que nos bloquea el web browser Internet Explorer. Bloquear MSN En esta seccin veremos cmo bloquear MSN.
Blog: http://jfherrera.wordpress.com
34
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
35
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Aplicada la configuracin podemos observar que nuestra poltica est funcionando como lo deseamos. Bloquear Windows Live Messenger
Blog: http://jfherrera.wordpress.com
36
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
37
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Bloquear Google Talk En esta seccin veremos cmo bloquear el cliente de IM Gtalk de Google.
Blog: http://jfherrera.wordpress.com
38
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
39
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Ya observamos que el ISA nos est filtrando y cerrando ese tipo de solicitud. Bloquear yahoo Messenger En este punto vamos a ver como bloquear el cliente yahoo Messenger.
Blog: http://jfherrera.wordpress.com
40
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Con la configuracin de la Signature, aplicados los cambios en el FW01, todava el cliente Yahoo Messenger puede conectarse correctamente, analizamos el trfico con el siguiente resultado:
Blog: http://jfherrera.wordpress.com
41
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Primero el cliente yahoo Messenger realiza la peticin de GET hacia la URL vcs2.msg.yahoo.com.
Segundo el FW01 deniega dicha peticin ya que creamos la Signature para msg.yahoo.
Tercero despus de varios intentos por parte del cliente yahoo Messenger fructuosos, este opta por realizar la peticin GET hacia la IP, en este punto encontramos un patrn y el cual fue /capacity.
Blog: http://jfherrera.wordpress.com
42
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Finalmente con la aplicacin de esta Signature nos bloquea correctamente el cliente Yahoo Messenger.
Blog: http://jfherrera.wordpress.com
43
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
44
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Este es otro mtodo de bloquear para el cliente Yahoo Messenger y es el que ms me agrada ya que puede ser ms concreto. Bloquear web mail google En ese apartado veremos cmo bloquear web mail de google,
Blog: http://jfherrera.wordpress.com
45
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Como podemos observar el proxy nos filtra esta URL, debemos tener presente que solo nos bloquea si el campo de URL se encuentra el string gmail.com como http://gmail.com, http://www.gmail.com, https://gmail.com, https://www.gmail.com. Debemos tener claro que los usuarios pueden usar las siguientes URL: mail.google.com gmail.com gmail.google.com
Blog: http://jfherrera.wordpress.com
46
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Con esta configuracin ya podemos bloquear correctamente gmal ya que al momento de digitar gmal.com automticamente lo redireccin a mail.google.
Blog: http://jfherrera.wordpress.com
47
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
48
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Bloquear hotmail
Blog: http://jfherrera.wordpress.com
49
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com
50
Proxy HTTP & HTTPS- ISA Server 2006 (A) Blog http://jfherrera.wordpress.com Microsoft ISA Server 2006
En esta captura observamos que no nos carga la web para realizar login.
Blog: http://jfherrera.wordpress.com
51