Académique Documents
Professionnel Documents
Culture Documents
Configuracin Inicial de los NIC04 Instalacin de ISA09 Configuracin de ISA....13 Regla del DHCP Externa.13 Configuracin de tipo de Firewall (3 LEG)...17 Configuracin de Servidor ISA 01.21 Configuracin de Redes.22 Redes.22 Conjunto de Redes.29 Reglas de Red..29 Encadenamiento WEB..30 General ISA31 Asignacin de Directivas..32 Definicin de Clientes Firewall..33 Configuracin de encadenamiento Firewall.33 Especificacin de preferencias Acceso Telefnico..33 Especificaciones de Ldap y Radius..34 Configuracin Traductor de vinculo global....34 Especificacin configuracin de revocacin de certificados.35 Definir preferencias de compresin de http..36 Especificaciones preferencias del DIFFSERV 37 Habilitar deteccin de intrusos y deteccin de ataques al DNS..38 Configurar migracin de Ataques FLOOD, congestin al servidor38 Definir Proteccin IP..39 Configuracin de Servidor Isa 0140 Complementos..41 Filtros de aplicacin.41 Filtros WEB..41 Configuracin del CACHE ISA 0142 Reglas del CACHE...43 No Cach a Factory..43 No Cach a Bancos......45 Regla por defecto de Isa....46 Ultima regla del cach..48 Configuracin del RPC (Mtodo de transporte para replica)........50 Reglas de Isa 01..51 Resolver desde MI DNS..51 Resolver DNS hacia el Internet..53 Infraestructura Local (Directiva creado por ISA)......54 De Clientes VPN a la Interna (Directiva creada por ISA)....56 Acceso a Internet Sin restricciones..58
Reglas de Drovica (Creadas por administrador)60 Configuracin de Grupos en Active Directory y dominios de accesos.60 No Messenger 68 Lista Negra73 Regla de servicios de correo76 Configuracin de Outlook y en lance con los servicios de correo ..78 Prensa digital.81 Transporte..83 Correos Web.83 RRHH y Configuracin de redireccin a equipos...85 Contadores 90 Gobiernos92 Bancos..94 Proveedores96 Acceso Web al Host.100 Acceso a Factory102 Enlace Entre los dos Isa.104 Instalacin del ISA 02.106 Configuracin del ISA 02..107 Nueva configuracin de la RED INTERNA111 Configuracin GENERAL del ISA 02..112 Asignacin de Directivas..112 Definicin de Clientes Firewall..114 Configuracin de encadenamiento firewall.115 Especificacin de preferencias Acceso Telefnico..115 Especificaciones de Ldap y Radius..116 Configuracin Traductor de vinculo global....117 Especificacin configuracin de revocacin de certificados.118 Definir preferencias de compresin de http..118 Especificaciones preferencias del DIFFSERV 119 Habilitar deteccin de intrusos y deteccin de ataques al DNS..120 Configurar migracin de Ataques FLOOD, congestin al servidor121 Definir Proteccin IP..122
Lo primero que hay que hacer es instalar las tarjetas de red en este caso necesitamos 3 tarjetas de red porque vamos a necesitar una zona desmilitarizada (DMZ) o perimetral, esta configuracin se llama trpode; una vez instalado y configurados las 3 tarjetas procedemos a colocarle nombres y las direcciones IP, la configuracin seria de esta forma:
Nic Interna DMZ Externa Ip Mascara Puerta de enlace N/A N/A IP ISP Dns Primario 192.168.1.10 N/A IP ISP Dns Secundario N/A N/A IP ISP
Nota de la interna: No aplica puerta de enlace porque este equipo esta recibiendo directo flujo de Internet en conclusin no lleva. Nota de la DMZ: esta direccin IP que tiene la Nic DMZ ser que utilizaran como puerta de enlace en todos los equipos que estn en la zona desmilitarizada. Nota Externa: estos IP son suministrados del ISP. Una vez que ya nuestras tarjetas estn identificadas y con los ips asignados Ahora vamos a configurar la parte interna de la tarjeta: Interna:
DMZ Y EXTERNA
Isa Server Drovica As debe quedar la configuracin del WINS en la NIC externa y DMZ
Las tarjetas deben quedar con esa configuracin, ahora tenemos que dar el sig orden esto lo hacemos en las propiedades de las conexiones de red
Las tarjetas deben quedar con este orden (este orden es la forma en que el computador le dice al isa cual es la prioridad de las tarjetas y de esa forma el isa Server las va a cargar en las platillas)
Ahora realizamos EL parcho correspondiente para los servidores y reseteamos una vez que botea el servidor, probamos que exista Internet hay que tomar en cuenta que al momento de instalar isa se bloquea flujo de Internet. Ya que probamos que tenemos Internet vamos a pegar al Isa al Domino drovica, ahora hacemos ping a todas las tarjetas del ISA y luego ping a la direccin de la tarjeta nic del DC (Controlador de Dominio) y luego Vamos a las propiedades del sistema tecla Windows + pausa, luego a Nombre de Equipo y Luego botn de Cambiar se supone que el isa esta en un grupo de trabajo pues simplemente vamos a la barra de DOMINO y colocamos el dominio (Drovica.com) luego me pregunta Usuario y contrasea del administrador de la red, le damos ingreso a estos datos y enter, luego me pide resetear y ya esta unido al Dominio. Realizamos las actualizaciones de Windows en el servidor isa (Srv-Isa-01)
10
11
Una vez instalado procedemos a instalar el SP (service pack) correspondiente Reseteamos y creamos la primera regla del isa
12
Luego de la instalacin me quedo sin Internet y lo primero que hacemos es la red cambiar la regla de de las 30 grandes y en ella agregar en el DE Externa de lo contrario de lo contrario cuando la NIC externa que tomo los valores de ISP cambien por regeneracin de ip no vamos a navegar porque el DHCP no esta activado y no renueva la direccin con este simple cambio solucionamos eso Lo hacemos as:
13
14
15
16
Con esto garantizamos la renovacin del DHCP de la externa de lo contrario la pierde y no hay navegacin despus que la externa pierde la ip con el proveedor de servicio
Isa Server Drovica Ahora cambiamos la topologa el isa viene por defecto con
17
18
19
20
Nota importante si no cambio primero la estructura de la red y hago primero las reglas y luego cambio cuando se ejecute el cambio de red pierdo todas las reglas esto debido a que esta es una estructura nueva; al cambiar la estructura el Isa me crea otras polticas relacionadas con la nueva configuracin, crea 6 directivas mas las cuales veremos a continuacin
21
22
La configuracin del 3 Leg queda de la sig. forma (ahora veremos Redes y General, la configuracin de cach ser en otro capitulo)
23
24
25
26
27
28
29
30
31
Ahora vamos a ver la configuracin de GENERAL En esta seccin vamos a configurar ciertos iconos pero de igual forma los veremos todos identificaremos los iconos pulsados con un circulo rojo
32
33
El Outlook viene en la configuracin del Firewall en 1 y debe ser 0 como esta en el grafico
34
35
36
37
38
39
40
41
42
Antes de hacer la configuracin del Isa Server de la funcin de cach se debe crear el espacio en disco en el servidor se recomiendan al menos unos 6 GB para esta funcin, si se coloca mas el cach va a ser muy pesado y no va a dar el resultado adecuado y si por lo contrario se coloca menos el cach se llenara muy rpido; obviamente este tamao va estar definido por la necesidad de la empresa. Para ello creamos una unidad con ese espacio, la formateamos y luego vamos al Isa a activar la zona cach
Definicin del cach Luego creamos las Directivas para cach aplicamos hasta la fecha en Drovica las cuales explicaremos las 3 que
43
1- No cach al Factory
44
45
2- No cach Bancos
46
47
48
49
50
Configuracin del para el RPC, tcnica importante para dar salida a las Replicas entre sitios si no se configura esto todo queda por defecto cada 15 min. NOTA importante No recomiendo cambiar en los sitios el mtodo de transporte a IP se recomienda dejarlo RPC
51
Ahora vamos a trabajar y/o crear las polticas que crea el Isa la primera que tocamos o creamos es: 1- Regla de Resolver desde Mi DNS
52
Solapa de programacin y tipo de contenido no se tocan estn por defecto (Nota ojo verificar si adems de ir al host local va tambin al equipo DNS)
53
54
55
56
57
58
59
60
Directivas de trabajo y puesta a tono de ISA Isa coloca por defecto las directivas de Negacin en primer plano esto es porque el va evaluado directiva por directiva verifica si la solicitud del cliente se niega de no ser as pasa a la otra directiva hasta llegar a la directiva correspondiente y ejecutar la accin dependiendo del usuario, es por ello la importancia de la posicin de las directivas tanto de Denegar como las de Permitir esto es el 80% de los problemas del Isa las posiciones de las directivas. Antes de hacer cualquier cosa con el Isa debemos hacer un trabajo en el Active Directory es una trabajo de organizacin de los usuarios por grupos debido a que el Isa trabaja por Grupo de usuarios
Dominios Aplicados
En este grupo estarn todos los grupos a los cuales se le aplicaran las polticas para la configuracin automtica del Proxy
61
62
Ahora veremos grupo de administradores, este grupo esta identificado con Acceso LIBRE es decir no tendr restricciones (recordemos que aun no hemos tocado las directivas de isa)
Fjese que no es miembro de ningn grupo que lo pueda limitar esta libre
63
Descripcin de cuales son los dominios a los cuales podr acceder este grupo de usuarios
64
Miembro al grupo que pertenece en este caso al grupo de Usuarios al cual se le aplicara la directiva de Configuracin de Proxy
65
Una vez definidos los grupos procedemos a definir en el isa los Dominios y all mismo en las directivas del isa es que se relacionaran los dominios con los grupos de usuarios, en otras palabras en las directivas del isa de defina a quien se le aplican las directivas y a donde tienen salida los usuarios de determinada directiva. Los dominios de isa significa a donde apunta el usuario la regla determinara si el usuario o grupo de ellos tiene acceso a este dominio, si tiene lo abre y da acceso de lo contrario el usuario no podr salir de ese grupo de dominios al cual esta confinado
Internet
Solicitud negada fuera de los dominios registrados para este usuario o grupo de
Ahora veremos algunos ejemplos de dominios permitidos en el Isa, vale acotar que para la configuracin de los dominios se debe realizar de la siguiente forma
*.hp.com
pueda tener el dominio
con esta configuracin se ingresa el dominio como tal En conclusin ambas configuraciones deben estar definidas en el conjunto del dominio que se esta creando; ejemplo:
Hp.com
66
Nombre del conjunto de dominios al cual los usuarios referidos sern confinados
67
De esta forma que acabamos de ver es como se configuran los dominios obviamente estos dominios estarn relacionados con las actividades del grupo al cual se le asignara Nota: Estos Dominios se pueden utilizar tanto para permitir como para denegar dependiendo del caso, ejemplo listas negras
Una vez definida los grupos de los dominios procedemos a realizar las Directivas de Isa Server
Isa Server Drovica Iniciaremos con las Directivas personalizadas del isa: 1- No Messenger
68
Para esta directiva en especial debemos configurar el tipo de contenido lo hacemos de la siguiente forma primero creamos la Poltica luego creamos la directiva, en esta poltica lo que se hace es filtrar el flujo de http y por medio del contenido bloquea la aplicacin, el caso es que Messenger tiene varias versiones y hay que estar colocando el nuevo contenido
69
70
71
Aqu tipeamos o ubicamos en el combo un prefijo de aplication/x (Contenido). Nota a pesar que el Isa es en espaol la palabra que se coloca es en ingles
72
Marcamos Nuestro contenido ya que como se ve en la seleccin de contenida el filtro de http se aplicara al contenido seleccionado que es el que acabamos de crear
73
2- Listas Negras
74
Esta regla tiene como excepcin al grupo Internet administradores, dando as plena libertad de navegacin
Debido a que los Gerentes estn libres con esto se les impide que naveguen en los dominios de las listas negras
Nota importante en las lista negra esta la pagina de www.youtube.com el problema es que youtube pertenece a google.com y en la configuracin que tenemos google esta en las Internet Limitado a su vez todos los grupos tienen acceso a Internet Limitado, si se le da salida a google tambin se le dar al youtube es decir que todos los usuarios tendran youtube la solucin para ello es aplicar la negacin a los Gerentes que estn libres y al Internet Limitado que es por donde se fugara la pagina y se le da una excepcin a los administradores de esa forma se soluciona el problema de YOUTUBE
75
76
3 Acceso a los Servicios de Correos Esta configuracin es a nivel de protocolos para la configuracin de Outlook
77
78
79
Se debe seleccionar esta opcin para que cuando se baje el correo quede una copia en el repositorio del correo
80
Para dejar copia de los correos en el proveedor original, es decir para que no los baje de Hotmail
81
82
83
6- Correos WEB (vale acotar que esta regla esta deshabilitada porque ya todos los usuarios estn configurados para trabajar por Outlook y no es necesario ir al servidor de correos (yahoo, gmail, Hotmail, etc) Es decir el usuario entra el la Pg. Web del Proveedor de correos
84
85
7- Internet de RRHH Este es un punto interesante debido a que trabaja con paginas del gobierno y aqu ocurre un fenmeno que son las extensiones del los dominios gubernamentales el estado venezolano aun no regula sus extensiones es por ello que se deben colocar tanto el .gob y .gov en algunos casos hay que colocar la direccin IP del servidor al cual se esta llamando. En el caso donde se apunta el ip como IVSS y MINTRA hay que crear EQUIPOS
86
87
88
89
90
91
92
93
94
95
96
97
98
99
Isa Server Drovica 13- Acceso Web Al host Local (es decir al Isa)
100
101
Nota: esta para todos los usuarios se supone que al Isa tienen acceso solo los administradores pero tambin se puede colocar el Grupo de administradores y listo as se restringe aun mas el la seguridad
102
103
104
Una vez configurado nuestro Isa principal vamos a la instalacin del Isa secundario para ello debemos tomar en cuenta lo siguiente, debido a que los isa NO poseen puerta de enlace ellos Jams se van a ver y sin la puerta de enlace nunca habr comunicacin es por ello que se debe realizar el procedimiento que se describe a continuacin (si esto no se hace no habr comunicacin y no se podr montar el Isa Server Secundario y que enlace con el master) Debemos utilizar el comando de consola Route y con el establecer la ruta que poseern los Isa Tomando en cuenta que estamos en el isa 01 la configuracin es Ip: 192.168.1.9 Mask: 255.255.255.0 PUERTA DE ENLACE: 0.0.0.0 Dns: 192.168.1.10 Nota: recordemos que la comunicacin que tenemos es por RRAS cuyo ip es 192.168.9.100
b Metrica: b Costo b
Define los Intentos que va hacer para llegar al destino
Como se puede ver el ip es 192.168.9.0 y no 192.168.9.9 esto es con la finalidad que tome a toda la red todo el rango del segmento 9
-p: Parmetro para que sea persistente la ruta si no se le coloca al momento de resetear la pierde la comunicacin
105
Ruta ya establecida
106
b Metrica: b Costo b
Define los Intentos que va hacer para llegar al destino
Como se puede ver el ip es 192.168.1.0 y no 192.168.1.9 esto es con la finalidad que tome a toda la red todo el rango del segmento 1
-p: Parmetro para que sea persistente la ruta si no se le coloca al momento de resetear la pierde la comunicacin
Una vez establecida la conexin procedemos a realizar la instalacin del Segundo Isa
107
108
Una vez instalado el Isa 02 se proceden hacer la configuracin correspondiente a las a ese isa como se realizo en el ISA 01. Como deseamos una configuracin indistinta los que hacemos es exportar las directivas de isa01 y luego las importamos al isa 02 lo mismo hay que hacer con las de cache exportar y luego importar con la salvedad que hay que hacer nuevamente la configuracin de cache recordemos que es un isa totalmente nuevo Se debe crear una nueva Matriz (es decir un nuevo sitio)
109
110
Una vez creada la nueva matriz podremos observar que en el rea de de redes encontramos cambios en algunas solapas configuracin del Servidor
111
Isa Server Drovica Ahora veremos como queda la zona GENERAL en el Isa 02
112
113
114
115
116
117
118
119
120
121
122
123