Está en la página 1de 91

SERVIDOR ISA SERVER

POR:

DEYSSY ARICAPA ARAQUE
CESAR PINEDA GONZALEZ
ANDRÈS FELIPE DEOSSA

INSTRUCTOR
FERNANDO QUINTERO

ADMINISTRACION DE REDES DE COMPUTADORES
REGIONAL ANTIOQUIA
SENA
2009

1

CONTENIDO
1. Licencia………………………………………………………………………………4
2. introducción………………………………………………………………………….5
3. justificación…………………………………………………………………………..6
4. Objetivo general…………………………………………………………………….7
5. Objetivos específicos……………………………………………..........................7
6. Isa Server 2006…………………………………………………...........................8
 Características……………………………………........................................8
7. Tabla comparativa de la ED: Estándar y Enterprise……………......................9
8. Soluciones Isa Server.....................................................................................10
 Hardware..................................................................................................10
 Software...................................................................................................10
9. Precio de licencia de software.........................................................................11
10. Requisitos mínimos del sistema.....................................................................12
11. Instalación Isa Server.....................................................................................13
 Actualizando nuestro sistema..................................................................13
12. Política por defecto DROP.............................................................................31
 Para tener en cuenta................................................................................31
 Dar acceso a Internet a nuestro host local...............................................31
 Generando reglas.....................................................................................32
13. Escenario a desarrollar..................................................................................45
 Recursos..................................................................................................45
 Requisitos................................................................................................45

2

14. Aceptando ping desde la red LAN hacia el Firewall.......................................46
 Haciendo pruebas.....................................................................................53
15. Accediendo a nuestro servidor SSh desde la red WAN..................................55
 Haciendo pruebas.....................................................................................62
15. Accediendo a nuestro servidor de correo desde la red WAN.........................64
 Haciendo pruebas......................................................................................68
16. Accediendo a nuestro servidor Web Mail seguro desde la red WAN...............70
 Para tener en cuenta..................................................................................73
17. Permitir a los usuarios administradores acceso a Internet...............................74
18. Configurando Proxy Web en Isa Server...........................................................83
19. Conclusiones....................................................................................................90

3

Suite 300. USA.LICENCIA Esta obra está bajo una licencia Reconocimiento-No comercial-Compartir Bajo la misma licencia 2.5/co/ o envie una carta a Creative Commons. 4 . San Francisco. visite http://creativecommons.5 Colombia de Creative Commons.org/licenses/by-ncsa/ 2. 171 Second Street. Para ver una Copia de esta licencia. California 94105.

Especificaremos los costos de las diferentes clases de licenciamiento. la cual adquirimos desde la pagina oficial con un licenciamiento libre de 180 días. por lo tanto si desea utilizar esta herramienta en entorno de empresa tendrá que pagar un licenciamiento a la compañía de Microsoft. ediciones del producto y lo que se debe tener en cuenta al momento de la implementación del ISA Server. estamos hablando de ISA Server en su mas nuevas edición la 2006. 5 . con el fin de proveer seguridad a una red interna de x o y empresa.INTRODUCCION El siguiente manual estará orientado a la implementación de una herramienta bajo licenciamiento privado de Microsoft. Se contara con la instalación de la herramienta de Firewall de Microsoft.

en el caso de la seguridad de los datos.JUSTIFICACION El presente manual se realizo con el fin de tener documentado el proceso de implementación de una herramienta Firewall de Microsoft en un escenario muy común. Hay que tener en cuenta que no todo en la vida es gratis y por ende las soluciones a nuestros problemas no siempre llegaran desde el camino de lo no licenciado. ya que se tendría mas soporte en cuanto a posibles problemas de seguridad. Para la gran mayoría de multinacionales en el mundo el poseer herramientas que tengan valor económico en el mundo de la informática. representa mayor confiabilidad para quien la este implementando. 6 . para ello debemos estar con capacidad de tomar una buena decisión a la hora de escoger un producto e implementarlo en nuestra red. teniendo en cuenta nuestras necesidades básicas. el trabajar con productos licenciados significaría tener mas seguridad en el escenario donde este corriendo. así lograr familiarizarnos con herramientas de un coste elevado de implementación y poder reconocer sus desventajas y ventajas ante los demás productos con fines similares a la de Microsoft y otras compañías en el mercado.

OBJETIVOS ESPECIFICOS:  Permitir conexiones seguras entre la red LAN hacia la red WAN y viceversa.  Controlar las conexiones de los usuarios de nuestra LAN. 7 .  Proteger equipos vitales de comunicación de nuestra LAN ante amenazas del exterior. que cubran las necesidades básicas de nuestra red local. permitiendo o denegando las mismas.OBJECTIVO GENERAL: La implementación de herramientas de Firewall a nivel de licenciamiento privado.  Concebir prioridades a los usuarios administradores.  Monitorear las peticiones de los usuarios.  Implementar reglas básicas que permitan la comunicación de la red local con la red externa.

 Gateway de interconexión para redes locales. datos y documentos desde cualquier ordenador o dispositivo. y de gran facilidad de uso.  Capacidad para generar logs y emisión de reportes. y además ofrece a sus usuarios un acceso remoto rápido y seguro a sus aplicaciones y datos corporativos.ISA SERVER 2006 Es un Gateway integrado de seguridad perimetral que contribuye a la protección de amenazas procedentes de Internet.  Protección del acceso a Internet. Hay dos ediciones de ISA Server 2006 disponibles: la Edición Estándar y la Enterprise.  Pre-autentica al usuario antes de que tenga acceso a cualquier servidor. de esta manera los intrusos son más fáciles de detectar. autenticación avanzada (smartcards). así como en la tecnología Microsoft Windows Server para ofrecer un firewall potente. Características:  Publicación segura de aplicaciones  Acceso remoto seguro a las aplicaciones. Internet Acceleration and Security (ISA) Server 2006 se basa en la anterior versión de ISA Server. 8 . robusto y eficiente.

O) Escalabilidad Horizontal Un solo servidor Hasta 32 nodos mediante NLB Cache Almacenamiento de servidor único Sin límite (utilizando CARP) Soporte NLB No soportado SI (integrado) Políticas Locales Gestión de Arría de servidores y directivas corporativas mediante ADAM Redes de oficinas Importación y Políticas de nivel exportación manual de corporativo y de Array políticas de servidores Monitorización y alertas Consola de monitorización de un único servidor Múltiples redes Consola de monitorización multiservidor MOM MOM Mediante plantillas Mediante plantillas 9 . Enterprise Redes Sin limitación Sin limitación Escalabilidad Hasta 4 PCUS. 2-GB de RAM Sin limitación (la que determine el S. Estándar Vd.TABLA COMPARATIVA DE LA ED: ESTANDAR Y ENTERPRISE Características ED.

PRECIO: Se puede obtener una solución basada en hardware a partir de 2. 10 . Hardware: Integrado en un hardware preconfigurado que incluye un servidor con una versión reducida de Microsoft Windows Server y una edición Isa Server 2006 preinstalados. dar mantenimiento y optimizar la configuración e incluso desarrollar código que puede ejecutarse sobre el mismo servidor ISA Server para maximizar el beneficio. esta opción permitirá: Implantar. listo para su instalación sobre sus servidores actuales.Soluciones ISA Server: Isa Server provee soluciones tanto en hardware como en software.500 USD unos 650000 pesos colombianos en promedio Software: Este paquete se adquiere gracias a licencias que el usuario compra directamente a Microsoft.

ISA Server 2006 Ed. Ejemplo sucursales. permitiendo acceso remoto de usuario rápida y segura 11 . Licencia de entorno en producción Descripción Precio USD Precio $ 1499 USD por procesador 380.999 USD por procesador 1.000. 75.000$ por procesador ISA Server 2006 Ed.000$ para 25 procesadore s Gateway integrado para la seguridad perimetral. protegiendo contra amenazas Estándar procedentes de Internet. implementación flexible. 5.000$ por procesador Diseñado para grandes organizaciones que necesiten ISA Server 2006 Ed.PRECIOS DE LICENCIA DE SOFTWARE. Enterprise capacidad de gestión y escalabilidad. Este paquete se ofrece con un Enterprise –paquete descuento del 50% para de 25 procesadores aquellos clientes que necesiten Server en escenarios de implantación.000 USD para 25 procesadore s 19.500.

 VGA o monitor de mayor resolución. Sistema Operativo Microsoft Server 2003 de 32 bits (SP1) o (SP2). Otros Dispositivos  Adaptador de red para la comunicación con la red interna.  CD-ROM o DVD-ROM.Requisitos mínimos del sistema.  Un adaptador de red adicional. INSTALACION DE ISA SERVER 12 . Procesador PC con un Pentium III 733 Mhz o superior. Memoria 512 megabytes de RAM o mas es recomendado Disco duro Con formato NTFS local con 150 MB de espacio libre.

lo primero que debemos hacer antes de proceder a instalar ISA Server es dejar nuestro equipo con los requerimientos antes mencionados.com/downloadS/details. sus características. si por algún motivo no tenemos actualizado nuestro sistema. Procederemos a hacer la respectiva instalación.microsoft.Después de haber repasado un poco de lo que era ISA Server. Actualizando nuestro Sistema: Como nuestro sistema no tiene instalado el service pack 2. ediciones.aspx?familyid=95AC1610-C232-4644B828-C55EEC605D55&displaylang=es NOTA: Como ya se menciono anteriormente nuestro Windows Server 2003 debe tener instalado el SP1 o SP2. Para esto descargaremos el paquete de SP2 desde la siguiente URL: Después de descargado procederemos a ejecutarlo: 13 . para poder ejecutar el ISA Server. respectivamente. procederemos a instalarlo. precios. etc. para esto descargaremos la versión de prueba de 180 días desde la siguiente URL: http://www.

para mayor seguridad.Después de extraer todos los archivos. 14 . Le damos siguiente. nos aparecerá el siguiente cuadro de dialogo: Aquí nos están recomendando hacer backup de nuestro sistema como tal.

En este cuadro de dialogo.Nos especifican la licencia del producto el cual deberemos estar de acuerdo para poder proseguir con nuestra actualización del sistema. Después de aceptar la licencia damos siguiente. 15 . Damos siguiente terminada la especificación de la ruta donde quedaran los archivos de actualización del sistema. nos muestra la ruta donde quedaran guardados los archivos del SP2 después de instalados. de lo contrario le podemos cambiar la ruta y especificarle la que nosotros queramos. si queremos lo dejamos por defecto.

16 . e instale los archivos nuevos.Esperamos a que el asistente compruebe la configuración actual de nuestro sistema. Terminada la actualización damos clic en finalizar y esperamos a que se reinicie nuestro equipo para que los cambios hechos hagan efecto.

lo pueden descargar desde la siguiente URL: http://www.com/downloads/details. 17 . para esto ejecutamos el instalador del ISA Server. Si por algún motivo no has descargado el instalador de isa Server.Instalación ISA Server: Terminada la actualización de nuestro sistema.aspx?familyid=84504cad-893b-42129ab2999ad1d8fe68&displaylang=es&Hash=ODLJiWmcFsEXPxvOdPC1gstrCQweGgVA %2bqFg8aXyeI%2bq%2b3GRi9Kd5hEBJMX7kN29aJPMWbWP4HwAd%2fB %2bV06YgQ%3d%3d Esperamos a que se extraiga todos los archivos del ejecutable.microsoft. podemos ahora si proceder a instalar el Servidor ISA Server. descargado anteriormente desde la página oficial de Microsoft.

Es importante tener en cuenta que la versión que estamos utilizando es una versión de prueba de 180 días. nos deberá aparecer el siguiente cuadro de dialogo: Como se puede apreciar. Damos clic en instalar ISA Server.Después de terminado de extraer todos los archivos necesarios para la instalación. 18 . tenemos la posibilidad leer un poco sobre las características del producto antes de instalarlo.

19 . después los componente adicionales y finalmente iniciamos el asistente de administración del servidor.Empezaremos por instalar los componentes principales.

damos clic en siguiente para continuar. 20 . Después de haber leído y aceptado los términos de la licencia damos clic en siguiente para continuar.En este pantallazo nos da a conocer el producto que vamos a instalar en nuestro equipo.

de lo contrario le debemos copiar la que el proveedor nos de a la hora de adquirir la licencia. 21 . NOTA: Como es un producto de prueba el numero de la serial ya viene especificado por defecto. El paso a seguir es escoger el tipo de instalación.En el siguiente cuadro de dialogo nos pedirá información básica del cliente como lo es el respectivo nombre y la organización a la que esta vinculado. la cual incluiría el servidor administrador y el de almacenamiento de configuración. en nuestro caso será la tercera opción. Damos clic en siguiente para continuar.

se instalara las características de servidor. En este caso se deja por defecto. administrador de ISA Server y servidor de almacenamiento de configuración.Como podemos observar. 22 . clic en siguiente para continuar. También especificaremos la ruta en donde quedaran guardados los archivos de nuestro ISA Server.

o si ya tenemos uno podemos replicarlo y crear una copia. Antes de continuar. daremos clic en siguiente para continuar con la instalación. leeremos atentamente la advertencia y si cumplimos las especificaciones que allí nos dice. 23 .En el cuadro de dialogo especificamos si deseamos crear un nuevo servidor de almacenamiento.

una para asociar la red interna (LAN) y la otra para asociar la red externa (WAN). para especificar el intervalo de red a utilizar en nuestra LAN 24 . Damos clic en agregar.Especificamos ahora la red interna (LAN) la cual va a estar asociada a una interfaz física de nuestro equipo. NOTA: Como se menciono anteriormente nuestro equipo debe estar dotado con dos interfaces físicas.

para esto le damos clic en Agregar intervalo. nos el asistente nos permite. agregar de una vez el adaptador físico de nuestra interfaz.Como vemos. o un direccionamiento privado ya especificado por el asistente. damos clic en aceptar para continuar. Por comodidad decidimos agregar el intervalo de red manualmente. En el siguiente cuadro especificaremos el rango de red de nuestra LAN. 25 . o por ultimo agregar nosotros manualmente el intervalo de red a utilizar.

NOTA: Podemos agregar cuantos intervalos de red queramos. 26 . de acuerdo a nuestras necesidades. damos clic en aceptar para continuar.Nos deberá quedar así.

Damos clic en siguiente para continuar. Aquí nos están advirtiendo los servicios que se reiniciaran y los que se deshabilitaran durante la instalación del ISA Server. 27 . es opcional el marcar o dejar desmarcado el cuadrito blanco. Clic en siguiente para continuar.En este cuadro de dialogo nos permite decidir si queremos que nuestro firewall utilice cifrado para las conexiones de nuestros clientes.

Listo damos clic en instalar para proceder a tener el servidor ISA Server corriendo en nuestra maquina. 28 .

Para esto chuleamos el cuadrito como se muestra en la imagen. Damos clic en finalizar. 29 . Terminada la instalación podemos proceder a ejecutar el asistente de administración de nuestro servidor.Esperamos a que se termine de instalar todos los archivos y componentes adicionales.

Si todo salio bien nos deberá aparecer el asistente de configuración como se muestra en el pantallazo. 30 .

DAR ACCESO A INTERNET A NUESTRO HOST LOCAL: Entendiendo como host local. al equipo donde estará corriendo nuestro Firewall. en este caso del ISA Server es denegar todo el trafico de red. por motivo de que en la red en la que estamos montando el laboratorio. Después de instalado el Firewall. queremos acceder a Internet desde nuestro host.POLITICA POR DEFECTO DENEGAR (DROP) PARA TENER EN CUENTA: Terminada la instalación de nuestro Firewall. esta bloqueando toda petición que se haga desde el host hasta el Proxy (se hace petición al Proxy. este empezará a aplicar la regla por defecto establecida en el producto. tiene configurado un Proxy) por el cual tenemos acceso a Internet. pero nos aparece el siguiente error: Aquí nos dice que el firewall instalado en la maquina. en este caso el ISA Server. por lo que nuestra maquina estará totalmente bloqueada. la 31 .

Generando reglas: Accederemos al asistente de configuración. la cual la llamaremos: Permitir salir a Internet a host local. En el siguiente cuadro de dialogo nos pedirá especificar el nombre de la nueva regla a crear. esto se debe a la política por defecto que es denegar todo el trafico de paquetes desde y hacia Internet. la única regla que se esta aplicando en nuestro servidor es de denegar todo. procederemos a generar una nueva regla la cual permitirá que el host local tenga acceso a Internet.esta rechazando. 32 . Para esto damos clic en tareas y seguidamente en crear regla de acceso. Como podemos ver.

Damos clic en siguiente para continuar. 33 .

nos aparecerá algo así: 34 .Ahora especificaremos la acción a cumplir con dicha regla la cual será permitir. Clic en siguiente para continuar. En este caso que es dar acceso a Internet a nuestro host local le daremos el protocolo http. Para esto damos clic en agregar. Seguidamente procederemos a elegir el protocolo que queremos que nuestro Firewall no filtren y permita la comunicación de paquetes.

35 . las cuales contienen los protocolos mas comunes en una red de datos.Están son algunas carpetas que vienen establecidas por defecto. Nos ubicaremos en la carpeta de protocolos más comunes y damos clic.

36 . Si es así damos clic en siguiente para continuar. Nos deberá quedar algo similar a esta imagen.El asistente nos desplegara una lista de protocolos más comunes. en la cual elegiremos el protocolo de Internet que es el http y damos clic en agregar.

un host. Nos aparecerá para escoger si es una red en específico. o desde donde se originara. una subred…. En este caso será una red (Interfaz de la WAN). para esto damos clic en la carpeta redes.En este cuadro de dialogo nos piden especificar el origen de la comunicación. 37 . para ello damos clic en Agregar.

escogeremos la opción que dice host local.Esta carpeta desplegara un listado de redes asociadas al equipo. como la regla es permitir que nuestro servidor tenga acceso a Internet. 38 . Y damos clic en aceptar.

Nos ubicamos en la carpeta de red. posteriormente damos clic en agregar.Ahora el asistente nos pide especificar el destino a que le permitiremos que el host local se pueda comunicar. Para esto damos clic en agregar. Deberá quedar así: 39 . en este caso es la red WAN o Internet. y seleccionamos la red externa (Internet) como destino.

Damos clic en siguiente para continuar. 40 .

41 . NOTA: Teniendo en cuanta que el origen va a hacer el host local. Damos clic en finalizar. En este cuadro de dialogo nos muestra los detalles de la nueva regla acabada de crear por nosotros. Damos clic en siguiente para continuar.Aquí el asistente nos pide especificar a los usuarios que permitirá dar acceso a Internet. los usuarios que permitiremos salir a Internet son los que están creados en el host local.

para poder que se cumpla debemos dar clic en aplicar. ahora la nueva regla se puede visualizar en la directiva de Firewall.Listo. Después de recargar nuestro Firewall. damos clic en Aceptar 42 .

ahora si procederemos a abrir nuestro navegador favorito y tratar de navegar. 43 .Antes de intentar salir a Internet verificamos que nuestra interfaz WAN este correctamente configurada con la IP publica que nos provee el proveedor de Internet. Como podemos ver todos los parámetros están correctamente configurados. para verificar que la regla anteriormente creada esta correcta.

Empezaremos a configurar nuestro servidor ISA Server teniendo en cuenta el siguiente escenario: 44 . Gracias a la regla anteriormente creada.Perfecto. ahora ya podemos navegar desde nuestro host local.

Correo. Switch 5 servidores en la LAN. Denegar Acceso de los usuarios comunes de la LAN a: Web. Permitir que los dos equipos de administradores accedan a Internet.Escenario a Desarrollar: Recursos: Equipo servidor de ISA Server. Acceso a planta telefónica. Equipos de la LAN. Web mail seguro. Juego Counter Strike. Requisitos a cumplir: Dar acceso desde Internet a nuestros 5 servidores: SSH. Correo. Dos Equipos administradores. Web. 45 . Msn.

Aceptando Ping desde la red LAN a Firewall. 46 . las cuales nos van a ir dando confianza con nuestro servidor ISA Server. la cual va a aplicar al equipo host (servidor ISA). la cual será Ping desde LAN a HOST (que es el equipo donde estará instalado nuestro ISA Server). nos ubicaremos en Administrar directivas de Firewall. Empezando desde lo básico: Empezaremos creando reglas básicas. ya le hemos configurado la primera regla. Nos deberá aparecer el siguiente cuadro de dialogo: Le daremos un nombre a la nueva regla. Abriremos el administrador de servidor ISA Server. tareas y agregar regla de acceso.Desarrollando escenario: NOTA: Cabe acordar que nuestro servidor ISA Server. que es dejar salir a Internet nuestro servidor ISA Server.

Seguidamente especificaremos la acción que va a cumplir dicha regla. la acción es permitir. Clic en siguiente. 47 . como0 queremos que los equipos de la LAN puedan dar ping a nuestro ISA Server.

En la opción agregar especificaremos el protocolo que queremos permitir en dicha regla en nuestro caso será el de ping: Después de seleccionarlo y agregarlo nos deberá aparecer el siguiente cuadro de dialogo: 48 .

Daremos clic en agregar para escoger desde que red se generara la petición ping.Damos clic en siguiente para continuar. 49 .

Ahora especificamos el origen del paquete ping, en este caso será desde la propia
LAN, por lo que escogeremos la opción de red interna, damos clic en Agregar y
cerrar, por lo que quedara como se muestra a continuación:

50

Daremos clic en siguiente para continuar.

El cuadro de dialogo nos pedirá que especifiquemos el destino que tendrá nuestra
petición ping, para ello daremos clic en agregar.

51

Escogeremos que el destino sea nuestra maquina host local (servidor ISA Server),
Agregar y cerrar.
Clic en siguiente para continuar.

Especificamos a que todos los usuarios se le cumplan la regla. Clic en siguiente.
Pantallazo
Como se puede observar, nos muestra las características con la que se genero la
nueva regla en nuestro ISA Server, daremos clic en finalizar para terminar con la
creación de la regla.
Ahora daremos clic en Aplicar y Aceptar.

52

HACIENDO PRUEBAS. y trataremos de dar ping a nuestro servidor ISA Server. Nos ubicaremos en un equipo de la LAN. A la interfaz de la LAN del servidor ISA Server. 53 . Ahora procederemos a ejecutar el comando ping. Verificamos que el equipo tenga una IP en el rango de la LAN. el resultado deberá ser satisfactorio. esta en el rango de la LAN del servidor ISA Server. Bien. NOTA: El usuario esta implementando un sistema operativo Ubuntu.

A la interfaz WAN de nuestro servidor ISA Server.

Si los resultados fueron similares a los anteriores, entonces damos como
conclusión que la regla creada para este fin esta funcionando correctamente.

54

ACCEDIENDO A NUESTRO SERVIDOR SSH DESDE LA RED WAN.
Como uno de los requisitos del escenario es permitir el acceso desde la WAN al
servidor SSH que tenemos corriendo en un equipo dentro de la red LAN,
procederemos a crear una regla en ISA Server para poder cumplir con este punto.
Desde la directiva de firewall crearemos una nueva regla de acceso.
Nos ubicaremos en tareas, y publicar protocolos de servidor no Web. Nos
aparecerá el siguiente cuadro de dialogo.

Especificaremos el nombre con el que vamos a llamar a la nueva regla. Damos clic
en siguiente.
NOTA: Se escoge la opción de publicar servidor no Web, ya que lo que se busca
es redireccionar desde el Firewall la conexiones que vengan desde la red WAN
hacia un equipo local de la red.

55

En este cuadro de dialogo, especificaremos la dirección IP que tendrá nuestro
equipo de la red LAN, el cual será la IP del servidor SSH. Clic en siguiente.

56

Especificamos el nombre del nuevo protocolo. 57 . nos tocara asignar uno nuevo por la opción nuevo.Ahora seleccionaremos el puerto que vamos a redireccionar. como el puerto del SSH no esta especificado en la lista de protocolos. el cual lo llamaremos open ssh. Clic en siguiente.

Ahora daremos clic en nueva para definir el puerto y tipo de protocolo a utilizar. y pel puerto que especificaremos será 22. Clic en aceptar para continuar 58 . En dirección es entrada por que todos los paquetes vendrán desde la WAN hacia la red LAN.

59 . Daremos clic en siguiente.Ahora daremos clic en siguiente. especificando que no deseamos aceptar conexiones secundarias en nuestro servidor SSH.

nos muestra las características con la que quedo nuestro protocolo en el ISA Server.Finalizado la creación de nuestro protocolo SSH. 60 . Clic en finalizar. Daremos en siguiente para continuar nuestra configuración.

61 .Ahora especificaremos desde donde se generara las peticiones SSH. Clic en siguiente para continuar. damos clic en finalizar. Terminada la regla. las cuales vendrán desde la red WAN.

trataremos de acceder al servidor SSH de la red LAN. por lo que nos deberemos conectar al firewall. que fue la regla que anteriormente creamos. ya que el SSH esta corriendo en la red LAN. lo que significa que desde la red WAN esta red no es alcansable. desde un equipo de la red WAN. al equipo que realmente estamos accediendo desde Internet. con la herramienta putty. no es al servidor SSH directamente. y este se encargaría de redireccionarnos al servidor SSH. 62 . o sea en una red privada. Como podemos observar.HACIENDO PRUEBAS: Terminada la creación de la regla.

nos deberá dejar acceder a la maquina remota. como lo podemos observar en el pantallazo anterior. 63 .Después de conectarnos remotamente. el servidor SSH nos pedirá que nos loguemos. con un usuario y contraseña que deberá existir en el equipo donde esta corriendo nuestro servidor SSH. Si el usuario y contraseña son correctos.

Nos deberá aparecer el siguiente cuadro de dialogo: En el cual nos pedirá el nombre de la nueva regla que se regirá desde nuestro firewall. Ahora permitiremos que desde la red WAN se pueda acceder a nuestro servidor de correo. tareas y damos clic en y publicar protocolos de servidor de correo. que esta ubicado en el interior de nuestra LAN. Para ello crearemos una nueva regla en nuestro firewall. le dimos el nombre de acceso servidor….ACCEDIENDO A NUESTRO SERVIDOR DE CORREO DESDE LA RED WAN. 64 . Damos clic en siguiente para continuar. Nos ubicaremos en directivas de firewall. Como es de permitir conexiones desde el exterior hasta nuestro servidor de correo en el interior de la LAN.

Ahora nos pedirá el tipo de acceso a nuestro servidor de correo. Escogeremos la primera opción si lo que queremos es que sean clientes que tengan acceso a nuestro servidor. 65 . escogeremos la segunda opción. pero si lo que queremos es una comunicación de servidor a servidor. En nuestro caso será la primera y daremos clic en siguiente para continuar.

ya que lo que publicaremos será un servidor de correo. daremos clic en siguiente para continuar. 66 .Ahora seleccionaremos el servicio que publicaremos. escogeremos el de SMTP.

como es desde la red WAN que queremos que tengan acceso escogeremos la red externa y daremos clic en siguiente. Ahora especificamos las redes que estarán permitidas a realizar peticiones a nuestro servidor de correo.Ahora nos pedirá especificar la IP con la que estará configurado nuestro servidor de correo. recordemos que el servidor esta dentro de la LAN lo que esta en el rango de IP privado de nuestra corporación. 67 .

aplicare y aceptar. desde una maquina de la red WAN. procederemos a hacer la respectiva prueba. daremos clic en finalizar. HACIENDO PRUEBAS: Terminado de publicar nuestro servidor de correo.Listo. accederemos por telnet al puerto 25 de la maquina donde esta nuestro servidor de correo. 68 .

que esta Escuchando por el puerto 25. esperamos a que se termine de conectar con nuestro servidor. Podemos observar que estamos conectándonos.Como podemos observar. haremos un telnet a nuestro servidor de correo. 69 .

podemos observar que nuestro servidor de correo es un postfix. 70 . ACCEDIENDO A NUESTRO SERVIDOR WEB MAIL SEGURO DESDE LA RED WAN Ahora necesitamos que desde la red WAN accedan a nuestro Web mail seguro. procederemos a crear una nueva regla de acceso. tareas y publicar servidor de correo. y esta corriendo en una maquina ubuntu. Si nos aparece como se puede ver en el recuadro anterior es por que todo esta correcto. para lograr esta hazaña. para esto nos ubicaremos en directivas de firewall.Terminada la conexión.

esta la llamaremos acceso a webmail seguro. Clic en siguiente.Como siempre al momento de crear una nueva regla en nuestro firewall. nos pedirá que la nombremos. ya que la comunicación se hará de manera cifrada. 71 .

como el anterior y clic en siguiente. Ahora seleccionaremos el servicio a publicar el cual será el SMTP de manera segura. el cual será acceso de clientes.Ahora seleccionaremos el tipo de acceso que permitiremos. Clic en siguiente. 72 . ya que será el webmail seguro.

Especificaremos la IP de nuestro servidor de webmail seguro. clic en siguiente. clic en siguiente. el cual estará en el rango de la IP privada. 73 . Ahora especificamos la red que tendrá acceso a nuestro Web mail seguro la cual será la externa.

se desarrollan similarmente a los desarrollados anteriormente. sin crear ninguna regla de permisos.Daremos clic en finalizar para culminar con la creación de nuestra nueva regla de acceso. 74 . a medida que vayamos necesitando que los usuarios se comuniquen por un servicio en especifico. lo cual se deduce que con los 3 ejemplos que se dieron anteriormente. PARA TENER EN CUENTA: Como se planteo en el ejercicio. es si no dejar el servidor ISA Server como lo tenemos. el protocolo y el puerto por donde estará escuchando dicho servicio. por lo que no necesitaremos preocuparnos por bloquear los servicios que allí nos mencionan que bloqueemos. con la única diferencia que se le cambia el nombre de la regla. Para bloquear las aplicaciones mencionadas en el ejercicio. posteriormente daremos clic en aplicar y aceptar. ya que por defecto viene denegando todas las peticiones que se hagan desde la LAN hacia el exterior. pero seria muy canson. debemos dar acceso a unos cuantos servicios de nuestra LAN desde Internet. estar repitiendo el mismo procedimiento para cada uno de ellos. se puede decir que se aclaro el como generar reglas de acceso para los servicios. vamos creando las respectivas reglas para que no hayan ningún tipo de inconvenientes. Los que quedaron por explicar en este documento.

PERMITIR A LOS ADMINISTRADORES ACCESO A INTERNET DESDE LA RED LAN Culminada la creación de las reglas para los usuarios de la red WAN y la red LAN. continuaremos desarrollando los requisitos del ejercicio planteado al principio de este artículo. Clic en siguiente para continuar. especificaremos el nombre que queremos ponerle a nuestra regla. y crear nueva regla de acceso. el cual nos menciona permitir que los dos usuarios administradores tengan acceso a Internet desde la red LAN. posteriormente elegimos la opción tareas. Nos ubicamos en directivas de firewall. 75 . En el cuadro de dialogo que nos aparece.por lo que nos quedaría faltando crear la regla para que los administradores tengan acceso a Internet.

la cual será permitir. seleccionamos agregar y siguiente. clic en siguiente para continuar. Ahora nos pregunta que protocolos vamos a permitir en esta regla.Ahora especificamos la acción que el firewall va a ejecutar para dicha regla. 76 .

los cuales son DNS y http. Nos ubicamos en la carpeta que corresponda al protocolo que estamos buscando y la desplegamos.Nos deberá aparecer el siguiente cuadro de dialogo. 77 . en el cual seleccionaremos el o los protocolos para la regla que estamos creando. como esta es una regla para acceso a la Web. Al seleccionar la carpeta se despliega los protocolos que están relacionados con la misma. escogeremos los protocolos correspondientes.

aunque la regla aplicara a usuarios administradores. Ahora ya nos aparece los protocolos que se cumplirán en dicha regla.Posteriormente daremos clic en Agregar. daremos clic en siguiente para continuar. pero nos referimos al punto del ejercicio para desarrollar dicha regla. 78 . NOTA: Hubiésemos podido especificar todo el tráfico saliente.

están los equipos de la LAN. damos clic en agregar para continuar. escogeremos a los equipos de los administradores. Como podemos ver. 79 .Ahora escogeremos el origen de la petición. Nuevamente nos ubicaremos en la carpeta la cual contenga el origen de la comunicación. los cuales serán en la carpeta equipos. Posteriormente le damos clic en Agregar. en este caso serán los dos equipos administradores. la desplegamos y nos aparecerán los equipos de nuestra LAN.

desde donde se generaran las peticiones Web.NOTA. y especificamos la IP del equipo y el nombre. dándole clic en nuevo. damos clic en siguiente para continuar. Los equipos se deben agregar manualmente. equipo. Ya agregamos los equipos administradores. 80 .

81 . el cual los agregaremos dando clic en el icono Agregar. Nuevamente ubicamos la carpeta que contenga el destino que estemos buscando y la desplegaremos desde el icono +.Ahora especificamos hacia donde estará orientado el trafico de los dos administradores de la LAN.

damos clic en Agregar. 82 . el cual agregaremos la red externa. daremos clic en siguiente para continuar. ya que es la red de Internet. Listo quedo ya especificado el destino al que tendrán acceso nuestros administradores.Nos aparecen posibles destinos.

Y damos clic en siguiente. Posteriormente clic en Aplicar y Aceptar para que nuestro servidor Firewall coja los cambios y cargue nuestra nueva regla. 83 .Ahora especificamos a que usuarios aplicara dicha regla. para culminar de crear nuestra nueva regla. como es el equipo administrador nos podíamos imaginar fácilmente que el único que tendrá acceso a la maquina es el respectivo administrador. por eso dejamos la opción que el ISA Server nos arroja por defecto. Ahora daremos clic en finalizar. lo cual podría ingresar desde cualquier usuario de ese equipo.

para poder asignar un tamaño para la cache daremos clic derecho la opción propiedades: 84 . Para ello nos ubicaremos en nuestro admón. su espacio total.CONFIGURANDO PROXY WEB EN ISA SERVER Ahora empezaremos a configurar un servidor Proxy Web con el fin de ahorrar recursos de ancho de banda con respecto a peticiones http y por supuesto a filtrar paquetes de acuerdo a sus extensiones y las urls. De ISA Server y en la opción cache nos deberá aparecer algo similar a lo siguiente: Aquí nos muestra el nombre de nuestra partición en disco.

Ahora en red.Como podemos observar el espacio que se le asigno a la cache fue de 100 MB y estará guardada en la unidad C: de nuestro disco. clic derecho y propiedades. 85 . seleccionamos la red interna. Daremos clic en aceptar para continuar.

el cual será por donde estará corriendo dicho servicio en nuestro caso será el puerto 3128. Ahora nos ubicamos en la matriz de nuestro servidor. en la regla que le esta permitiendo dar salida a todos nuestros usuarios de la red al exterior. de lo contrario la opción que mas le sea de utilidad. si lo que queremos es denegar las extensiones que se mencionaran en este cuadro. seleccionamos la opción de denegar extensiones. daremos clic derecho escogeremos la opción configurar http y nos deberá aparecer el siguiente cuadro de dialogo: Ahora nos ubicaremos en la pestaña extensiones. Aplicar aceptar. Damos clic en agregar y nos debe aparecer el siguiente cuadro de dialogo: 86 .En la opción Proxy Web le configuraremos el puerto por donde los usuarios se van a conectar al Proxy.

Nos deberá quedar algo similar a lo siguiente: Ya teniendo definidas las extensiones a filtrar daremos clic en aplicar y aceptar.Escribiremos las extensiones que queremos que nuestro Proxy filtre a los usuarios. daremos clic en aceptar. 87 .

Ahora especificaremos las url que queremos que filtre nuestro Proxy. 88 . Ahora daremos clic en aplicar y aceptar. para ello nos ubicamos donde nos menciona el recuadro y damos clic en agregar. Escribiremos el nombre que le queremos poner al conjunto de reglas y posteriormente las url a denegar.

89 .Como en nuestra red hay un Proxy padre. como nos muestra la imagen anterior nos ubicamos en esa ruta y daremos clic derecho propiedades. configuraremos a nuestro Proxy para que se redireccione y pueda reenviar las peticiones al Proxy global de nuestra compañía.

Y configuración: Ahora especificamos la IP del Proxy padre. red. 90 . desde un equipo de nuestra LAN. el puerto por donde escucha y aceptar. avanzado. configuraremos en el navegador por la opción herramientas. y daremos la IP de nuestra maquina que esta sirviendo como Proxy. servidor Proxy.Daremos clic en la pestaña acción y escogeremos la que menciones redirigiéndolas a un servidor…. opciones de Internet. con el puerto por donde el servicio este escuchando. Para hacer las respectivas pruebas.

 Se alcanzaron los objetivos propuestos en el escenario.  Se obtuvo conocimiento de la herramienta mas utilizada en Microsoft como firewall.  Buena documentación pese a estar en ingles la gran mayoría de esta.  Se logro implementar Proxy como contramedida o refuerzo para el firewall.CONCLUCIONES  Se nos facilito el uso de la herramienta por ser entorno grafico la configuración.  Se contó con los recursos necesarios para montar y poder simular una red como la del escenario. 91 .