Está en la página 1de 56

Unidad 2: ISA 2004 Avanzado

Cap 1. Migración de configuración desde ISA 2000


a.
Proceso de actualización
b.
Migración de configuración desde ISA 2000
Cap 2. Configuraciones avanzadas de red (Firewall de 3 adaptadores,
Firewall Back-to-Back)
a. Topologías de Red
b. Reglas de protocolos en configuraciones de firewall con 3 adaptadores
c. Reglas de protocolos en configuraciones de firewall Back-to-Back
Cap 3. Configuración de acceso a sitios web corporativos (Web Publishing)
a. Publicación estándar
b. Publicación de OWA
c. Publicación de Sitios seguros (SSL)
Cap 4. Configuraciones de acceso a servicios en la red
perimetral/corporativa (Server publishing)
a. Publicación de Mail Server
b. Publicación de otros servicios
c. Publicación usando PAT (Port Address Translation)
Cap 5. Monitoreo y reportes en ISA 2004.
a. Generación de reportes de utilización
b. Monitoreo en tiempo real
c. Monitoreo de servicios y alertas
1. Migración de configuración desde ISA 2000

Microsoft Internet Security and Acceleration (ISA) Server 2004 ofrece la posibilidad
de actualización completa para los usuarios de ISA Server 2000. La mayoría de las
reglas, configuraciones de red, configuraciones de supervisión y configuraciones de
la caché de ISA Server 2000 se actualizarán a ISA Server 2004.
ISA Server 2004 presenta muchas características nuevas y cambios. Estos cambios
afectan a la configuración del servidor y a los entornos de actualización. Esta sección
proporciona información acerca de los elementos esenciales que debe tener en
cuenta en el proceso de actualización.
a. Proceso de actualización

La herramienta de migración de ISA Server 2004 ofrece la posibilidad de


actualización completa para que los usuarios de ISA Server 2000 puedan actualizar a
ISA Server 2004. La mayor parte de la información de configuración de
ISA Server 2000 se actualizará a ISA Server 2004. ISA Server 2004 presenta
muchas características nuevas y cambios en comparación con ISA Server 2000.
Estos cambios afectan a la configuración del servidor y a los entornos de
actualización.
Nota:
• ISA Server 2000 Service Pack 1 (SP1) debe instalarse en el equipo.
• Sólo puede actualizar desde ISA Server 2000 Standard Edition.
Existen tres opciones para actualizar desde ISA Server 2000:
• Actualización local. En este entorno, el usuario instala ISA Server 2004 en
el mismo equipo en que se ejecuta ISA Server 2000. La configuración se
migra directamente a ISA Server 2004, tal como se describe en los temas
siguientes. No es preciso ejecutar ninguna herramienta.
• Migrar la configuración de ISA Server 2000. En este entorno, el usuario
instala ISA Server 2004 en un equipo distinto, o bien quita ISA Server 2000
por completo antes de instalar ISA Server 2004. En cualquier caso, es preciso
utilizar la herramienta de migración para migrar la información de
configuración a ISA Server 2004, tal como se describe en los temas
siguientes.
• Migrar la configuración de Enrutamiento y acceso remoto. En este
entorno, el usuario puede haber configurado previamente la red privada
virtual mediante Enrutamiento y acceso remoto. Puede utilizar la herramienta
de migración para copiar parte de la configuración a ISA Server 2004.

Actualización local
Asimismo, el usuario puede llevar a cabo una actualización local y ejecutar la
herramienta de migración en un equipo con ISA Server 2000 instalado. Al realizar
una actualización local, se quita ISA Server 2000 y se instala ISA Server 2004 con la
configuración migrada.

b. Migración de configuración desde ISA 2000

Migrar la configuración
Para migrar ISA Server 2000 a ISA Server 2004 se deben seguir estos pasos:
1. Ejecute el Asistente para la migración de ISA Server en el equipo con
ISA Server 2000. El asistente crea un archivo .xml con la información de
configuración.
2. Instale Microsoft ISA Server 2004.
3. Importe el archivo .xml en el equipo en que está instalado ISA Server 2004.
Antes de importar el archivo .xml, recomendamos que realice una copia de
seguridad completa de la configuración actual del equipo en el que está
instalado ISA Server 2004.
La dirección IP real del adaptador de red externo del equipo original en el que estaba
instalado ISA Server 2000 se guardará en el archivo .xml junto con la información de
configuración. Si ISA Server 2004 está instalado en un equipo distinto, debe corregir
la dirección IP después de importar el archivo .xml.
Actualización de complementos
Los filtros de aplicación y los filtros Web proporcionados por otros proveedores para
ISA Server 2000 no son compatibles con ISA Server 2004. Algunos proveedores han
creado nuevas versiones para ISA Server 2004. Para actualizar a las nuevas
versiones, siga los siguientes pasos:
1. Desinstale los filtros de aplicación y los filtros Web del equipo ISA Server
2000.
2. Lleve a cabo la actualización a ISA Server 2004 de la forma descrita aquí.
3. Instale la nueva versión del filtro de aplicación o el filtro Web.
Qué valores no se actualizan
Los objetos y valores de configuración siguientes de ISA Server 2000 no se migran a
ISA Server 2004:
• ISA Server 2004 ya no admite reglas de ancho de banda.
• La configuración de permisos, como las listas de control de acceso al sistema
(SACL), no se actualizan.
• No se migra la configuración ni la información de informes y registros.

Si utiliza la herramienta de migración para instalar ISA Server 2004, se instalará


Firewall Client Share (con el software de Cliente Firewall para ISA Server 2004). Se
recomienda que instale Firewall Client Share.

Actualizar la configuración de supervisión y administración de


ISA Server 2000
Parte de la configuración de supervisión y administración se migra a ISA Server
2004, como se detalla en las siguientes secciones.
Listas de control de acceso al sistema
En ISA Server 2000, puede utilizar Administración del servidor ISA para volver a
configurar una lista de control de acceso al sistema (SACL) en algunos objetos.
Además, se puede cambiar esta lista de cualquier elemento mediante el modelo de
objetos Admin COM.
Las listas SACL no se migran a ISA Server 2004. En su lugar, se aplican las listas
SACL predeterminadas.
Supervisión
Todas las definiciones de alerta de ISA Server 2000 se migran directamente a
ISA Server 2004. No obstante, existen las excepciones siguientes:
• En su lugar se crean definiciones de alerta que hacen referencia al proxy Web
creado para el servicio del servidor de seguridad de Microsoft, ya que no
existe este servicio proxy Web en ISA Server 2004.
• Las siguientes definiciones de alerta de ISA Server 2004 no se modifican:
Intrusión DNS, Intrusión POP, Filtro RPC: la conectividad cambió y Error en la
configuración de SOCKS.
No se migra la configuración de registro de ISA Server 2000. La configuración de
registro de ISA Server 2004 se establece en la configuración predeterminada
posterior a la instalación. Después de la migración, los registros de ISA Server 2004
se almacenan en registros de Microsoft Data Engine (MSDE) o en formato de texto.
No se migran los trabajos de informes, los informes ni la configuración de informes
de Microsoft Data Engine.

Actualizar la configuración de la directiva de acceso de ISA Server 2000


La mayoría de las reglas de directiva de acceso de ISA Server 2000 se actualizan a
ISA Server 2004, tal como se detalla en las secciones siguientes.
Tenga en cuenta que en ISA Server 2000, puede configurar una regla que bloquee el
tráfico entre el equipo servidor ISA (host local) y la red externa. No obstante, en ISA
Server 2004, la directiva del sistema controla cómo el equipo servidor ISA (host
local) accede a todas las redes. Como las reglas de directiva del sistema se procesan
en primer lugar, éstas reemplazarán las reglas de directiva que puede configurar
específicamente para denegar el acceso desde la red de host local a la red externa.
Reglas de ancho de banda
Las reglas de ancho de banda, y los elementos de la directiva asociados, no son
compatibles con ISA Server 2004. No se actualizan.
Filtros de paquetes IP
Los filtros de paquetes de ISA Server 2000 no se pueden configurar explícitamente
en ISA Server 2004. En ISA Server 2000, estos paquete se utilizaban para:
• Publicar en servidores en una red perimetral.
• Ejecutar aplicaciones u otros servicios en el equipo servidor ISA.
• Permitir el tráfico saliente desde el equipo servidor ISA.
• Permitir el acceso a protocolos no basados en los protocolos UDP (protocolo
de datagramas de usuarios) o TCP (protocolo de control de transporte).
Si se deshabilita el filtrado de paquetes en ISA Server 2000, se aceptará todo el
tráfico al host local y a las redes perimetrales y se ignorarán los filtros de paquetes.
Al migrar la configuración de ISA Server 2000, los filtros de paquetes de esta
aplicación se migran también con el mismo estado a ISA Server 2004.
La siguiente tabla muestra una lista de cómo se actualizan los filtros de paquetes de
ISA Server 2000 a las reglas de acceso de ISA Server 2004.
Filtro de paquetes de Regla de acceso de
Propiedad ISA Server 2000 ISA Server 2004
Nombre, descripción y Los mismos valores que en
servidores habilitados ISA Server 2000
Protocolo IP de ISA TCP, UDP, ICMP o protocolo Mismo protocolo
Server 2000 actualizado IP personalizado
a ISA Server 2004:
Cualquiera No hay protocolos nuevos y la
definición de protocolo
herramienta de migración establece
el protocolo en Todo el tráfico IP
saliente
Número de protocolo Mismo número de protocolo
Puerto local El puerto de origen definido en la
regla de acceso y el puerto de
destino, o puerto de origen
dependiendo de la dirección del
protocolo, definido en la conexión de
protocolo.
Número de puerto local Intervalo de puertos de origen (en la
ficha Protocolo de la regla de acceso)
Dirección Saliente Saliente
Entrante Saliente (los campos A y De cambian
según corresponda)
Enviar y recibir Enviar y recibir
Recibir y enviar Enviar y recibir (los campos A y De
cambian según corresponda)
ISA Server 2000: el Dirección IP Red de host local
equipo local (Se aplica predeterminada
a) actualizado a ISA
El valor del equipo local se El elemento del equipo con la
Server 2004: Propiedad
establece en la dirección IP dirección IP del equipo con ISA
"A" de regla de acceso
del equipo con ISA Server 2004
Server 2000
El valor del equipo local se Elemento de equipo con la dirección
establece en una dirección IP específica
IP específica
El valor del equipo local se El objeto del intervalo de direcciones
establece en una red con las direcciones IP de la red
perimetral perimetral
ISA Server 2000: el Todos los equipos remotos Todas las redes externas
equipo remoto (Se
Este equipo remoto Objeto de equipo se establece en la
aplica a) actualizado a
dirección IP del equipo remoto
ISA Server 2004:
Propiedad "De" de regla Este intervalo de equipos Subred con el intervalo de
de acceso direcciones especificadas
Nota
• Si la dirección del filtro de paquetes de ISA Server 2000 es Ambas (o
Recibido y enviado), se crean dos reglas en ISA Server 2004, con las
propiedades A y De alternadas para la segunda regla.
Ejemplo
Las reglas de acceso (creadas para reemplazar los filtros de paquetes de
ISA Server 2000) que deniegan el acceso se ordenan primero. Las reglas que
permiten el acceso se ordenan posteriormente, como se muestra en la siguiente
tabla.
ISA Server 2000 ISA Server 2004
Filtro de paquetes con estas propiedades Regla de acceso con estas
• Protocolo: UDP propiedades:
• Dirección: Enviar y recibir • El valor de la red de origen se
• Puerto local: 53 establece en Host local
• Puerto remoto: 78 • Puerto: 53
• Equipo local se aplica a: direcciones IP • Red de destino se establece
predeterminadas de la interfaz externa en Todas las redes externas
• Equipo remoto: Todos los equipos Definición de protocolo con estas
remotos propiedades:
• Protocolo: UDP
• Puerto: 78
• Dirección: Enviar y recibir
Filtros de paquetes IP: predefinidos
ISA Server 2000 incluye varios filtros predefinidos para paquetes IP. La herramienta
de migración crea reglas de directiva del sistema, basadas en estos filtros de
paquetes IP, como se detalla en la siguiente tabla.
Regla de directiva del
Filtro de paquetes IP de ISA Server 2000 sistema de ISA Server 2004
Cliente DHCP Permitir peticiones DHCP del
servidor ISA a todas las redes
Filtro DNS Permitir DNS del servidor ISA
hacia servidores seleccionados
ICMP saliente Permitir peticiones ICMP del
servidor ISA a servidores
seleccionados
Respuesta del ping de ICMP (entrante), Excedido el Permitir peticiones ICMP (ping)
tiempo de espera de ICMP en, Paquete de control de equipos seleccionados al
de flujo ICMP, No se puede obtener acceso a ICMP servidor ISA
en
IP Replay (out) Permitir peticiones ICMP del
servidor ISA a servidores
seleccionados
Al ejecutar la herramienta de migración del servidor ISA, puede elegir si se permite
el tráfico desde la red interna al equipo servidor ISA. Si selecciona esta opción, se
crea una regla que permite el tráfico desde la red interna a la red de host local y
viceversa.
Reglas de protocolo
La directiva de acceso de ISA Server 2000 estaba formada por reglas de protocolo,
así como reglas de sitio y contenido. ISA Server 2004 incluye sólo reglas de acceso,
que se basan en una combinación de las reglas de protocolo originales, y reglas de
sitios y contenido.
Las reglas de protocolo de ISA Server 2000 se actualizan a las reglas de acceso de
ISA Server 2004. La mayor parte de las propiedades se actualizan directamente a
ISA Server 2004. La propiedad Se aplica a se actualiza, como se detalla en la
siguiente tabla.
Regla de protocolo de
ISA Server 2000 Regla de acceso de ISA Server 2004
Cualquier petición El valor de la red de origen se establece en Interno y
Host local.
Conjuntos de direcciones De se establece en un conjunto de equipos con
de clientes direcciones IP específicas en el conjunto de direcciones
de clientes original.
La red de origen se establece en Interna.
Usuarios y grupos De se establece en un conjunto de usuarios con los
usuarios concretos especificados originalmente.
La red de origen se establece en Interna.
Tenga en cuenta que los filtros de aplicación de terceros no se actualizan. De la
misma forma, tampoco se actualiza ninguna definición de protocolo instalada con el
filtro de aplicación. No se actualiza ninguna de las reglas que se aplican a estas
definiciones de protocolo.
Puede configurar una clave del registro de ISA Server 2000,
IgnoreContentTypeIfNotApplicable, que determine si se omite un grupo de contenido
para las reglas de protocolo que no se apliquen a HTTP. Si se habilita esta clave del
registro, la herramienta de migración crea dos reglas de acceso para cualquier regla
de protocolo aplicada tanto a protocolos HTTP como a protocolos adicionales. Por
ejemplo, si ISA Server 2000 incluye una regla de protocolo que se aplica a los
protocolos POP3 y HTTP, la herramienta de migración crea dos reglas de acceso en
ISA Server 2004: una para POP3 y otra para HTTP.
Reglas de sitio y contenido
La directiva de acceso de ISA Server 2000 estaba formada por reglas de protocolo,
así como reglas de sitio y contenido. ISA Server 2004 incluye sólo reglas de acceso,
que se basan en una combinación de las reglas de protocolo originales, y reglas de
sitios y contenido.
Las reglas de sitio y contenido de ISA Server 2000 se actualizan a las reglas de
acceso de ISA Server 2004. La mayor parte de las propiedades se actualizan
directamente a ISA Server 2004. La propiedad Se aplica a se actualiza, como se
detalla en la siguiente tabla.
Regla de sitio y contenido
de ISA Server 2000 Regla de acceso de ISA Server 2004
Cualquier petición El valor de la red de origen se establece en Interno
y Host local.
Conjuntos de direcciones de De se establece en un conjunto de equipos con
clientes direcciones IP específicas en el conjunto de
direcciones de clientes original.
El valor de la red de origen se establece en Interno
y Host local.
Usuarios y grupos De se establece en un conjunto de usuarios con los
usuarios concretos especificados originalmente.
La red de origen se establece en Interna.
Puede configurar una clave del registro de ISA Server 2000,
IgnoreContentTypeIfNotApplicable, que determine si se omite un grupo de contenido
para las reglas de protocolo que no se apliquen a HTTP. Si se habilita esta clave del
registro, la herramienta de migración crea dos reglas de acceso para cualquier regla
de protocolo aplicada tanto a protocolos HTTP como a protocolos adicionales. Por
ejemplo, si ISA Server 2000 incluye una regla de protocolo que se aplica a los
protocolos POP3 y HTTP, la herramienta de migración crea dos reglas de acceso en
ISA Server 2004: una para POP3 y otra para HTTP.
Migrar reglas de protocolo, así como de sitio y contenido
Algunas reglas de protocolo, así como las reglas de sitio y contenido, se combinan en
una sola regla de acceso al actualizar a ISA Server 2004.
Convenciones de nomenclatura
La siguiente tabla detalla las convenciones de nomenclatura de las nuevas reglas de
acceso.
Regla de ISA Nombre de la regla de ISA
Server 2000 Server 2004 Ejemplo
Regla de ISANúmero-Nombre_regla_ISA ISA12-DenyNimda
denegación de
protocolo
Regla de ISANúmero-Nombre_regla_ISA ISA13-BlockBadStuff
denegación de
sitio y
contenido
Filtro de ISANúmero-Nombre_regla_ISA ISA14-ICMP
paquetes
Filtro de ISANúmero- ISA18-NNMP(Entrante)
paquetes Nombre_regla_ISA(Entrante) ISA19-NNMP(Saliente)
bidireccionales ISANúmero-
Nombre_regla_ISA(Entrante)
Regla de ISANúmero- ISA15_InternetAccess+BlockBadStuff
protocolos Nombre_regla_ISA+Nombre_regla_ISA
combinados,
así como de
sitio y
contenido

Actualizar la configuración de la directiva de publicación de ISA Server 2000


Las reglas de publicación de ISA Server 2000 se actualizan a ISA Server 2004, como
se detalla en las secciones siguientes.
Tenga en cuenta que en ISA Server 2000, puede configurar una regla que bloquee el
tráfico entre el equipo servidor ISA (host local) y la red externa. No obstante, en ISA
Server 2004, la directiva del sistema controla cómo el equipo servidor ISA (host
local) accede a todas las redes. Como las reglas de directiva del sistema se procesan
en primer lugar, éstas reemplazarán las reglas de directiva que puede configurar
específicamente para denegar el acceso desde la red de host local a la red externa.
Reglas de publicación de servidor
Por cada regla de publicación del servidor de ISA Server 2000, se crea una regla
correspondiente en ISA Server 2004. Algunas propiedades se modifican durante el
proceso de actualización, como se detalla en la siguiente tabla.
Valor de ISA
Propiedad Server 2000 Valor de ISA Server 2004
Acción Dirección IP del Se establece el valor de Para en el objeto de
servidor de la red equipo con la dirección IP específica.
interna
Dirección IP externa Se establece el valor de Dirección IP de la
escucha externa en la dirección IP específica.
Protocolo Valor igual al de ISA Server 2000.
Se aplica a Cualquier petición El valor de red de Origen se establece en
Externa y De en Todos los usuarios.
Conjuntos de El valor de De se establece en un conjunto de
direcciones de clientes equipos con direcciones IP específicas del
conjunto de direcciones cliente.
Usuario y grupo El valor de red de Origen se establece en
Externa y De en Todos los usuarios.
Puede configurar una clave del registro de ISA Server 2000,
UseISAAddressInPublishing, que determine si se habilita el servicio proxy. Si se
configura una clave del registro en el equipo con ISA Server 2000, se activa la casilla
de verificación Habilitar proxy en ISA Server 2004.
Observe que la dirección IP real del adaptador de red externo del equipo ISA
Server 2000 original se guarda en el archivo .xml con la información de
configuración. Si ISA Server 2004 está instalado en un equipo distinto, debe corregir
la dirección IP después de importar el archivo .xml.
Reglas de publicación de Web
Por cada regla de publicación de Web de ISA Server 2000, se crea una regla
correspondiente en ISA Server 2004. Algunas propiedades se modifican durante el
proceso de actualización, como se detalla en la siguiente tabla.
Valor de ISA
Propiedad Server 2000 Valor de ISA Server 2004
Acción Descartar la petición Denegado. La regla se ordena en primer
lugar, después de las reglas cuyo objetivo
es denegar el acceso.
Redirigir la petición Permitido. A se establece en el equipo
especificado de ISA Server 2000.
Enviar la petición Igual que en ISA Server 2000. A se
original establece en el equipo especificado de
ISA Server 2000.
Selección de puerto Igual que en ISA Server 2000,
especificado en la ficha Enlazar.
Destino Todos los destinos No compatible. No se exporta la regla. Se
genera un mensaje de registro.
Todos los internos No compatible. No se exporta la regla. Se
genera un mensaje de registro.
Todos los externos Todas las peticiones.
El destino seleccionado En ISA Server 2004, se pueden crear
se establece en dirección varias reglas de publicación de Web si se
IP única o dominio aplicó dicha regla de ISA Server 2000 a
varios destino públicos.
El destino seleccionado Se establece en la primera dirección IP del
se establece en un intervalo.
intervalo de direcciones
IP
Todos los destinos salvo No compatible. No se exporta la regla. Se
el seleccionado genera un mensaje de registro.
Protocolo de HTTP a HTTP y SSL a Valor igual.
puente HTTP
HTTP a HTTP y SSL a No cambia
SSL
HTTP a SSL y SSL a SSL Valor igual.
HTTP a FTP y SSL a FTP Valor igual.
HTTP a HTTP y SSL a HTTP a HTTP y SSL a SSL.
FTP
HTTP a SSL y SSL a HTTP a HTTP y SSL a SSL.
HTTP
HTTP a SSL y SSL a FTP HTTP a HTTP y SSL a SSL.
HTTP a FTP y SSL a HTTP a HTTP y SSL a SSL.
HTTP
HTTP a FTP y SSL a SSL HTTP a HTTP y SSL a SSL.
En ISA Server 2000, las escuchas de web se asignan implícitamente por cada regla
de publicación de Web. En ISA Server 2004, la escucha de web se asigna
explícitamente a cada regla de publicación de Web.
Si se aplica una regla de publicación de Web de ISA Server 2000 a varias escuchas,
se crean las reglas correspondientes en ISA Server 2004 por cada escucha de web
de ISA Server 2000. Por ejemplo, si se aplica una regla de publicación de Web de
ISA Server 2000 a tres escuchas de web, se crean tres reglas de publicación de Web
de ISA Server 2004, una por cada escucha de web especificada en la regla de
publicación de Web de ISA Server 2000 original.
Si se aplica una regla de publicación de Web de ISA Server 2000 a un conjunto de
destinos con dos o más direcciones IP distintas, o nombres de dominio, y dos o más
rutas de acceso diferentes, se crean reglas de publicación de Web de ISA
Server 2004 por cada par de rutas de acceso y direcciones IP.
Observe que la dirección IP real del adaptador de red externo del equipo ISA
Server 2000 original se guarda en el archivo .xml con la información de
configuración. Si ISA Server 2004 está instalado en un equipo distinto, debe corregir
la dirección IP después de importar el archivo .xml.
En ISA Server 2000, una regla de publicación de Web puede aplicarse a un conjunto
de destinos con una ruta de acceso vacía.
Convenciones de nomenclatura
La siguiente tabla detalla las convenciones de nomenclatura de las nuevas reglas de
publicación.
Regla de ISA Nombre de la regla de ISA
Server 2000 Server 2004 Ejemplo
Regla de ISANúmero-Nombre_regla_ISA ISA12-PublishSMTP
publicación de
servidor
Regla de ISANúmero-Nombre_regla_ISA ISA13-Publishing para
publicación de para Nombre_escucha para External IP: 122.11.223.123
Web dominio/ruta de acceso para microsoft.com/foo

Actualizar los elementos de directiva de ISA Server 2000


La mayoría de los elementos de la directiva de ISA Server 2000 se actualizan a ISA
Server 2004, tal como se detalla en las secciones siguientes.
Conjuntos de direcciones de clientes
En ISA Server 2000, los conjuntos de direcciones de clientes incluían direcciones IP e
intervalos de direcciones IP. Se utilizaban conjuntos de direcciones de clientes en las
reglas de sitio y contenido, así como en las reglas de protocolo, y no en las de
publicación.
En ISA Server 2004, los conjuntos de direcciones de clientes se sustituyen por
conjuntos de equipos. Por cada regla de ISA Server 2000 que se aplique a un
conjunto de direcciones cliente que se actualice, se crea un nuevo conjunto de
equipos en ISA Server 2004. Las reglas actualizadas se aplican al nuevo conjunto,
que incluye las mismas direcciones IP que el conjunto de direcciones cliente
originales de ISA Server 2000.
Grupos de contenido
Los grupos de contenido de ISA Server 2000 se actualizan directamente a ISA
Server 2004. Si existe un grupo de contenido con el mismo nombre en ISA
Server 2004, no se importa el grupo de ISA Server 2000.
Conjuntos de destinos
Los conjuntos de destinos de ISA Server 2000 podían incluir nombres de equipo,
direcciones IP, intervalos de direcciones IP, nombres de dominio y rutas de acceso
en los equipos. Estos conjuntos se utilizan en las reglas de sitio y contenido, así
como en las reglas de publicación.
ISA Server 2004 no utiliza conjuntos de destinos. En su lugar, se presentan otros
elementos que pueden utilizarse de forma flexible con reglas de acceso y de
publicación.
La siguiente tabla describe cómo se asignan los conjuntos de destinos de ISA Server
2000 a diversos objetos de red de ISA Server 2004.
Elemento de directiva
de ISA Server 2000 Objeto de red de ISA Server 2004
Conjunto de destinos con Conjunto de nombres de dominio
comodines
Conjunto de destinos con Conjunto de direcciones URL
ruta de acceso
Conjunto de destinos con Conjunto de direcciones URL
una sola dirección IP
Conjunto de destinos con Conjunto de direcciones URL
una sola dirección IP con
ruta de acceso
Conjunto de destinos con Conjunto de equipos
intervalo de direcciones
IP
Conjunto de destinos con Conjunto de direcciones URL
intervalo de direcciones Nota
IP y ruta de acceso • Si el conjunto de destinos del servidor ISA incluye
más de cinco direcciones IP, no se crea ninguna
dirección URL. En este caso, se incluye una
advertencia en el archivo de registro. Además, si
se aplica una regla a este conjunto de destino, no
se actualiza y se incluye un mensaje en el archivo
de registro.
La siguiente tabla muestra ejemplos de cómo se actualizan los conjuntos de destino
de ISA Server 2000.
Conjunto de destinos en ISA
Server 2000 Objeto de red en ISA Server 2004
Conjunto de destinos con Conjunto de nombres de dominio con
mayah.microsoft.com mayah.microsoft.com
Conjunto de destinos con Conjunto de nombres de dominio con
eitanh.microsoft.com y con ruta de eitanh.microsoft.com y
acceso foo conjunto de direcciones URL con
http://eitanh.microsoft.com/foo/
Conjunto de destinos con intervalo Conjunto de equipos con intervalo entre
de direcciones IP 192.168.123.134 192.168.123.134 y 192.168.123.134
(IP única) y ruta de acceso foo Conjunto de direcciones URL con
http://192.168.123.134/foo/
Conjunto de destinos con Conjunto de equipos con intervalos de
yairh.microsoft.com y ruta de direcciones IP entre 1.2.3.4 y 1.2.3.4, e
acceso /foo, con dirección IP intervalos de direcciones IP entre 1.2.3.4 y
1.2.3.4 y ruta de acceso boo y con 1.2.3.5.
intervalo de direcciones IP entre Conjunto de nombres de dominio con
1.2.3.4 y 1.2.3.5, y ruta de acceso yairh.microsoft.com
/home y conjunto de direcciones URL con
http://yairh.microsoft.com/foo,
http://1.2.3.4/boo, http://1.2.3.4/home
y http://1.2.3.5/home
Conjuntos y reglas de destinos
La siguiente tabla describe la configuración de reglas de ISA Server 2004 de los
conjuntos de destinos originalmente utilizados en las reglas actualizadas desde ISA
Server 2000.
ISA Server 2000 ISA Server 2004
Todos los destinos El valor de la propiedad Para se establece en En cualquier
lugar.
Todos los destinos El valor de la propiedad Para se establece en Red interna.
internos El valor de la red de destino se establece en Interno.
Todos los destinos El valor de la propiedad Para se establece en Red externa.
externos El valor de la red de destino se establece en Externo.
Destino seleccionado El valor de la propiedad A se establece en los conjuntos de
equipos, nombres de dominio y conjuntos de direcciones URL,
que corresponden al conjunto de destinos original.
Definiciones de protocolo
ISA Server 2000 incluía dos tipos de definiciones de protocolo:
• Definiciones de protocolo explícitamente definidas. Elementos de
protocolo creados en la instalación, por el servidor ISA, o creados
posteriormente por un usuario.
• Definiciones de protocolo implícitamente definidas. Utilizadas por filtros
de aplicación específicos o por filtros de paquetes IP.
La herramienta de migración crea definiciones de protocolo correspondientes en ISA
Server 2004 para todos los elementos de protocolo definidos explícitamente. Si
ISA Server 2004 ya tiene una definición de protocolo con el mismo nombre, no se
importará la definición de protocolo de ISA Server 2000.
No se actualizan las definiciones de protocolo definidas implícitamente, creadas por
filtros de aplicación de terceros. Un mensaje de advertencia así lo indica en el
archivo de registro de migración. Se actualizan las definiciones de protocolo definidas
implícitamente, utilizadas con filtros de paquetes IP.
No se actualizan las definiciones de protocolo que no se puede identificar mediante la
herramienta de migración. Se eliminan todas las reglas que se aplican a definiciones
de protocolo no identificadas.
Programación
ISA Server 2000 programa la actualización directamente en ISA Server 2004.
Cualquier regla de ISA Server 2000 que no tenga específicamente un programa con
el mismo nombre que la regla, hará referencia a los programas creados, con dicho
nombre, en ISA Server 2004.
Se puede crear un nuevo programa en ISA Server 2004 cuando se utilicen dos
programas mediante una regla de sitio y contenido, y mediante una regla de
protocolo en ISA Server 2000.
Escuchas de web
ISA Server 2000 incluía escuchas entrantes y salientes en una dirección IP
específica. En ISA Server 2004, las escuchas de web se pueden asignar a una red
completa o a una dirección IP específica.
Las escuchas entrantes de ISA Server 2000 se actualizan a ISA Server 2004 como
escuchas de web de la red externa.
Las escuchas salientes predeterminadas de ISA Server 2000 se actualizan a ISA
Server 2004 como escuchas de web de la red interna. Si no se utiliza la escucha
predeterminada, no se actualiza ninguna escucha. Esto se anota en el archivo de
registro.
Observe que la dirección IP real del adaptador de red externo del equipo ISA
Server 2000 original se guarda en el archivo .xml con la información de
configuración. Si ISA Server 2004 está instalado en un equipo distinto, debe corregir
la dirección IP después de importar el archivo .xml.
Convenciones de nomenclatura
La siguiente tabla detalla las convenciones de nomenclatura de los nuevos elementos
de regla.
Elemento de directiva de
ISA Server 2000 Elemento de regla de ISA Server 2004
Conjunto de destinos, crea el Conjunto de equipos con
conjunto de equipos Nombre_conjunto_destinos
Conjunto de destinos, crea el Conjunto de direcciones URL con
conjunto de direcciones URL Nombre_conjunto_destinos
Escucha de web predeterminada Escucha de web predeterminada externa
Programa combinado NombrePrograma1_NombrePrograma2

Actualizar la configuración de clientes y redes de ISA Server 2000


La configuración de red y cliente de ISA Server 2000 se actualiza a ISA Server 2004,
tal como se detalla en las siguientes secciones.
Redes
ISA Server 2000 admite solamente dos tipos de redes: interna y externa. Se puede
admitir una red perimetral (también conocida como DMZ, zona desmilitarizada o
subred filtrada) mediante la creación de filtros de paquetes para enrutar el tráfico
desde la red externa a esta red.
ISA Server 2004 es compatible con muchas redes. Las redes siguientes se crean de
forma predeterminada en ISA Server 2004:
• Interna, derivada de la tabla de direcciones locales (LAT) de ISA Server 2000.
La red interna de ISA Server 2004 no incluye direcciones IP del grupo de
direcciones estáticas de VPN de ISA Server 2000. Tampoco incluye la
dirección de difusión.
• Externa
• Host local
• Clientes de VPN
La herramienta de migración crea las siguientes reglas de red en ISA Server 2004:
• Regla de red que define una relación de ruta entre el host local y la red
interna.
• Regla de red que define una relación de ruta entre la red perimetral y la red
externa.
• Regla de red que define una relación NAT entre la red interna y la red
perimetral.
Tabla de dominios locales
La tabla de dominios locales (LDT) se migra, tal y como está, a ISA Server 2004 . Si
la tabla LDT de ISA Server 2000 incluye direcciones IP, éstas no se migrarán a ISA
Server 2004.
Configuración de cliente
En ISA Server 2004, la configuración de cliente se establece en la red
correspondiente. La configuración de cliente de ISA Server 2000 se actualiza
directamente a la configuración de cliente de la red interna de ISA Server 2004.
Como ocurre en ISA Server 2000, la configuración de aplicación de cliente del
servidor de seguridad de ISA Server 2004 se aplica a todas las peticiones de cliente.
La configuración de aplicación del cliente del servidor de seguridad se actualiza
directamente a ISA Server 2004.

Actualizar la configuración de enrutamiento, encadenamiento y marcado de


ISA Server 2000
La mayor parte de los valores de configuración de enrutamiento, encadenamiento y
marcado de ISA Server 2000 se actualizan a ISA Server 2004, como se detalla en las
secciones siguientes.
Conexiones de acceso telefónico
En ISA Server 2000, se podían crear varias conexiones de acceso telefónico, pero
sólo una podía estar activa cada vez. En ISA Server 2004, sólo se puede crear una
única conexión.
En ISA Server 2000, la conexión de acceso telefónico se definía por cliente del
servidor de seguridad y por cliente proxy Web. En ISA Server 2004, la conexión de
acceso telefónico se define por redes.
Como parte del proceso de actualización, sólo se actualiza la conexión de acceso
telefónico activa. Se asigna a la red externa.
No se actualizan las demás conexiones de acceso telefónico. Esta información se
incluye en el archivo de registro de actualización.
Encadenamiento del servidor de seguridad
La configuración de encadenamiento de ISA Server 2000 se actualiza directamente a
ISA Server 2004. La única excepción es la conexión de acceso telefónico especificada
en ISA Server 2000. En ISA Server 2004, la conexión de acceso telefónico se crea en
la red externa.
Reglas de enrutamiento
Cada regla de enrutamiento de ISA Server 2000 se duplica en ISA Server 2004 como
una regla de caché y como una regla de enrutamiento.
La regla de enrutamiento de ISA Server 2004 se crea con las mismas propiedades
que la regla de enrutamiento original de ISA Server 2000. Los destinos especificados
para la regla de enrutamiento de ISA Server 2000 se asignan a redes específicas en
la página de propiedades A de las propiedades de la regla de enrutamiento de
ISA Server 2004.
Si la regla de enrutamiento de ISA Server 2000 utiliza una entrada de acceso
telefónico, se crea una entrada de acceso telefónico con las mismas propiedades en
la red externa de ISA Server 2004.
Se crea también una regla de caché nueva basada en la regla de enrutamiento
original de ISA Server 2000. Los destinos especificados para la regla de
enrutamiento de ISA Server 2000 se asignan a redes específicas en la página de
propiedades A de las propiedades de la regla de enrutamiento de ISA Server 2004.
Las siguientes propiedades no son compatibles con las reglas de caché de ISA Server
2004 y, por consiguiente, no se actualizan desde la regla de enrutamiento original de
ISA Server 2000: enlazar y acción.

Actualizar la configuración de complementos de ISA Server 2000


La mayoría de las reglas de directiva de acceso, las reglas de publicación y los filtros
de paquetes IP de ISA Server 2000 se actualizan a ISA Server 2004, tal como se
detalla en las secciones siguientes.
En ISA Server 2000, los filtros de aplicación se aplicaban sin condiciones a un
determinado tráfico. En ISA Server 2004, algunos filtros pueden aplicarse de forma
individual para cada regla. La tabla siguiente describe la forma en que se actualizan
las funciones de los filtros de aplicación de ISA Server 2000 a ISA Server 2004.
Nota:
• Asegúrese de eliminar todos los filtros de aplicación o filtros Web
propocionados por otros proveedores antes de realizar la actualización. Si
estos filtros de aplicación o Web también se encuentran disponibles para ISA
Server 2004, puede volver a instalarlos después de la actualización.
Filtro de
aplicación o
regla ISA Server 2000 ISA Server 2004
Acceso a FTP Reglas de protocolo que se Regla de acceso con la opción Sólo
aplican a FTP lectura del filtrado FTP
deshabilitada
Reglas de protocolo que se Regla de acceso con la opción Sólo
aplican a la descarga FTP lectura del filtrado FTP habilitada
Reglas de protocolo que se Regla de publicación de servidor
aplican al servidor FTP con la opción Sólo lectura del
filtrado FTP deshabilitada
Filtro H.323 Permitir llamada entrante Filtrar escuchas en la red externa
Permitir llamadas salientes Filtrar escuchas en la red interna
Resto de configuraciones Igual que en ISA Server 2000
Redirección de Todas las configuraciones No se admite
HTTP
Filtro RPC Todas las configuraciones Sustituido por el filtrado por regla
Filtro SMTP Comandos SMTP Igual que en ISA Server 2000
Datos adjuntos, usuarios y Se actualizan a una regla de
dominios, y palabras clave publicación de servidor de SMTP de
forma individual para cada regla
Filtro SOCKS V4 Habilitado Escuchar peticiones de SOCKS
iniciadas desde la red interna
Medios de Filtro MMS, filtro PNM y La misma configuración que ISA
transmisión por filtro RTSP: cualquier Server 2000
secuencias configuración No se admite la división de
transmisión por secuencias MMS
Los valores de configuración de los siguientes filtros de aplicación se actualizan
directamente a ISA Server 2004:
• Filtro de detección de intrusiones DNS
• Filtro de detección de intrusiones POP
Si el filtro de mensajes no está instalado en el equipo que se va a actualizar a ISA
Server 2004, se bloqueará todo el tráfico proveniente del equipo del filtro de
mensajes a menos que configure específicamente ISA Server 2004 para permitir el
tráfico desde y a la red interna, y desde y a la red de host local. Del mismo modo,
puede agregar una regla que permita el tráfico de Control de Firewall de Microsoft
desde el equipo del filtro de mensajes al equipo de host local.
Algunas propiedades del filtro de aplicación se configuran de distinta forma en ISA
Server 2004 que en ISA Server 2000.
Tenga en cuenta que los filtros de aplicación de terceros no se actualizan. De la
misma forma, tampoco se actualiza ninguna definición de protocolo instalada con el
filtro de aplicación. No se actualiza ninguna de las reglas que se aplican a estas
definiciones de protocolo.
Actualizar la configuración de la caché de ISA Server 2000
La mayoría de los valores de configuración de la caché de ISA Server 2000 se
actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes.
Almacenamiento en caché
La mayoría de las propiedades de la caché de ISA Server 2000 se actualizan
directamente, sin cambio alguno, desde ISA Server 2000 a ISA Server 2004. Tenga
en cuenta las siguientes excepciones:
• Las propiedades generales de la caché que especifican si los objetos de la
caché deben actualizarse se actualizan a los valores por defecto que ISA
Server 2004 tiene para estas propiedades.
• No se actualizan las propiedades generales de la caché que especifican si
deben actualizarse los objetos que superan un tamaño determinado.
• Las propiedades generales de la caché que especifican si se almacena en la
caché el contenido dinámico se establecen en la regla de caché
predeterminada de ISA Server 2004.
La configuración de la unidad de la caché se mantiene en ISA Server 2004. Si la
migración se realiza a otro equipo, el equipo con ISA Server 2004 debe tener un
hardware y una configuración de unidades similares a las del equipo original con ISA
Server 2000.
Si ISA Server 2000 se instaló en modo de caché, la herramienta de migración realiza
las siguientes operaciones:
• Configura la red interna de ISA Server 2004 para incluir todas las direcciones
asociadas con el adaptador de red individual especificado en el equipo con ISA
Server 2000.
• Crea un regla de acceso que permite el acceso HTTP, HTTPS y FTP desde la
red interna a la red interna.
Trabajos programados de descarga de contenido
Los trabajos de descarga de contenido programados de ISA Server 2000 se
actualizan directamente a ISA Server 2004.

Actualizar Enrutamiento y acceso remoto de ISA Server 2000


Al instalar ISA Server 2004, puede actualizar la configuración de Enrutamiento y
acceso remoto. Es posible actualizar la configuración a ISA Server 2004, esté o no
ISA Server 2000 instalado en el equipo.
Tenga en cuenta las limitaciones siguientes sobre la actualización de la configuración
de Enrutamiento y acceso remoto:
• Para establecer el número máximo de clientes de redes privadas virtuales
remotas (VPN) que pueden conectarse a ISA Server 2004 se tiene en cuenta
el valor más grande de los siguientes en Enrutamiento y acceso remoto: el
número de puertos PPTP o el número de puertos L2TP.
• Si el número de direcciones IP asignadas estáticamente es inferior al número
de clientes de VPN, este número se reducirá para que se ajuste al tamaño del
conjunto de direcciones estáticas. Se emite una advertencia al usuario
durante el proceso de actualización de Enrutamiento y acceso remoto.
• Las claves previamente compartidas para Enrutamiento y acceso remoto no
se exportan. Se emite un mensaje de advertencia.
• Si se configura una dirección IP no válida para el servidor DNS principal, ésta
no se exportará. En su lugar, se utilizarán los valores de DHCP y se emitirá un
mensaje de advertencia. Si se configura una dirección IP no válida para el
servidor DNS de reserva, ésta no se exportará. Se emite un mensaje de
advertencia.
• Si se configura una dirección IP no válida para el servidor WINS principal,
ésta no se exportará. En su lugar, se utilizarán los valores de DHCP y se
emitirá un mensaje de advertencia. Si se configura una dirección IP no válida
para el servidor WINS de reserva, ésta no se exportará. Se emite un mensaje
de advertencia.
• Si una conexión de sitio a sitio se configura en Enrutamiento y acceso remoto
primero como PPTP (y después como L2TP), se actualizará a la red de un sitio
remoto en ISA Server 2004 que utilice solamente PPTP. Se emite un mensaje
de advertencia.
• Si una conexión de sitio a sitio se configura en Enrutamiento y acceso remoto
primero como L2TP (y después como PPTP), se actualizará a la red de un sitio
remoto en ISA Server 2004 que utilice solamente L2TP. Se emite un mensaje
de advertencia.
• Las claves previamente compartidas para conexiones de sitio a sitio en
Enrutamiento y acceso remoto no se exportan. Se emite un mensaje de
advertencia.
• Las credenciales configuradas para conexiones de sitio a sitio en
Enrutamiento y acceso remoto tampoco se exportan. En ISA Server 2004, las
conexiones VPN salientes se deshabilitan hasta que se vuelvan a configurar.
Se emite un mensaje de advertencia.

Actualizar la configuración de revisiones y Feature Pack 1 de


ISA Server 2000
Feature Pack 1 de ISA Server 2000 presenta varias funciones nuevas, que se
incluyen en ISA Server 2004. La mayor parte de la información de configuración de
Feature Pack 1 de ISA Server 2000 se migra directamente a ISA Server 2004. Tenga
en cuenta las siguientes excepciones:
• Traducción de vínculos. Función directamente migrada a ISA Server 2004.
Tenga en cuenta lo siguiente:
• Se crea un nuevo grupo de contenido para los grupos de contenido a
los que se aplica el filtro de traducción de vínculos de ISA Server 2000.
• Con la traducción de vínculos de Feature Pack 1 de ISA Server 2000,
puede configurar si se debe evitar el almacenamiento en caché de las
respuestas en servidores proxy externos. Esta característica ya no se
admite en ISA Server 2004.
• Compatibilidad con autenticación SecurID. Función directamente
migrada a ISA Server 2004. Tenga en cuenta lo siguiente:
• En Feature Pack 1 de ISA Server 2000, la autenticación SecurID se
configuraba por regla de publicación de Web. En ISA Server 2004, se
configura para cada escucha de web. Si ISA Server 2000 tiene dos
reglas de publicación en Web con configuraciones distintas, se migran
las reglas pero se deshabilita la configuración de autenticación
SecurID.
• Para completar la migración de la configuración de autenticación
SecurID, proceda del modo siguiente:
1. Copie el archivo Sdconf.rec generado por el servidor de entrada
de control de acceso (ACE) en %SystemRoot%\System32.
2. Cree una regla de acceso que permita la comunicación entre el
host local y el servidor ACE.
• URLScan. El nombre de este filtro cambia a filtro HTTP en ISA Server 2004.
La siguiente funcionalidad, compatible con Feature Pack 1 de ISA
Server 2000, no está disponible en ISA Server 2004:
• EnableLogging
• PerProcessLogging
• AllowLateScanning
• PerDayLogging
• RejectResponseUrL
• UseFastPathReject
• DenyUrlSequences
Revisiones de ISA Server 2000
Todas las claves del registro instaladas como parte de las revisiones de ISA
Server 2000 se migran directamente a ISA Server 2004.

2. Configuraciones avanzadas de red (Firewall de 3 adaptadores,


Firewall Back-to-Back)

El servidor ISA presenta el concepto de redes múltiples. Puede utilizar las


características de redes múltiples del servidor ISA para proteger la red frente a
amenazas internas y externas a la seguridad, ya que limitan la comunicación entre
clientes, incluso dentro de la propia organización. Puede agrupar equipos de la red
interna en conjuntos de redes y configurar una directiva de acceso específica para
cada uno de ellos. También puede especificar relaciones entre las diversas redes y
determinar, de este modo, la forma en que se comunican los equipos de cada red
entre sí mediante el servidor ISA.
En un entorno de publicación normal, quizá prefiera aislar los servidores publicados
en su propia red, como una red perimetral. La funcionalidad de redes múltiples del
servidor ISA es compatible con un entorno así, para que pueda configurar la forma
en que tienen acceso a la red perimetral los clientes de la red corporativa y los
clientes de la red externa. Puede configurar las relaciones entre las diversas redes y
definir directivas de acceso diferentes entre cada red.

a. Topologías de Red

El servidor ISA incluye plantillas de red, que se corresponden con topologías de red
comunes. Las plantillas de red se pueden utilizar para configurar la directiva de
servidor de seguridad para el tráfico entre redes. El servidor ISA incluye las
siguientes plantillas de red:
• Firewall perimetral. Esta plantilla supone que hay una topología de red con
el servidor ISA en el límite de la red. Un adaptador de red se conecta a la red
interna y el otro se conecta a una red externa (Internet). Si selecciona esta
plantilla, puede permitir todo el tráfico saliente o limitar el tráfico saliente
para permitir solamente acceso a Web.
• 3-Leg Perimeter (Perímetro de 3 secciones). Esta plantilla supone que
hay una topología de red con el servidor ISA conectado a la red interna, la red
externa y una red perimetral (conocida también como DMZ, zona
desmilitarizada o subred protegida).
• Cliente. Esta plantilla supone que hay una topología de red con el servidor
ISA en el límite de la red, con otro servidor de seguridad configurado en el
servidor de servicios de fondo, para proteger la red interna.
• Servidor de servicios de fondo. Esta plantilla supone que hay una
topología de red con el servidor ISA implementado entre una red perimetral y
la red interna, con otro servidor de seguridad configurado en el servidor de
servicios de fondo para proteger la red interna.
Adaptador de red único. Esta plantilla supone que hay una configuración de un
adaptador de red único en una red perimetral o corporativa. En esta configuración, el
servidor ISA se utiliza como servidor de envío a través de proxy Web y
almacenamiento en caché.

b. Reglas de protocolos en configuraciones de firewall con 3


adaptadores

El servidor ISA incluye plantillas de red, que se corresponden con topologías de red
comunes. Un entorno implica la configuración de un equipo servidor ISA con tres
adaptadores de red: uno se conecta a Internet (red externa), otro a la red interna y
el tercero a una red perimetral. La plantilla de red perimetral de tres secciones se
aplica a este entorno.
Al configurar el servidor ISA mediante la aplicación de la plantilla de red perimetral
de tres secciones, el servidor ISA configura las reglas de red y la directiva de
servidor de seguridad de acuerdo con la directiva concreta que se seleccione.

Directiva de servidor de seguridad


Como parte del proceso de aplicación de plantillas de red, seleccione la directiva de
servidor de seguridad que más se ajuste a las instrucciones de seguridad de su
empresa. La siguiente tabla muestra una lista de las directivas de servidor de
seguridad disponibles al seleccionar la plantilla de red perimetral de tres secciones e
indica las reglas que se crean al seleccionar la directiva.
Nombre de
Descripción Reglas que se crean
directiva
Esta directiva bloquea todos los accesos de
red a través del servidor ISA. Esta opción
no crea reglas de acceso, a excepción de la
Bloquear a todos regla predeterminada, que bloquea todos Ninguna.
los accesos. Use esta opción cuando desee
definir directivas de servidor de seguridad
por cuenta propia.
Bloquear el Esta directiva bloquea todos los accesos de
Permitir tráfico DNS
acceso a Internet, red a través del servidor ISA, a excepción
desde la red interna y
permitir el acceso del acceso a los servicios de red (DNS) de la
la red de clientes de
a los servicios de red perimetral. Use esta opción cuando
VPN a la red
red en la red desee definir la directiva de servidor de
perimetral.
perimetral seguridad por cuenta propia.
Esta directiva bloquea todos los accesos de
Bloquear el red a través del servidor ISA, a excepción Permitir tráfico DNS
acceso a Internet, del acceso a los servicios de red externos, desde la red interna, la
pero permitir el como DNS. Esta opción es útil cuando el ISP red de clientes de VPN
acceso a los es el que proporciona los servicios de red. y la red perimetral
servicios de red Use esta opción cuando desee definir hacia la red externa
del ISP directivas de servidor de seguridad por (Internet).
cuenta propia.
Permitir tráfico HTTP,
HTTPS y FTP desde la
red interna y la red de
Esta directiva permite acceso a Web clientes de VPN hasta
Permitir acceso a limitado mediante el uso exclusivo de HTTP, la red perimetral y la
web limitado HTTPS y FTP. Esta directiva bloquea los red externa (Internet).
restantes accesos de red. Permitir todos los
protocolos desde la red
de clientes de VPN
hacia la red interna.
Permitir tráfico HTTP,
HTTPS y FTP desde la
red interna y la red de
clientes de VPN hacia
Esta directiva permite acceso a Web
la red perimetral y la
Permitir acceso a limitado mediante el uso exclusivo de HTTP,
red externa (Internet).
web limitado, HTTPS y FTP, y permite el acceso a los
Permitir tráfico DNS
permitir el acceso servicios de red de la red perimetral. Los
desde la red interna y
a los servicios de restantes accesos de red están bloqueados.
la red de clientes de
red de la red Esta opción es útil cuando los servicios de
VPN hacia la red
perimetral infraestructura de red están disponibles en
perimetral.
la red perimetral.
Permitir todos los
protocolos desde la red
de clientes de VPN
hacia la red interna.
Permitir acceso a Esta directiva permite el acceso limitado a Permitir tráfico HTTP,
web limitado, Internet y permite el acceso a los servicios HTTPS y FTP desde la
permitir servicios de red, como DNS, que proporciona su ISP. red interna y la red de
clientes de VPN hacia
la red externa
(Internet).
Permitir DNS desde la
red interna, la red de
Los restantes accesos de red están clientes de VPN y la
de red del ISP
bloqueados. red perimetral hacia la
red externa (Internet).
Permitir todos los
protocolos desde la red
de clientes de VPN
hacia la red interna.
Permitir todos los
protocolos desde la red
Esta directiva permite el acceso a Internet
interna y la red de
sin restricciones a través del servidor ISA.
clientes de VPN hacia
El servidor ISA prevendrá el acceso de
Permitir todos los la red perimetral y la
Internet a las redes protegidas.
protocolos red externa (Internet).
Puede modificar las reglas de acceso más
Permitir todos los
tarde para bloquear determinados tipos de
protocolos desde la red
acceso de red.
de clientes de VPN
hacia la red interna.
c. Reglas de protocolos en configuraciones de firewall Back-to-
Back

Plantilla de red de servidor de seguridad de cliente


El servidor ISA incluye plantillas de red, que se corresponden con topologías de red
comunes. Un entorno implica que el equipo servidor ISA se implementa en los límites
de una red, con otro servidor de seguridad configurado en el servidor de servicios de
fondo para proteger la red interna. En este entorno, el servidor ISA actúa como línea
delantera de defensa en una configuración opuesta de red perimetral. La plantilla de
red de cliente se aplica a este entorno.
Al configurar el servidor ISA mediante la aplicación de la plantilla de red de cliente, el
servidor ISA configura las reglas de red y la directiva de servidor de seguridad
conforme a la directiva concreta que se seleccione.
Directiva de servidor de seguridad
Como parte del proceso de aplicación de plantillas de red, seleccione la directiva de
servidor de seguridad que más se ajuste a las instrucciones de seguridad de su
empresa. La siguiente tabla muestra una lista de las directivas de servidor de
seguridad disponibles al seleccionar la plantilla de red de cliente e indica las reglas
que se crean al seleccionar cada directiva.
Nombre de Reglas que se
Descripción
directiva crean
Esta directiva bloquea todo el acceso a redes
a través del servidor ISA. Esta opción no
crea reglas de acceso, a excepción de la
Bloquear a todos regla predeterminada, que bloquea todos los Ninguna.
accesos. Use esta opción cuando desee
definir directivas de servidor de seguridad
por cuenta propia.
Esta directiva bloquea todo el acceso a redes
Permitir DNS desde
a través del servidor ISA, excepto el acceso
Bloquear acceso a la red de clientes de
a los servicios de red externos, como DNS.
Internet, permitir VPN y la red
Esta opción es útil cuando el ISP es el que
acceso a servicios perimetral hacia la
proporciona los servicios de red. Use esta
de red ISP red externa
opción cuando desee definir directivas de
(Internet).
servidor de seguridad por cuenta propia.
Esta directiva bloquea todos los accesos de
Bloquear acceso a Permitir DNS desde
red a través del servidor ISA, a excepción
Internet (los la red interna y la
del acceso a los servicios de red, como DNS,
servicios de red red de clientes de
de la red perimetral. Use esta opción cuando
están en la red VPN hacia la red
desee definir la directiva de servidor de
perimetral) perimetral.
seguridad por cuenta propia.
Permitir HTTP, HTTPS
y FTP desde la red de
clientes de VPN y la
Permitir acceso a red perimetral hacia
web limitado (los Esta directiva permite el acceso a Web la red externa
servicios de red limitado. Los demás accesos a redes están (Internet).
están en la red bloqueados. Permitir todos los
perimetral) protocolos desde la
red de clientes de
VPN hacia la red
perimetral.
Permitir acceso de Esta directiva permite el acceso de Web Permitir HTTP, HTTPS
web limitado, limitado y permite el acceso a los servicios y FTP desde la red
permitir servicios de red, como DNS, que proporciona su ISP. perimetral y la red
de red del ISP Los demás accesos a redes están de clientes de VPN
bloqueados. hacia la red externa
(Internet).
Permitir DNS desde
la red interna, la red
de clientes de VPN y
la red perimetral
hacia la red externa
(Internet).
Permitir todos los
protocolos desde la
red de clientes de
VPN hacia la red
perimetral.
Permitir todos los
protocolos desde la
Esta directiva permite el acceso sin red perimetral y la
restricciones a Internet a través del servidor red de clientes de
ISA. El servidor ISA prevendrá el acceso VPN hacia la red
Permitir acceso sin
desde Internet hacia las redes protegidas. externa (Internet).
restricciones
Puede modificar las reglas de acceso más Permitir todos los
adelante para bloquear tipos específicos de protocolos desde la
acceso a redes. red de clientes de
VPN hacia la red
perimetral.

Plantilla de red de servidor de servicios de fondo


El servidor ISA incluye plantillas de red, que se corresponden con topologías de red
comunes. Un entorno implica que el equipo servidor ISA se implementa entre una
red perimetral y la red interna, con otro servidor de seguridad configurado en el
servidor de servicios de fondo para proteger la red interna. En este entorno, el
servidor ISA actúa como línea de fondo de defensa en una configuración opuesta de
red perimetral. La plantilla de red de servidor de servicios de fondo se aplica a este
entorno.
Al configurar el servidor ISA mediante la aplicación de la plantilla de red de servidor
de servicios de fondo, el servidor ISA configura las reglas de red y la directiva de
servidor de seguridad conforme a la directiva concreta que se seleccione.
Directiva de servidor de seguridad
Como parte del proceso de aplicación de plantillas de red, seleccione la directiva de
servidor de seguridad que más se ajuste a las instrucciones de seguridad de su
empresa. La siguiente tabla muestra una lista de las directivas de servidor de
seguridad disponibles al seleccionar la plantilla de red de servidor de servicios de
fondo e indica las reglas que se crean al seleccionar cada directiva.
Nombre de
Descripción Reglas que se crean
directiva
Esta directiva bloquea todo el acceso a
redes a través del servidor ISA. Esta
opción no crea reglas de acceso, a
Sin acceso: Bloquear excepción de la regla predeterminada,
Ninguna.
a todos que bloquea todos los accesos. Use
esta opción cuando desee definir
directivas de servidor de seguridad por
cuenta propia.
Esta directiva bloquea todo el acceso a
Sin acceso: Bloquear redes a través del servidor ISA,
Permitir DNS desde la
acceso a Internet excepto el acceso a los servicios de red
red interna y la red de
(los servicios de red (DNS) de la red perimetral.
clientes de VPN hacia la
están en la red Use esta opción cuando desee definir
red perimetral.
perimetral) directivas de servidor de seguridad por
cuenta propia.
Esta directiva bloquea todo el acceso a
redes a través del servidor ISA,
excepto el acceso a los servicios de red Permitir DNS desde la
Sin acceso: Bloquear externos, como DNS. Esta opción es red interna y la red de
acceso a Internet, útil cuando el ISP es el que proporciona clientes de VPN hacia la
permitir acceso a los servicios de red. red externa (Internet),
servicios de red ISP Use esta opción cuando desee definir excepto el intervalo de
las reglas de acceso de la directiva de direcciones perimetrales
servidor de seguridad por cuenta
propia.
Permitir HTTP, HTTPS y
FTP desde la red interna
y la red de clientes de
Acceso restringido: Esta directiva permite el acceso a Web VPN hacia la red externa
Permitir acceso a limitado. Los demás accesos a redes (Internet).
web limitado están bloqueados. Permitir todos los
protocolos de la red de
clientes de VPN hacia la
red interna.
Acceso restringido: Esta directiva permite el acceso a Web Permitir HTTP, HTTPS y
Permitir acceso a limitado y el acceso a los servicios de FTP desde la red interna
web limitado (los red de la red perimetral. Los demás y la red de clientes de
servicios de red accesos a redes están bloqueados. VPN hacia la red
están en la red perimetral y la red
perimetral) externa (Internet).
Permitir DNS desde la
red interna y la red de
clientes de VPN hacia la
red perimetral.
Permitir todos los
protocolos desde la red
de clientes de VPN hacia
la red interna.
Permitir HTTP, HTTPS y
FTP desde la red interna
y la red de clientes de
VPN hacia la red externa
(Internet).
Permitir DNS desde la
Acceso restringido: Esta directiva permite el acceso de web
red interna y la red de
Permitir acceso de limitado y permite el acceso a los
clientes de VPN hacia la
web limitado, servicios de red, como DNS, que
red externa (Internet),
permitir acceso a proporciona su ISP. Los demás accesos
excepto el intervalo de
servicios de red ISP a redes están bloqueados.
direcciones del
perímetro.
Permitir todos los
protocolos desde la red
de clientes de VPN hacia
la red interna.
Permitir todos los
protocolos desde la red
Esta directiva permite el acceso sin
interna y la red de
restricciones a Internet a través del
clientes de VPN hacia la
Acceso a Internet sin servidor ISA. El servidor ISA prevendrá
red externa y el
restricciones: el acceso desde Internet hacia las
intervalo de direcciones
Permitir todos los redes protegidas. Puede modificar las
del perímetro.
protocolos reglas de acceso más adelante para
Permitir todos los
bloquear tipos específicos de acceso a
protocolos desde la red
redes.
de clientes de VPN hacia
la red interna.

3. Configuración de acceso a sitios web corporativos (Web Publishing)

Escuchas de red
Al crear una regla de publicación de servidor para publicar un servidor, en realidad,
está configurando el servidor ISA para que esté atento a las peticiones de clientes en
nombre de ese servidor. En otras palabras, debe configurar una escucha de red en el
equipo servidor ISA que espera peticiones de clientes. Al configurar una escucha de
red, debe especificar la red correspondiente al adaptador de red en el equipo
servidor ISA que estará atento a las peticiones entrantes para el servidor publicado.
La escucha puede estar atenta a todas las direcciones IP asociadas a una red o a
direcciones IP específicas.
El servidor ISA está atento al adaptador de red especificado, utilizando el número de
puerto asociado al protocolo que está publicando el servidor.

Selección de redes de escucha (direcciones IP)


La red o redes de escucha que seleccione dependen de las redes desde la que se
conectarán los clientes al servidor publicado. Por ejemplo, si el servicio que va a
publicar acepta peticiones de clientes de Internet (una red externa), debería
seleccionar la red externa para la escucha. Al seleccionar la red externa, se
seleccionan las direcciones IP en el equipo servidor ISA asociado al adaptador de red
externo. Si no limita las direcciones IP, todas aquéllas asociadas al adaptador de red
externo se incluirán en la configuración de la escucha.
Además, para que funcione la red, los orígenes de tráfico (entidades de red)
especificados en la ficha De de las propiedades de la regla de publicación deben
incluirse en una red seleccionada como escucha de red.

a. Publicación estándar

El servidor ISA utiliza las reglas de publicación de Web para aliviar los problemas
asociados con el contenido de publicación de Web sin comprometer la seguridad de
red. Las reglas de publicación de Web determinan cómo debe interceptar el servidor
ISA las peticiones entrantes para los objetos HTTP (protocolo de transferencia de
hipertexto) en un servidor Web y cómo debe responder el servidor ISA en
representación del servidor Web. Las peticiones se envían seguidamente al servidor
Web ubicado detrás del equipo servidor ISA. Si es posible, la petición se atiende
desde la caché del servidor ISA.

Las reglas de publicación de Web asignan peticiones entrantes a los servidores Web
correspondientes. También permiten la configuración de las funciones avanzadas de
filtrado, publicando la información basada en Web mientras la protegen de un acceso
malintencionado.

Nota

Las reglas nuevas sólo se aplican a las conexiones nuevas.


Cuando configure reglas de publicación de Web, especifique lo siguiente:

Nombre (o dirección IP) del servidor Web. Puede limitar la aplicación de la regla a
todos los sitios Web del servidor o a un sitio Web específico.
Asignación de ruta de acceso. Antes de reenviar una petición, el servidor ISA puede
modificar la ruta externa especificada en la petición y asignarla a la ruta interna
correspondiente.
Usuarios o equipos con acceso al servidor Web publicado.
Origen. Los objetos de red que pueden tener acceso al servidor Web publicado.
Tenga en cuenta que los objetos de red que especifique deben incluirse también en
la escucha de web especificada para esta regla de publicación de Web.
Escucha de web. Se trata de la dirección IP del equipo servidor ISA que está atenta a
las peticiones de los clientes.

Protocolo de puente. Con el protocolo de puente, puede configurar el envío de las


peticiones HTTP al servidor publicado.
Traducción de vínculos. Con la traducción de vínculos, puede configurar cómo el
servidor ISA examina las página Web en busca de vínculos y las actualiza con el
nombre y la ruta externos.
Además, puede filtrar las peticiones efectuadas al servidor Web, configurarndo el
filtrado HTTP.

Importante

Es recomendable no permitir la función de examinar directorios en el servidor Web


publicado por el servidor ISA. Además, el servidor Web no puede requerir
autenticación implícita ni básica. En caso de que requiera autenticación, es posible
que el nombre interno o la dirección IP del servidor Web aparezcan en Internet.
Acción
Las reglas de publicación de Web especifican el servidor, si existe alguno, que
devolverá el objeto solicitado. La petición puede descartarse o redirigirse a un sitio
alternativo, normalmente, a un servidor Web de la red corporativa.

Al configurar la regla para redirigir las peticiones a un sitio alojado, el servidor ISA
recupera el objeto a partir de la ruta especificada en la petición del equipo host. Por
ejemplo, imagine que especifica que el servidor ISA redirija las peticiones de
example.microsoft.com/development a un equipo host llamado Dev. Cuando un
cliente solicita un objeto de example.microsoft.com/development, el servidor ISA
recupera el objeto en la carpeta de desarrollo en el equipo Dev.

Las reglas de publicación de Web determinan el destino solicitado al leer el


encabezado del host.

Asignación de ruta de acceso


Antes de reenviar una petición a un servidor Web publicado, el servidor ISA
comprueba la ruta (externa) especificada en la petición. Si configura la asignación de
ruta de acceso, el servidor ISA reemplazará la ruta especificada por el nombre de
ruta correspondiente. Tenga en cuenta que cada ruta que especifique debe ser
distinta y única.

Siga esta directrices para especificar la asignación de ruta de acceso:

Al especificar la ruta interna a la que se asignará la petición, emplee este


formato: /miruta/*.
No se puede utilizar un carácter comodín en la ruta. Por ejemplo, no especifique
miruta*/ o /miruta*.
Evite especificar un nombre de archivo cuando configure la asignación de ruta de
acceso. De lo contrario, tenga en cuanto que sólo se atenderá una petición para la
ruta exacta.

Protocolo de puente
Al crear una regla de publicación de Web, puede proteger aún más la comunicación
HTTP. Aunque la comunicación inicial utilice HTTP, una vez el servidor ISA reciba la
petición, puede redirigirse la comunicación utilizando SSL. Si la petición se redirige
como una petición SSL, se cifrarán los paquetes. A esta redirección también se le
conoce como protocolo de puente.

Puede establecer que las peticiones HTTP o SSL se procesen como peticiones FTP
(protocolo de transferencia de archivos) en el servidor Web. Si el cliente externo
solicita un objeto mediante HTTP o SSL, el servidor ISA puede redirigir la petición al
servidor Web interno mediante FTP. Si configura el protocolo de puente de esta
forma, podrá especificar el puerto que debe utilizarse al enlazar las peticiones de
FTP.

El servidor Web que precede en la cadena puede requerir un certificado de cliente.


En tal caso, configure el servidor ISA para que se autentique con un certificado de
cliente específico.

Si configura la regla de publicación de Web para que requiera un canal seguro, todas
las peticiones de clientes para los destinos especificados deben encontrarse en el
puerto indicado para las conexiones SSL.

Publicación de sitios Web con el mismo nombre de dominio


Los cliente identifican los sitios Web publicados por su nombre de dominio completo
(FQDN), tal y como los publicó el servidor ISA. Es decir, el nombre de dominio
completo del sitio Web es el nombre configurado en la regla de publicación de Web.
Si se publican varios servidores Web con el mismo nombre de dominio completo, el
cliente supone que los dos sitios publicados son realmente el mismo. En otras
palabras, el cliente Web puede enviar la información destinada a un servidor Web al
otro servidor Web.

Orden de reglas
Las reglas de publicación de Web se procesan junto con las reglas de directiva de
servidor de seguridad. Se procesan en orden, para cada petición de Web entrante.
Cuando la regla coincide con una petición, ésta se enruta y se almacena en caché de
la forma especificada. Si no coincide ninguna regla con la petición, el servidor ISA
procesa la regla predeterminada y descarta la petición.

b. Publicación de OWA

Microsoft Internet Security and Acceleration (ISA) Server 2004 y Microsoft Outlook
Web Access pueden combinarse para mejorar la seguridad de los mensajes de correo
electrónico. Puede publicar de forma segura servidores Outlook Web Access con
reglas de publicación de servidor de correo.

Al publicar servidores Outlook Web Access mediante el servidor ISA, protege el


servidor Outlook Web Access frente a un acceso externo directo, ya que el nombre y
la dirección IP de este servidor no son accesibles para el usuario. El usuario accede
al equipo servidor ISA, que reenvía a continuación la petición al servidor Outlook
Web Access en función de las condiciones de la regla de publicación de servidor de
correo.

El Asistente para publicación de servidor de correo le conduce por los pasos


necesarios pata publicar servidores Outlook Web Access de forma segura. Dado que
el servidor Outlook Web Access requiere que el cliente solicite el nombre de dominio
completo (FQDN), el asistente configura el servidor ISA para que reenvíe el
encabezado de host original al servidor Outlook Web Access publicado.

Después de completar el asistente, se especifican las siguientes rutas para la regla


de publicación de Web resultante:

• /exchange/*
• /exchweb/*
• /public/*

Para obtener información detallada acerca de cómo publicar entornos Outlook Web Access con el servidor
ISA, vea el documento "Publicación del servidor Outlook Web Access en ISA Server 2004", disponible en el
sitio Web del servidor ISA(http://www.microsoft.com/isaserver).

Publicación de servidores Outlook Web Access

Al crear la regla de publicación de servidor de correo, tenga en cuenta lo siguiente:

• Debe especificar sólo puertos estándares, tanto en el servidor ISA como en el


servidor OWA. El puerto estándar para HTTP es 80 y el puerto estándar para
HTTPS es 443.
• Al publicar el servidor OWA, no puede configurar el protocolo de puente para
que se reenvíen las peticiones HTTP como peticiones HTTPS.
• Si configura el protocolo de puente, especificando que las peticiones HTTPS
deben reenviarse como peticiones HTTP al servidor OWA, no habilite la
traducción de vínculos.

Publicar Outlook Mobile Access y Exchange Application Services

Como parte del Asistente para publicación de servidor de correo, puede seleccionar
configurar la publicación de Outlook Web Access y Exchange Application Services,
que, al igual que Outlook Web Access, son servidores de correo basados en Web. Si
publica Outlook Mobile Access y Exchange Application Services, se especificarán las
rutas de acceso siguientes para la regla de publicación resultante:

• /OMA/*
• /Microsoft-Server-ActiveSync/*

Escuchas de web para la publicación de Outlook Web Access

La escucha de web que configure para la publicación de Outlook Web Access puede
configurarse para que utilice la autenticación basadas en formas. Si configura
conexiones seguras con los clientes, asegúrese de que la escucha atiende las
peticiones en un puerto HTTPS.

En este caso, los formularios de autenticación se atenderán desde el equipo servidor


ISA, habilitando la autenticación basada en formas al publicar Exchange 2000 Server
y Exchange Server versión 5.5.

Importante
• Por razones de seguridad, se recomienda que la escucha de web configurada
para la publicación Outlook Web Access no se utilice para ningún otro entorno
de publicación.

Autenticación basada en formularios

Como parte del asistente, especifique la escucha que desea utilizar para las
peticiones Outlook Web Access entrantes.

Cuando configure Outlook Web Access, le recomendamos que utilice la autenticación


basada en formas. Con esta autenticación se evita el peligro inherente al
almacenamiento en caché de credenciales de cliente en el equipo cliente. El
almacenamiento en caché de credenciales es arriesgado en entornos de pantalla
completa. Como las credenciales se almacenan en caché, aunque el usuario cierre la
sesión, si la ventana del explorador se queda abierta, un usuario malintencionado
puede lograr acceso a la sesión original de Outlook Web Access.

Para habilitar la autenticación basada en formas, debe especificar una escucha


configurada para utilizar este tipo de autenticación.

El servidor ISA admite la autenticación basada en formas al publicar Exchange


Server 2003, Exchange 2000 Server y Exchange Server, versión 5.5.

Nota

• La autenticación basada en formas no se puede utilizar con clientes Outlook


Mobile Access.

Modo de protocolo de puente

Como parte del asistente para la regla de publicación de Outlook Web Access, puede
especificar el modo de protocolo de puente que desea utilizar:

• Conexión segura a clientes. Si se selecciona esta opción, el servidor ISA


establece una conexión segura con los equipos cliente y una conexión
estándar con el servidor de correo.
• Conexión segura a servidor de correo y clientes. Si se selecciona esta
opción, el servidor ISA establece una conexión segura tanto con el servidor de
correo como con los clientes.
• Sólo conexiones estándar. Si se selecciona esta opción, el servidor ISA
establece una conexión estándar tanto con el servidor de correo como con los
clientes.

La configuración recomendada para la publicación de Outlook Web Access es utilizar


comunicación con cifrado SSL (HTTPS), tanto desde el cliente externo hacia el equipo
servidor ISA como desde éste al servidor Outlook Web Access. Esto se debe a que la
información de las credenciales que se utiliza en el proceso de autenticación debe
protegerse y no debe exponerse, ni siquiera dentro de la red interna. Por este motivo
debe instalar certificados digitales tanto en el equipo servidor ISA como en el
servidor Outlook Web Access.

Equipos públicos (compartidos) y privados

Outlook Web Access permite a los usuarios tener acceso a sus buzones de Exchange
desde cualquier equipo. Dicho equipo puede ser tanto privado como público
(compartido). La comodidad que ofrece la capacidad para tener acceso a mensajes
de correo electrónico desde cualquier lugar se contrarresta con el peligro que supone
dejar los datos en un equipo público.

Para combatir estas amenazas, la autenticación basada en formas del servidor ISA le
ayuda a asegurarse de que los usuarios no dejan sus contraseñas almacenadas en la
caché de equipos públicos.

Cambiar contraseñas de usuario

Outlook Web Access incluye una funcionalidad opcional que permite a los usuarios
cambiar sus contraseñas. Si un usuario cambia su contraseña durante una sesión de
Outlook Web Access, dejará de ser válida la cookie proporcionada después de que el
usuario iniciara la sesión. Cuando la autenticación basada en formas se configura en
el servidor ISA, el usuario que cambie la contraseña durante una sesión de Outlook
Web Access verá la página de inicio de sesión la próxima vez que se realice una
petición.

Para permitir a los usuarios cambiar sus contraseñas, asegúrese de agregar la


carpeta /IISADMPWD/* a la regla de publicación del servidor de correo Outlook Web
Access. Si no lo hace, el usuario recibirá un error cada vez que haga clic en el botón
Cambiar contraseña de Outlook Web Access.

Bloquear datos adjuntos

Con el servidor ISA se puede impedir que los usuarios abran y guarden datos
adjuntos. El bloqueo se puede configurar para clientes Outlook Web Access en un
equipo público, en uno privado o en ambos.

Tenga en cuenta que el bloqueo de datos adjuntos del servidor ISA difiere del que
realiza Exchange Server. El usuario puede ver que los mensajes tienen datos
adjuntos, pero no pueden abrirlos ni guardarlos.

Recuperar páginas previamente

Los servidores Exchange Outlook Web Access incluyen una característica de


recuperación previa, que permite descargar archivos al equipo cliente mientras el
cliente transfiere las credenciales. Al utilizar la autenticación basada en formas del
servidor ISA, para habilitar esta característica, debe quitar las marcas de comentario
de la siguiente línea de los archivos logoff_msierich.htm y
logoff_msierich_smimecap.htm, que suelen encontrarse en la subcarpeta
CookieAuthFilter (en la carpeta de instalación del servidor ISA):
"<IFRAME src="/exchweb/controls/preload.htm"
style="display:none"></IFRAME>"

Esta característica de recuperación requiere el acceso no autenticado a la carpeta


/exchweb/* del servidor Outlook Web Access. Por lo tanto, si los clientes de correo
basado en Web necesitan autenticarse en el servidor ISA, debe crear una regla de
publicación de Web que permita el acceso anónimo a la carpeta /exchweb/* en el
servidor Outlook Web Access. Posteriormente, no debería habilitarse la característica
de recuperación si la escucha de web está configurada para requerir autenticación.

c. Publicación de Sitios seguros (SSL)

Con el servidor ISA puede crear reglas de publicación de Web seguras para publicar
sitios Web que alojen contenido HTTP. Las reglas de publicación de Web seguras
determinan la forma en que el servidor ISA va a interceptar las peticiones entrantes
de objetos HTTPS en un servidor Web interno y cómo va a responder el servidor ISA
en nombre del servidor Web. Las peticiones se reenvían al servidor Web interno, que
se ubica detrás del equipo servidor ISA.

Nota

• Las reglas nuevas sólo se aplican a las conexiones nuevas.

Protocolo de puente
Con el protocolo de puente puede configurar cómo se debe transmitir el tráfico al
servidor Web. Por ejemplo, imaginemos que un cliente utiliza SSL (capa de sockets
seguros) para comunicarse con el equipo servidor ISA y una regla de publicación de
Web asigna la petición a un servidor Web interno. La comunicación inicial utiliza SSL.
Sin embargo, de forma predeterminada, el resto de comunicaciones utiliza un
protocolo no seguro, como HTTP.

Al crear una regla de publicación de Web segura, se puede configurar la forma en


que se van a redirigir las peticiones de SSL, como peticiones de HTTP o peticiones de
SSL. Si se redirigen como peticiones de SSL, el servidor ISA vuelve a cifrar los
paquetes antes de transmitirlos al servidor Web. Por lo tanto, se establece un nuevo
canal seguro para la comunicación con el servidor Web SSL. Esta redirección también
se denomina Protocolo de puente SSL.

Protocolo de túnel

Al configurar una regla de publicación de Web segura para que utilice el modo de
protocolo de túnel, el servidor ISA envía el tráfico cifrado sin modificar al servidor
Web publicado. En otras palabras, el servidor ISA no realiza filtrado adicional del
tráfico.

Las reglas de publicación de Web segura que utilizan el modo de protocolo de túnel
(en lugar del modo de protocolo de puente) son más similares a las reglas de
publicación de servidor que a las reglas de publicación de Web. Muchas de las
características de publicación de Web no se pueden aplicar a estas reglas, incluyendo
la traducción de vínculos y la asignación de rutas de acceso. La regla no se puede
aplicar a usuarios específicos (sólo a objetos de red).

Escucha

Al configurar reglas de publicación de web seguras, se define la forma en que se va a


tener acceso al contenido HTTPS en un servidor Web publicado. Debe especificarse
una escucha adecuada, configurada para atender un puerto HTTPS, para la regla de
publicación de Web segura.
4. Configuraciones de acceso a servicios en la red
perimetral/corporativa (Server publishing)
a. Publicación de Mail Server

Cuando se crean reglas de publicación de servidor de correo, ISA Server 2004 crea
las reglas de publicación necesarias para permitir el acceso de los clientes a los
servidores de correo. Según el tipo de servidor de correo especificado, se configuran
las reglas de publicación de Web o de servidor, que permiten el acceso a los
servidores de correo mediante los protocolos que especifique.

Puede seleccionar uno de los tipos de acceso siguientes ofrecidos por el servidor de
correo publicado:
• Acceso de cliente web. Permite el acceso de los clientes a servidores
Microsoft Outlook® Web Access, Outlook Mobile Access o Exchange
Application Services. Si selecciona esta opción, el servidor ISA configurará las
reglas de publicación de Web correspondientes.
• Acceso de cliente. Permite que los clientes usen la llamada a procedimiento
remoto (RPC), el Protocolo de acceso de mensajes de Internet, versión 4rev1
(IMAP4), el Protocolo de oficina de correos, versión 3 (POP3) o el Protocolo
simple de transferencia de correo (SMTP) para tener acceso al correo. Al
seleccionar esta opción, se crea una regla de publicación de servidor para
cada protocolo seleccionado.
• Comunicación de servidor a servidor. Permite el acceso a los servidores
SMTP (correo) y a los servidores NNTP (noticias).
Al publicar un servidor de correo, es recomendable configurar el nombre FQDN del
servidor de correo con el nombre DNS externo del equipo servidor ISA. De este
modo, el nombre interno del servidor de correo no estará disponible públicamente y,
por lo tanto, no será propenso a ataques.
Filtrado SMTP
Si el filtro SMTP está instalado y habilitado, puede aplicar el filtrado SMTP.
Filtrado RPC
Al publicar servidores de correo de tipo RPC, puede aplicar el filtrado RPC.

b. Publicación de otros servicios

El servidor ISA utiliza la publicación de servidor para procesar las peticiones


entrantes en servidores internos como, por ejemplo, servidores FTP (protocolo de
transferencia de archivos), servidores SQL (lenguaje de consulta estructurado), etc.
Las peticiones se envían seguidamente al servidor interno que se ubica detrás del
equipo servidor ISA.
La función de publicación de servidor permite a casi todos los equipos de la red
interna publicar en Internet. La seguridad no se pone en peligro porque todas las
peticiones entrantes y respuestas salientes se transfieren a través del servidor ISA.
Cuando un servidor se publica mediante un equipo servidor ISA, las direcciones IP
publicadas coinciden con las direcciones IP del equipo servidor ISA. Los usuarios que
solicitan objetos creen que están estableciendo una comunicación con el servidor ISA
(al solicitar el objeto, ellos especifican el nombre o la dirección IP de dicho servidor).
No obstante, en realidad, están solicitando la información del servidor de publicación.
Esto se produce cuando la red en la que se encuentra el servidor publicado tiene una
relación NAT (traducción de direcciones de red) desde la red en la que se encuentran
los clientes que tienen acceso al servidor publicado. Al configurar una relación de
redes enrutadas, los clientes utilizan la dirección IP real del servidor publicado para
obtener acceso a él.

Las reglas de publicación de servidor determinan el funcionamiento de la publicación


del servidor, sobre todo, el filtrado de todas las peticiones entrantes y salientes
procesadas por el equipo servidor ISA. Las reglas de publicación de servidor asignan
peticiones entrantes a los servidores adecuados detrás del equipo servidor ISA. Estas
reglas proporcionan, de un modo dinámico, el acceso de los usuarios de Internet al
servidor de publicación que se haya especificado.
El servidor publicado es un cliente de SecureNAT. Por lo tanto, no se requiere
ninguna configuración especial del servidor publicado tras crear la regla de
publicación de servidor en el equipo servidor ISA. Observe que el servidor ISA debe
configurarse como la puerta de enlace predeterminada en el servidor publicado.

Notas
• No se admiten los protocolos principales de publicación ICMP (protocolo de
mensajes de control de Internet) y Nivel de IP. No obstante, sí se admite, de
forma excepcional, el protocolo PPTP (protocolo de túnel punto a punto), que
es una combinación de una conexión TCP y los paquetes GRE (Generic
Routing Encapsulation).
• Las reglas nuevas sólo se aplican a las conexiones nuevas.

Las reglas de publicación de servidor se aplican sólo a un protocolo.

Filtrado por regla


El filtrado de aplicación se configura por reglas. Esto quiere decir que puede utilizar
la directiva de servidor de seguridad que mejor se adapte a sus necesidades de
seguridad específicas. El filtrado por regla está disponible para las reglas de
publicación de servidor desde el filtro RPC de Exchange:
Funcionamiento de la publicación de servidor
El servidor ISA lleva a cabo los siguientes pasos durante la publicación del servidor:
1. Un equipo cliente de Internet solicita un objeto desde una dirección IP que
corresponde a la del servidor de publicación. La dirección IP está asociada en
realidad al equipo servidor ISA. Se trata de la dirección IP del adaptador de
red externo perteneciente al equipo servidor ISA.
2. El equipo servidor ISA procesa la petición, asignando la dirección IP a una
dirección IP interna de un servidor interno.
3. El servidor interno devuelve el objeto al equipo servidor ISA, y éste lo
transfiere al cliente que lo solicitó.
Uso de la regla de publicación de servidor
En la mayoría de los casos, puede utilizar una regla de acceso, en lugar de una regla
de publicación de servidor, para poner el servidor a disposición de los clientes. A
continuación se describen algunos puntos que debe tener en cuenta:
• Debe utilizar una regla de publicación de servidor cuando exista una relación
de redes NAT entre la red del servidor publicado y la red del cliente.
• Una regla de publicación de servidor sólo puede publicar un único servidor
identificado. Para publicar varios servidores, son necesarias varias reglas.
• Con las reglas de publicación de servidor, puede configurar las opciones para
sobrescribir puertos.

Publicación de servidores DNS


El servidor ISA no traduce la dirección IP de los servidores DNS. Para publicar un
servidor DNS, configure una relación de redes enrutadas entre la red de host local y
la red que incluye el servidor DNS. Asimismo, el servidor ISA debe conocer la
dirección IP del servidor DNS.
Deshabilitar reglas
Al deshabilitar una regla de publicación de servidor, cualquier intento de establecer
conexión con el servidor será rechazado. Sin embargo, tenga en cuenta que el
servidor ISA no cierra las conexiones activas.
Dichas conexiones pueden detenerse mediante la desconexión de las sesiones
relacionadas.

c. Publicación usando PAT (Port Address Translation)

De forma predeterminada, al crear una regla de directiva de servidor de seguridad,


el servidor ISA está atento al puerto especificado, si bien acepta peticiones de
clientes en cualquier puerto. Puede limitar la regla para aceptar peticiones sólo de
puertos de origen especificados para las reglas de acceso y las reglas de publicación
de servidor.
Además, para las reglas de publicación de servidor, puede especificar el puerto que
utilizará el servidor ISA para aceptar las peticiones de clientes entrantes destinadas
al servidor publicado. Si decide publicar en un puerto distinto al predeterminado, el
servidor ISA recibirá las peticiones de clientes para el servicio publicado en el puerto
no estándar y, a continuación, reenviará las peticiones al puerto designado en el
servidor publicado. Por ejemplo, una regla de publicación de servidor puede
especificar que las peticiones de clientes para los servicios del Protocolo de
transferencia de archivos (FTP) se conecten a través del puerto 22 en el equipo
servidor ISA antes de redireccionarlas al puerto 21 en el servidor publicado.
Además, puede especificar, para las reglas de publicación de servidor, que el
servidor publicado acepte las peticiones de clientes para el servicio publicado en un
puerto distinto al predeterminado. Por ejemplo, si desea publicar dos servidores FTP,
puede publicar un servidor FTP en el puerto predeterminado para un conjunto de
usuarios y publicar el otro en otro puerto no estándar para un conjunto de usuarios
diferente.
Para reemplazar los puertos predeterminados en las reglas de publicación de
servidor
1. En el árbol de la consola de Administración del servidor ISA, haga clic en
Directiva de firewall.

o Microsoft ISA Server 2004


o Nombre_servidor
o Directiva de servidor de seguridad
2. En el panel de detalles, haga clic en la regla aplicable.
3. En la ficha Tareas, haga clic en Editar regla seleccionada.
4. En la ficha Tráfico, haga clic en Puertos.
5. En Puertos del firewall, seleccione una de las opciones siguientes:
o Publicar a través del puerto predeterminado especificado en la
definición de protocolo. Si se selecciona esta opción, el servidor ISA
aceptará las peticiones entrantes de los clientes en el puerto
predeterminado.
o Publicar en este puerto en lugar del puerto predeterminado. Si
se selecciona esta opción, el servidor ISA aceptará las peticiones
entrantes de los clientes en cualquier puerto que no sea el
predeterminado. Si se selecciona un puerto alternativo, el servidor ISA
recibe las peticiones de cliente para el servicio publicado en un puerto
no estándar y, a continuación, reenvía las peticiones al puerto
designado en el servidor publicado.
6. En Puertos del servidor publicado, seleccione una de las opciones
siguientes:
o Enviar peticiones al puerto predeterminado en el servidor
publicado. Si se selecciona esta opción, el servidor ISA aceptará
peticiones del servicio publicado en el puerto predeterminado, como se
indica en la definición del protocolo.
o Enviar peticiones a este puerto en el servidor publicado. Si se
selecciona esta opción, el servidor ISA aceptará peticiones del servicio
publicado en cualquier puerto que no sea el predeterminado.
7. En Puertos de origen, seleccione una de las opciones siguientes:
o Permitir tráfico de cualquier puerto de origen permitido. Si se
selecciona esta opción, el servidor ISA aceptará peticiones de cualquier
puerto de los equipos cliente permitidos.
o Limitar acceso al tráfico de este intervalo de puertos de origen.
Si se selecciona esta opción, el servidor ISA sólo aceptará peticiones
de los puertos que se especifiquen.
Nota
Para abrir Administración del servidor ISA, haga clic en Inicio, seleccione Todos los
programas, Microsoft ISA Server y, a continuación, haga clic en Administración
del servidor ISA.
5. Monitoreo y reportes en ISA 2004.
a. Generación de reportes de utilización

Puede utilizar la función de creación de informes del servidor ISA para resumir y
analizar los patrones de comunicación. En particular, se pueden crear informes que
muestren los patrones de uso común. Por ejemplo:
• quién tiene acceso a los sitios y los sitios a los que se tiene acceso.
• qué protocolos y aplicaciones son los que se utilizan con más frecuencia.
• patrones generales del tráfico.
• proporción de la caché.
Los informes también se pueden utilizar para supervisar la seguridad de la red. Por
ejemplo, se pueden generar informes que realicen un seguimiento de los intentos
malintencionados de tener acceso a los recursos internos. De igual forma, mediante
el seguimiento del número de conexiones a un servidor publicado o del tráfico al
servidor, se puede identificar un intento de denegación de servicio.
Informes periódicos
El mecanismo de creación de informes del servidor ISA permite programar informes
periódicos en función de los datos recogidos de los archivos de registro. Se puede
programar que los informes se generen de forma periódica y recurrente cada día,
semana, mes o año. El informe puede incluir datos diarios, semanales, mensuales o
anuales.
Al programar un trabajo de informes, especifique lo siguiente:
• periodo de actividad que abarcará el informe.
• cuándo y con qué frecuencia se generará el informe.

Cómo funciona el mecanismo de los informes


El mecanismo de generación de informes del servidor ISA combina los registros de
resúmenes de los equipos ISA Server en una base de datos en cada equipo servidor
ISA. Dicha base de datos se encuentra en una carpeta del equipo servidor ISA; de
forma predeterminada, en la carpeta ISASummaries. Al crearse un informe, todas las
bases de datos de resúmenes relevantes se combinan en una sola base de datos de
informes. El informe se crea según los resúmenes combinados.
Los informes del servidor ISA se basan en los registros del servicio proxy Web y del
servicio del servidor de seguridad de Microsoft. La tabla siguiente muestra los
campos del registro del servicio del servidor de seguridad y los campos de registro
del proxy Web que se utilizan para generar informes.
Campos del registro del Campos del registro del servicio del servidor
proxy Web de seguridad
Bytes recibidos Acción
Bytes enviados Bytes recibidos
Agente del cliente Bytes enviados
IP de cliente Diferencia de bytes enviados
Nombre de usuario de cliente Agente del cliente
Nombre de host de destino Nombre de usuario de cliente
IP de destino IP de cliente
Puerto de destino Puerto del cliente
Código de estado HTTP IP de destino
Hora de registro Puerto de destino
Fecha del registro Fecha del registro
Origen del objeto Hora de registro
Tiempo de procesamiento IP de cliente original
Protocolo Tiempo de procesamiento
Transporte Diferencia de tiempo de procesamiento
Dirección URL Protocolo
Código de resultados
Transporte
En un momento determinado, la aplicación DailySum.exe, que se instala con el
servidor ISA, resume la información del registro mostrada arriba. De forma
predeterminada, DailySum.exe siempre se ejecuta en el equipo servidor ISA,
independientemente de que se creen o se programen informes.
Se guardan dos resúmenes del registro: uno con un resumen diario y otro con un
resumen mensual. Al principio de cada mes, Dailysum.exe crea también un resumen
mensual que incluye todos los resúmenes diarios del mes anterior. Se guardan, como
mínimo, treinta y cinco resúmenes diarios y trece mensuales. Puede configurar la
forma y el lugar en que el servidor ISA guarda los resúmenes del registro.
Para generar los informes, el servidor ISA ejecuta la aplicación ISARepGen.exe, que
también se instala con él.

Visualización y publicación de informes


Para ver un informe, puede hacer doble clic en el nombre del informe en
Administración del servidor ISA. El informe se muestra en Internet Explorer.
El informe puede verse sólo en el equipo en el que se ejecuta Administración del
servidor ISA. En cualquier otro equipo, el informe no mostrará ningún dato o
mostrará una página con marcos vacíos y el siguiente mensaje: "No se puede
mostrar la página".
Tenga en cuenta lo siguiente en relación con los datos que se muestran en el
informe:
• Las peticiones se calculan solamente cuando finaliza la conexión.
• Los bytes se cuentan en cada línea del registro.
Publicar informes
Para hacer que los informes sean más accesibles, puede publicarlos en una carpeta
compartida. Todo aquél que necesite tener acceso a los informes deberá contar con
permisos de lectura en esta carpeta. De esta forma, el resto podrá ver los informes
sin necesidad de tener acceso al equipo servidor ISA y tampoco a través de
Administración del servidor ISA.
Cuando se publica un informe, se guardan varios archivos de informe y los gráficos
asociados en la carpeta de publicación especificada.
Credenciales para la publicación de informes
Al publicar cualquier informe, el proceso IsaRepGen.exe debe contar con permisos de
escritura en la carpeta de publicación. Puede configurar las credenciales utilizadas
por IsaRepGen.exe para crear informes.
De forma predeterminada, se utiliza la cuenta del sistema local. Sin embargo, tenga
en cuenta que si publica informes en un equipo distinto, las credenciales de la cuenta
del sistema local se transmiten como las de la cuenta del equipo (con servidor ISA).
La cuenta del equipo debe tener permisos de escritura en la carpeta compartida de
red.
Si el servidor ISA está instalado en un dominio Windows NT 4.0 o en modo de grupo
de trabajo, IsaRepGen.exe utiliza la cuenta no autenticada. En este caso,
recomendamos que especifique las credenciales de usuario al publicar los informes
en otro equipo.
Contenido de los informes
Puede configurar el contenido que quiere incluir en cada informe. Es posible incluir el
siguiente tipo de contenido en un informe:
• Resumen. Al incluir el contenido de resumen, el informe incluye información
resumida sobre el uso del tráfico de red, ordenado por aplicación. Estos
informes son muy importantes para el administrador de la red o la persona
que administra o planea la conectividad a Internet de una empresa.
• Uso de web. Al incluir el contenido de uso del Web, el informe muestra
información sobre los usuarios más frecuentes del Web, las respuestas
comunes y los exploradores. Estos informes son muy importantes para el
administrador de la red o la persona que administra o planea la conectividad
a Internet de una empresa. Muestran cómo se utiliza el Web en una empresa.
• Uso de aplicaciones. Al incluir el contenido de uso de la aplicación, el
informe muestra información del uso de la aplicación de Internet sobre los
usuarios más frecuentes, las aplicaciones del cliente y los destinos.
• Tráfico y utilización. Al incluir el contenido de tráfico y utilización, el
informe muestra el uso total de Internet por aplicación, protocolo y dirección.
Estos informes también muestran el promedio del tráfico y el número máximo
de conexiones simultáneas, la frecuencia de aciertos de la caché y otras
estadísticas.
Seguridad. Al incluir el contenido de seguridad, el informe enumera los intentos de
quebrantar la seguridad de la red.
b. Monitoreo en tiempo real

La vista Escritorio digital del servidor ISA resume la información de supervisión de


las sesiones, alertas, servicios, informes y conectividad, así como el estado general
del sistema. La vista predeterminada Escritorio digital muestra la siguiente
información:
• Conectividad. Comprueba la conectividad entre el servidor ISA y otros
equipos o direcciones URL.
• Alertas. Enumera los sucesos que han tenido lugar en el equipo servidor ISA.
• Servicios. Enumera los servicios del equipo servidor ISA y su estado actual.
• Sesiones. Enumera el total de las sesiones de los clientes.
• Informes. Enumera los informes creados recientemente.
• Estado del sistema. Muestra la información de rendimiento del equipo
servidor ISA.
Cada área del escritorio digital cuenta con una indicación visual de estado. Una X en
un círculo rojo indica un posible problema, un icono amarillo indica una advertencia y
una marca de verificación en un círculo verde indica que no hay ningún problema.
Puede personalizar la vista Escritorio digital para ocultar cierta información.

Utilizar el escritorio digital para supervisar el estado del servidor ISA


El escritorio digital resulta útil para identificar rápidamente problemas graves
relacionados con el servidor ISA. Verificar el estado de los servidores y servicios
principales puede formar parte de la rutina diaria.
Por ejemplo, puede verificar que los servicios del servidor ISA funcionan
correctamente y que los servidores principales tienen conectividad. Con echar un
vistazo al escritorio digital podrá saber si todo funciona correctamente. Una vez
comprobado el estado del funcionamiento, puede revisar las alertas para comprobar
si se han evitado ataques o si algún problema específico requiere atención inmediata.
Si descubre algún problema en el escritorio digital, puede buscar más información
fácilmente. Haga clic en el encabezado del panel correspondiente para tener acceso a
una ficha con información más detallada.
Puede confirmar y restablecer instancias de alertas en la vista Escritorio digital.

c. Monitoreo de servicios y alertas

Al instalar el servidor ISA, también se instalan los siguientes servicios del sistema
operativo Microsoft® Windows®:
• Servicio del servidor de seguridad de Microsoft
• Servicio Control de Microsoft ISA Server
• Servicio Programador de trabajos de Microsoft ISA Server
• Motor de datos Microsoft
La vista Servicios se puede utilizar para detener o iniciar los servicios del servidor de
seguridad de Microsoft, Programador de trabajos de Microsoft ISA Server y Motor de
datos Microsoft.
Además, el controlador del filtro de paquetes (fweng) es un controlador en modo de
núcleo que captura todo el tráfico del servidor de seguridad y toma las decisiones de
filtrado de paquetes y traducción de direcciones del tráfico de red.
Servicio del servidor de seguridad de Microsoft
El servicio del servidor de seguridad de Microsoft (fwsrv) es un servicio de Windows
que admite peticiones de clientes del servidor de seguridad y clientes SecureNAT.
Puede utilizar Administración del servidor ISA para supervisar el estado del servicio
del servidor de seguridad de Microsoft. Asimismo, puede utilizar Administración del
servidor ISA para detener o iniciar el servicio del servidor de seguridad.
El servicio del servidor de seguridad admite peticiones de cualquier explorador Web,
lo que permite el acceso a Web a casi todos los sistemas operativos de escritorio,
entre los que se incluyen Microsoft Windows Server™ 2003, Windows XP,
Windows 2000, Windows Millennium Edition, Windows NT®, Windows 98,
Windows 95, Macintosh y UNIX. El servicio del servidor de seguridad funciona a nivel
de aplicación en nombre de un cliente que solicita un objeto de Internet que se
puede recuperar con uno de los protocolos compatibles con los protocolos proxy
Web: Protocolo de transferencia de archivos (FTP), protocolo de transferencia de
hipertexto (HTTP) y HTTPS.
Los clientes, normalmente exploradores, deben configurarse específicamente para
utilizar el equipo servidor ISA. Cuando un usuario solicita un sitio Web, el explorador
analiza la dirección URL. Si se utiliza una dirección punto com, como en un nombre
de dominio completo (FQDN) o una dirección IP, el explorador considera que el
destino es remoto y envía la petición HTTP al equipo servidor ISA para que la
procese.
Al detener el servicio del servidor de seguridad, la información de la caché no se
elimina. Sin embargo, al reiniciarlo, pueden pasar varios segundos antes de que la
caché esté totalmente habilitada y en funcionamiento. Si se produce un fallo en el
servicio, el servidor ISA restaurará la información de la caché. Esta acción puede
tardar un tiempo y es posible que el rendimiento no sea óptimo hasta que se
restaure la caché.
Servicio Control del servidor ISA
El servicio Control del servidor ISA (mspadmin) es un servicio de Microsoft Windows
responsable de:
• Reiniciar otros servicios del servidor ISA, según sea necesario.
• Generar alertas y ejecutar acciones.
• Eliminar archivos de registro no utilizados.
Administración del servidor ISA no se puede utilizar para detener o iniciar el servicio
Control del servidor ISA. Para detener el servicio, escriba el siguiente texto en el
símbolo del sistema:
net stop isactrl
Si detiene el servicio Control del servidor ISA, también se detendrán el resto de
servicios del servidor ISA.
Programador de trabajos de Microsoft ISA Server
El servicio Programador de trabajos de Microsoft ISA Server (w3prefch) es un
servicio de Microsoft Windows que descarga contenido de la caché de los servidores
Web, de acuerdo con los trabajos que configure con Administración del servidor ISA.
Puede utilizar Administración del servidor ISA para supervisar el estado del servicio
Programador de trabajos de Microsoft ISA Server. Asimismo, puede utilizar
Administración del servidor ISA para detener o iniciar el servicio Programador de
trabajos de Microsoft ISA Server.
Si este servicio se detiene, no se pueden ejecutar trabajos de descarga programada
de contenido.

Alertas
El servicio de alertas del servidor ISA le notifica cuándo se producen los sucesos
especificados. Puede configurar las definiciones de alerta para que, al producirse un
suceso, se desencadene una serie de acciones. El servicio de alertas del servidor ISA
actúa como distribuidor y como filtro de sucesos. Se encarga de captar sucesos,
comprobar si se reúnen ciertas condiciones y de adoptar las acciones
correspondientes.
Administración del servidor ISA muestra la lista completa de sucesos que han tenido
lugar, clasificada por categorías de tipos de alerta: información, advertencia y error.
Todas las alertas se muestran en la vista Alertas.
Confirmar y restablecer alertas
Cuando tiene lugar un suceso, el servidor ISA desencadena la acción configurada en
la definición de la alerta. La alerta aparece en la vista Alertas y se muestra un
resumen de todos los sucesos en la vista Escritorio digital.
Puede restablecer un grupo completo de instancias de alertas seleccionando el
encabezado de la alerta. En la vista Alertas, las instancias de alertas se agrupan por
categoría (por ejemplo, Servicio desconectado). Puede expandir o contraer los
encabezados de grupo para mostrar u ocultar los elementos que contienen.
Puede utilizar Administración del servidor ISA para indicar que está administrando un
suceso o un grupo de sucesos concreto confirmando los sucesos. Cuando marca un
suceso (o un grupo de sucesos) como confirmado, su estado cambia en la vista
Alertas y dichos sucesos ya no se muestran en el escritorio digital.
De forma similar, es posible restablecer una alerta quitándola de la vista Alertas.
Nota
• Todas las alertas se restablecen cuando se reinicia el equipo servidor ISA.
Crear definiciones de alertas
Al instalar el servidor ISA, se preconfigura una alerta para cada tipo de evento.
Puede definir más sucesos específicos. Por ejemplo, considere la definición de alerta
preconfigurada para el suceso La configuración de red cambió. Como
administrador de la red, tal vez quiera precisar esta alerta general y crear dos
definiciones de alerta únicas:
• Una definición de alerta para el caso en que se deshabilite una red.
• Una definición de alerta para el caso en que se habilite una red.
La definición de alerta de la primera opción desencadenaría una acción que ejecutase
un archivo por lotes para desconectar el equipo de un clúster con equilibrio de carga
cada vez que se deshabilita una red. La definición de alerta de la segunda opción
podría ser el envío de un mensaje de correo electrónico.

Nota
• Las alertas con sucesos específicos tienen prioridad frente a las de sucesos
menos específicos. Por ejemplo, suponga que tiene configuradas dos alertas,
una para "Cualquier cambio de configuración de red" y otra para "Red
conectada". Cuando una red está conectada, tendrán lugar las acciones de
alerta de la segunda opción.

Configurar definiciones de alertas


Puede seleccionar el suceso y la condición adicional que desencadena una acción de
alerta.
También puede configurar los siguientes umbrales, que determinan cuándo debe
realizarse la acción de alerta.
• Número de veces por segundo que se produce el suceso antes de emitirse
una alerta (también se denomina umbral de frecuencia de suceso).
• Número de sucesos que deben producirse antes de emitirse la alerta.
• Tiempo de espera antes de volver a emitir la alerta.

Acción de alerta
Puede establecer una o varias de las siguientes acciones para que se realicen al
cumplirse una condición de alerta:
• Enviar un mensaje de correo electrónico.
• Ejecutar una acción específica.
• Registrar el suceso en el registro de sucesos de Windows.
• Detener o iniciar el servicio del servidor de seguridad de Microsoft o el
servicio de descarga de contenido programado.
Puede configurar las credenciales que deben utilizarse cuando se ejecuta una
aplicación. Utilice la directiva de seguridad local para configurar los privilegios del
usuario.

Nota
• Asegúrese de que el usuario especificado tenga los privilegios de Inicio de
sesión como trabajo en lote.
Cuando la acción de alerta consiste en ejecutar un comando, la ruta de acceso
especificada para la acción del comando debe existir en el equipo servidor ISA.
Recomendamos utilizar variables de entorno (como %SystemDrive%) en el nombre
de la ruta de acceso.

Si configura una acción por correo electrónico para utilizar un servidor SMTP ubicado
en la red interna, debe habilitar la regla de directivas del sistema que permita a la
red del host local tener acceso a la red interna a través del protocolo SMTP. En el
Editor de directivas del sistema, en el grupo de configuración Supervisión remota,
selecione SMTP y, a continuación, haga clic en Habilitar. Se habilita la regla Allow
SMTP protocol from firewall to trusted servers.
Si configura una acción por correo electrónico para utilizar un servidor SMTP externo,
debe crear una regla de acceso que permita a la red del host local tener acceso a la
red externa (o a la red en la que se ubica el servidor SMTP) a través del protocolo
SMTP.
Sucesos
La siguiente tabla enumera los sucesos y, cuando es necesario, las claves adicionales
definidas por el servidor ISA. Al crear una alerta, especifique uno de los siguientes
sucesos que la desencadenan.
Suceso Descripción
Error en la acción de
Error en la acción asociada con esta alerta.
alerta
Error al inicializar el Error de inicialización del contenedor de caché, contenedor
contenedor de caché omitido.
Recuperación del
contenedor de caché Finalizó la recuperación de un contenedor simple.
finalizada
Error al cambiar el tamaño
Ha fallado la operación para reducir el tamaño de la caché.
del archivo de caché
La caché de proxy Web se deshabilitó debido a un error
Error al inicializar la caché
global.
Restauración de la caché
Finalizó la restauración del contenido de la caché.
finalizada
Error de escritura en la
Error al escribir el contenido en la caché.
caché
Objeto almacenado en Durante la recuperación de la caché se detectó un objeto
caché descartado con información conflictiva. El objeto se omitió.
Error al cargar el
Error al cargar un componente de la extensión.
componente
Error de configuración Error al leer la información de configuración.
Se superó el límite de Un usuario o una dirección IP superó el límite de
conexiones conexiones.
Se superó el límite de Se superó el número de conexiones permitidas por
conexiones para una regla segundo para una regla.
Mecanismo de detección
de intrusiones "anti- Se ha deshabilitado el mecanismo de detección de
poisoning" de DHCP intrusiones "anti-poisoning" de DHCP.
deshabilitado
Error del marcado a Error al crear una conexión de marcado a petición, debido
petición a que no se obtuvo respuesta o la línea estaba ocupada.
Intrusión de transferencia
Se produjo un ataque de transferencia de zona.
de zona DNS
Se produjo un error al registrar la información del suceso
Error del registro de
en el registro de sucesos del sistema. Esta alerta está
sucesos
deshabilitada de forma predeterminada.
Error de comunicación del Error en la comunicación entre el cliente Firewall y el
firewall servicio del servidor ISA.
El filtro FTP no pudo analizar los comandos ftp permitidos.
Compruebe que los comandos se almacenan con el
Advertencia de
formato correcto. Cada comando no debería tener más de
inicialización del filtro FTP
4 caracteres y cada uno debe estar separado del anterior
por un carácter de espacio.
Intrusión detectada Un usuario externo intentó un ataque por intrusión.
Se encontró una CRL no Se ha revocado el certificado de cliente debido a que la
válida lista de revocación de certificados (CRL) no existía o no
era válida. La CRL puede haber caducado y el servidor ISA
no ha podido descargar una CRL válida. Compruebe que el
grupo de configuración de directiva del sistema de
descarga de CRL está habilitado y que hay conectividad
entre los puntos de distribución de CRL (CDP).
Oferta DHCP no válida La dirección IP de la oferta DHCP no es válida.
Credenciales de marcado a Se detectaron credenciales de marcado a petición no
petición no válidas válidas.
Credenciales de registro El nombre de usuario o la contraseña especificados para
ODBC no válidas esta base de datos ODBC no es válido.
Simulación de IP La dirección de origen del paquete IP no es válida.
El equipo servidor ISA Los cambios realizados en la configuración sólo se
debe reiniciarse aplicarán tras reiniciar el equipo.
Error de registro Error en el registro <nombre del servicio>.
Límites de
Se ha alcanzado uno o varios de los límites de
almacenamiento del
almacenamiento del registro.
registro
La configuración de red Se detectó un cambio en la configuración de red que
cambió afecta al servidor ISA.
No se pudo crear un socket de red porque no había
No hay puertos disponibles
puertos disponibles.
El servidor ISA no pudo establecer una conexión con el
Sin conectividad
servidor solicitado.
Existe un conflicto con uno los componentes del sistema
Conflicto con el operativo: editor NAT (conversión de direcciones de red),
componente del SO ICS (conexión compartida a Internet) o RRAS
(enrutamiento y acceso remoto).
El servidor ISA eliminó un paquete UDP (protocolo de
Paquete UDP demasiado
datagramas de usuarios) porque excedía el tamaño
grande
máximo, como se especifica en la clave del registro.
Se detectó un desbordamiento del búfer en el protocolo de
Intrusión POP
oficina de correos (POP).
Cambios de la red de Se ha eliminado un usuario de la red de clientes de VPN en
clientes de VPN en cuarentena. Esta alerta está deshabilitada de forma
cuarentena predeterminada.
Error al generar el Se recibió un error mientras se generaba un resumen del
resumen del informe informe a partir de los archivos de registro.
Error de asignación de Se produjo un error en la asignación de recursos. Por
recursos ejemplo, el sistema se quedó sin memoria.
Error de enrutamiento Se produjo un error al enrutar la petición al servidor que
(encadenamiento) precede en la cadena.
Recuperación del
El servidor ISA continuó el enrutamiento a un servidor que
enrutamiento
precede en la cadena.
(encadenamiento)
El filtro RPC no puede utilizar el puerto definido porque ya
Filtro RPC: error de enlace
está siendo utilizado.
Filtro RPC: la conectividad Cambió la conectividad con el <nombre del servidor> del
cambió servicio RPC de publicación. <clave adicional>
Error de publicación del La regla de publicación de servidor se ha configurado
servidor incorrectamente.
No se puede aplicar la
No se puede aplicar la regla de publicación de servidor.
publicación de servidor.
Recuperación de la
Ahora se puede aplicar la regla de publicación de servidor.
publicación de servidor
Error de inicialización del
Se produjo un error en la inicialización del servicio.
servicio
Un servicio del servidor ISA se interrumpió o se detuvo
El servicio no responde
inesperadamente.
Un servicio se detuvo correctamente. <%nombre del
Servicio desconectado
servicio%>
Un servicio se inició correctamente. <%nombre del
Servicio iniciado
servicio%>
El servidor ISA encontró una conexión lenta al servidor
Conectividad lenta
solicitado.
Se ha infringido una regla de comando SMTP (protocolo
Suceso del filtro SMTP
simple de transferencia de correo).
Error en la configuración Otro protocolo está utilizando el puerto especificado en las
de SOCKS propiedades de SOCKS.
Ataque de SYN El servidor ISA detectó un ataque de SYN.
Suceso no registrado Se encontró un suceso no registrado.
Credenciales del
Las credenciales del encadenamiento precedente son
encadenamiento
incorrectas.
precedente
Error de conexión VPN Error en el intento de conexión de cliente de VPN.