Pasos Para montar y Configurar Isa Server 2006 Caso Drovica

Isa Server Drovica Indice

Configuracin Inicial de los NIC04 Instalacin de ISA09 Configuracin de ISA....13 Regla del DHCP Externa.13 Configuracin de tipo de Firewall (3 LEG)...17 Configuracin de Servidor ISA 01.21 Configuracin de Redes.22 Redes.22 Conjunto de Redes.29 Reglas de Red..29 Encadenamiento WEB..30 General ISA31 Asignacin de Directivas..32 Definicin de Clientes Firewall..33 Configuracin de encadenamiento Firewall.33 Especificacin de preferencias Acceso Telefnico..33 Especificaciones de Ldap y Radius..34 Configuracin Traductor de vinculo global....34 Especificacin configuracin de revocacin de certificados.35 Definir preferencias de compresin de http..36 Especificaciones preferencias del DIFFSERV 37 Habilitar deteccin de intrusos y deteccin de ataques al DNS..38 Configurar migracin de Ataques FLOOD, congestin al servidor38 Definir Proteccin IP..39 Configuracin de Servidor Isa 0140 Complementos..41 Filtros de aplicacin.41 Filtros WEB..41 Configuracin del CACHE ISA 0142 Reglas del CACHE...43 No Cach a Factory..43 No Cach a Bancos......45 Regla por defecto de Isa....46 Ultima regla del cach..48 Configuracin del RPC (Mtodo de transporte para replica)........50 Reglas de Isa 01..51 Resolver desde MI DNS..51 Resolver DNS hacia el Internet..53 Infraestructura Local (Directiva creado por ISA)......54 De Clientes VPN a la Interna (Directiva creada por ISA)....56 Acceso a Internet Sin restricciones..58

Isa Server Drovica

Reglas de Drovica (Creadas por administrador)60 Configuracin de Grupos en Active Directory y dominios de accesos.60 No Messenger 68 Lista Negra73 Regla de servicios de correo76 Configuracin de Outlook y en lance con los servicios de correo ..78 Prensa digital.81 Transporte..83 Correos Web.83 RRHH y Configuracin de redireccin a equipos...85 Contadores 90 Gobiernos92 Bancos..94 Proveedores96 Acceso Web al Host.100 Acceso a Factory102 Enlace Entre los dos Isa.104 Instalacin del ISA 02.106 Configuracin del ISA 02..107 Nueva configuracin de la RED INTERNA111 Configuracin GENERAL del ISA 02..112 Asignacin de Directivas..112 Definicin de Clientes Firewall..114 Configuracin de encadenamiento firewall.115 Especificacin de preferencias Acceso Telefnico..115 Especificaciones de Ldap y Radius..116 Configuracin Traductor de vinculo global....117 Especificacin configuracin de revocacin de certificados.118 Definir preferencias de compresin de http..118 Especificaciones preferencias del DIFFSERV 119 Habilitar deteccin de intrusos y deteccin de ataques al DNS..120 Configurar migracin de Ataques FLOOD, congestin al servidor121 Definir Proteccin IP..122

Isa Server Drovica

Lo primero que hay que hacer es instalar las tarjetas de red en este caso necesitamos 3 tarjetas de red porque vamos a necesitar una zona desmilitarizada (DMZ) o perimetral, esta configuracin se llama trpode; una vez instalado y configurados las 3 tarjetas procedemos a colocarle nombres y las direcciones IP, la configuracin seria de esta forma:
Nic Interna DMZ Externa Ip Mascara Puerta de enlace N/A N/A IP ISP Dns Primario 192.168.1.10 N/A IP ISP Dns Secundario N/A N/A IP ISP

192.168.1.9 255.255.255.0 172.16.1.1 255.255.255.0 IP ISP IP ISP

Nota de la interna: No aplica puerta de enlace porque este equipo esta recibiendo directo flujo de Internet en conclusin no lleva. Nota de la DMZ: esta direccin IP que tiene la Nic DMZ ser que utilizaran como puerta de enlace en todos los equipos que estn en la zona desmilitarizada. Nota Externa: estos IP son suministrados del ISP. Una vez que ya nuestras tarjetas estn identificadas y con los ips asignados Ahora vamos a configurar la parte interna de la tarjeta: Interna:

Isa Server Drovica

DMZ Y EXTERNA

Isa Server Drovica

As debe quedar la configuracin del DNS en la NIC externa y en la DMZ

Isa Server Drovica As debe quedar la configuracin del WINS en la NIC externa y DMZ

Isa Server Drovica

Las tarjetas deben quedar con esa configuracin, ahora tenemos que dar el sig orden esto lo hacemos en las propiedades de las conexiones de red

Vamos a opciones avanzadas

Las tarjetas deben quedar con este orden (este orden es la forma en que el computador le dice al isa cual es la prioridad de las tarjetas y de esa forma el isa Server las va a cargar en las platillas)

Isa Server Drovica

Ahora realizamos EL parcho correspondiente para los servidores y reseteamos una vez que botea el servidor, probamos que exista Internet hay que tomar en cuenta que al momento de instalar isa se bloquea flujo de Internet. Ya que probamos que tenemos Internet vamos a pegar al Isa al Domino drovica, ahora hacemos ping a todas las tarjetas del ISA y luego ping a la direccin de la tarjeta nic del DC (Controlador de Dominio) y luego Vamos a las propiedades del sistema tecla Windows + pausa, luego a Nombre de Equipo y Luego botn de Cambiar se supone que el isa esta en un grupo de trabajo pues simplemente vamos a la barra de DOMINO y colocamos el dominio (Drovica.com) luego me pregunta Usuario y contrasea del administrador de la red, le damos ingreso a estos datos y enter, luego me pide resetear y ya esta unido al Dominio. Realizamos las actualizaciones de Windows en el servidor isa (Srv-Isa-01)

Desconectamos el ISA del Internet

Ahora procedemos a instalar el ISA SERVER 2006

Isa Server Drovica

10

Isa Server Drovica

11

Una vez instalado procedemos a instalar el SP (service pack) correspondiente Reseteamos y creamos la primera regla del isa

Isa Server Drovica

12

Luego de la instalacin me quedo sin Internet y lo primero que hacemos es la red cambiar la regla de de las 30 grandes y en ella agregar en el DE Externa de lo contrario de lo contrario cuando la NIC externa que tomo los valores de ISP cambien por regeneracin de ip no vamos a navegar porque el DHCP no esta activado y no renueva la direccin con este simple cambio solucionamos eso Lo hacemos as:

Isa Server Drovica Ubicamos la regla 10

13

Doble click en esa regla

Isa Server Drovica

14

Isa Server Drovica

15

Isa Server Drovica

16

Presionamos aceptar y aplicamos los cambios

Con esto garantizamos la renovacin del DHCP de la externa de lo contrario la pierde y no hay navegacin despus que la externa pierde la ip con el proveedor de servicio

Isa Server Drovica Ahora cambiamos la topologa el isa viene por defecto con

17

En este caso la cambiamos a trpode

Isa Server Drovica

18

Isa Server Drovica

19

Isa Server Drovica

20

Nota importante si no cambio primero la estructura de la red y hago primero las reglas y luego cambio cuando se ejecute el cambio de red pierdo todas las reglas esto debido a que esta es una estructura nueva; al cambiar la estructura el Isa me crea otras polticas relacionadas con la nueva configuracin, crea 6 directivas mas las cuales veremos a continuacin

Isa Server Drovica Configuracin del Servidor Srv-Isa-01

21

Isa Server Drovica

22

La configuracin del 3 Leg queda de la sig. forma (ahora veremos Redes y General, la configuracin de cach ser en otro capitulo)

Isa Server Drovica

23

Isa Server Drovica

24

Isa Server Drovica

25

Isa Server Drovica

26

Isa Server Drovica

27

Isa Server Drovica

28

Isa Server Drovica

29

Isa Server Drovica

30

Isa Server Drovica

31

Ahora vamos a ver la configuracin de GENERAL En esta seccin vamos a configurar ciertos iconos pero de igual forma los veremos todos identificaremos los iconos pulsados con un circulo rojo

Isa Server Drovica

32

Isa Server Drovica

33

El Outlook viene en la configuracin del Firewall en 1 y debe ser 0 como esta en el grafico

Isa Server Drovica

34

Isa Server Drovica

35

Isa Server Drovica

36

Isa Server Drovica

37

Isa Server Drovica

38

Isa Server Drovica

39

Isa Server Drovica

40

Ahora vamos con el resto de los componentes de la configuracin incluyendo el cach

Isa Server Drovica

41

Isa Server Drovica Configuracin del Cach:

42

Antes de hacer la configuracin del Isa Server de la funcin de cach se debe crear el espacio en disco en el servidor se recomiendan al menos unos 6 GB para esta funcin, si se coloca mas el cach va a ser muy pesado y no va a dar el resultado adecuado y si por lo contrario se coloca menos el cach se llenara muy rpido; obviamente este tamao va estar definido por la necesidad de la empresa. Para ello creamos una unidad con ese espacio, la formateamos y luego vamos al Isa a activar la zona cach

Definicin del cach Luego creamos las Directivas para cach aplicamos hasta la fecha en Drovica las cuales explicaremos las 3 que

Isa Server Drovica

43

1- No cach al Factory

Isa Server Drovica

44

Isa Server Drovica

45

2- No cach Bancos

Isa Server Drovica

46

3- Regla por defecto de Isa

Isa Server Drovica

47

Isa Server Drovica 4- Ultima Regla de Cach

48

Isa Server Drovica

49

Isa Server Drovica

50

Configuracin del para el RPC, tcnica importante para dar salida a las Replicas entre sitios si no se configura esto todo queda por defecto cada 15 min. NOTA importante No recomiendo cambiar en los sitios el mtodo de transporte a IP se recomienda dejarlo RPC

Isa Server Drovica

51

Ahora vamos a trabajar y/o crear las polticas que crea el Isa la primera que tocamos o creamos es: 1- Regla de Resolver desde Mi DNS

Isa Server Drovica

52

Solapa de programacin y tipo de contenido no se tocan estn por defecto (Nota ojo verificar si adems de ir al host local va tambin al equipo DNS)

Isa Server Drovica 2- del DNS hacia el Internet

53

Isa Server Drovica

54

3- Infraestructura Local (Directiva creada por ISA)

Isa Server Drovica

55

Isa Server Drovica 4- De clientes VPN a la red Interna

56

Isa Server Drovica

57

Isa Server Drovica 5- Acceso a Internet sin restricciones

58

Isa Server Drovica

59

Isa Server Drovica

60

Directivas de trabajo y puesta a tono de ISA Isa coloca por defecto las directivas de Negacin en primer plano esto es porque el va evaluado directiva por directiva verifica si la solicitud del cliente se niega de no ser as pasa a la otra directiva hasta llegar a la directiva correspondiente y ejecutar la accin dependiendo del usuario, es por ello la importancia de la posicin de las directivas tanto de Denegar como las de Permitir esto es el 80% de los problemas del Isa las posiciones de las directivas. Antes de hacer cualquier cosa con el Isa debemos hacer un trabajo en el Active Directory es una trabajo de organizacin de los usuarios por grupos debido a que el Isa trabaja por Grupo de usuarios

OU donde estarn los Grupos de Isa

Grupo de Usuarios segn Dpto. y/o OU

Dominios Aplicados

En este grupo estarn todos los grupos a los cuales se le aplicaran las polticas para la configuracin automtica del Proxy

Isa Server Drovica

61

Este es el ejemplo de Grupo al cual se le aplicara el Proxy

Isa Server Drovica

62

Ahora veremos grupo de administradores, este grupo esta identificado con Acceso LIBRE es decir no tendr restricciones (recordemos que aun no hemos tocado las directivas de isa)

Fjese que no es miembro de ningn grupo que lo pueda limitar esta libre

Isa Server Drovica

63

Ahora un caso de un grupo de usuarios limitados por los dominios

Descripcin de cuales son los dominios a los cuales podr acceder este grupo de usuarios

Usuario(s) que conforman el grupo

Isa Server Drovica

64

Miembro al grupo que pertenece en este caso al grupo de Usuarios al cual se le aplicara la directiva de Configuracin de Proxy

Isa Server Drovica Definicin de dominios para los usuarios:

65

Una vez definidos los grupos procedemos a definir en el isa los Dominios y all mismo en las directivas del isa es que se relacionaran los dominios con los grupos de usuarios, en otras palabras en las directivas del isa de defina a quien se le aplican las directivas y a donde tienen salida los usuarios de determinada directiva. Los dominios de isa significa a donde apunta el usuario la regla determinara si el usuario o grupo de ellos tiene acceso a este dominio, si tiene lo abre y da acceso de lo contrario el usuario no podr salir de ese grupo de dominios al cual esta confinado

Hp.com Cantv.net Google.com /google.co.ve

Solicitud del Usuario (facebook)

Internet

Solicitud negada fuera de los dominios registrados para este usuario o grupo de

Ahora veremos algunos ejemplos de dominios permitidos en el Isa, vale acotar que para la configuracin de los dominios se debe realizar de la siguiente forma

*.hp.com
pueda tener el dominio

con esta configuracin se enmascara el prefijo que

con esta configuracin se ingresa el dominio como tal En conclusin ambas configuraciones deben estar definidas en el conjunto del dominio que se esta creando; ejemplo:

Hp.com

Isa Server Drovica

66

Nombre del conjunto de dominios al cual los usuarios referidos sern confinados

Obviamente pulsamos agregar para Aadir dominios al conjunto

Isa Server Drovica

67

De esta forma que acabamos de ver es como se configuran los dominios obviamente estos dominios estarn relacionados con las actividades del grupo al cual se le asignara Nota: Estos Dominios se pueden utilizar tanto para permitir como para denegar dependiendo del caso, ejemplo listas negras

Una vez definida los grupos de los dominios procedemos a realizar las Directivas de Isa Server

Isa Server Drovica Iniciaremos con las Directivas personalizadas del isa: 1- No Messenger

68

Para esta directiva en especial debemos configurar el tipo de contenido lo hacemos de la siguiente forma primero creamos la Poltica luego creamos la directiva, en esta poltica lo que se hace es filtrar el flujo de http y por medio del contenido bloquea la aplicacin, el caso es que Messenger tiene varias versiones y hay que estar colocando el nuevo contenido

Isa Server Drovica

69

Isa Server Drovica

70

Isa Server Drovica

71

Nombre de Tipo de Contenido Descripcin del Nombre del Contenido

Aqu tipeamos o ubicamos en el combo un prefijo de aplication/x (Contenido). Nota a pesar que el Isa es en espaol la palabra que se coloca es en ingles

Isa Server Drovica

72

Aqu vemos en lista nuestro contenido ya disponible

Marcamos Nuestro contenido ya que como se ve en la seleccin de contenida el filtro de http se aplicara al contenido seleccionado que es el que acabamos de crear

Isa Server Drovica

73

2- Listas Negras

Isa Server Drovica

74

Esta regla tiene como excepcin al grupo Internet administradores, dando as plena libertad de navegacin

Debido a que los Gerentes estn libres con esto se les impide que naveguen en los dominios de las listas negras

Nota importante en las lista negra esta la pagina de www.youtube.com el problema es que youtube pertenece a google.com y en la configuracin que tenemos google esta en las Internet Limitado a su vez todos los grupos tienen acceso a Internet Limitado, si se le da salida a google tambin se le dar al youtube es decir que todos los usuarios tendran youtube la solucin para ello es aplicar la negacin a los Gerentes que estn libres y al Internet Limitado que es por donde se fugara la pagina y se le da una excepcin a los administradores de esa forma se soluciona el problema de YOUTUBE

Isa Server Drovica

75

Isa Server Drovica

76

3 Acceso a los Servicios de Correos Esta configuracin es a nivel de protocolos para la configuracin de Outlook

Isa Server Drovica

77

Isa Server Drovica

78

Configuracin del Outlook

Isa Server Drovica

79

Se debe seleccionar esta opcin para que cuando se baje el correo quede una copia en el repositorio del correo

Isa Server Drovica

80

Para dejar copia de los correos en el proveedor original, es decir para que no los baje de Hotmail

Desactivar esta opcion

Isa Server Drovica 4- Prensa Digital

81

Isa Server Drovica

82

Isa Server Drovica 5- Transporte (igual a la configuracin de los dems dominios)

83

6- Correos WEB (vale acotar que esta regla esta deshabilitada porque ya todos los usuarios estn configurados para trabajar por Outlook y no es necesario ir al servidor de correos (yahoo, gmail, Hotmail, etc) Es decir el usuario entra el la Pg. Web del Proveedor de correos

Isa Server Drovica

84

Isa Server Drovica

85

7- Internet de RRHH Este es un punto interesante debido a que trabaja con paginas del gobierno y aqu ocurre un fenmeno que son las extensiones del los dominios gubernamentales el estado venezolano aun no regula sus extensiones es por ello que se deben colocar tanto el .gob y .gov en algunos casos hay que colocar la direccin IP del servidor al cual se esta llamando. En el caso donde se apunta el ip como IVSS y MINTRA hay que crear EQUIPOS

Isa Server Drovica Crear los equipos

86

Isa Server Drovica

87

Isa Server Drovica

88

Dominios y equipos a donde esta confinado el usuario

Isa Server Drovica

89

Isa Server Drovica

90

8- Acceso Web a los contadores

Isa Server Drovica

91

Isa Server Drovica 9- Acceso a Gobiernos

92

Isa Server Drovica

93

Isa Server Drovica

94

10- Accesos a los Bancos

Isa Server Drovica

95

Isa Server Drovica 11- Proveedores

96

Isa Server Drovica

97

Isa Server Drovica

98

12- Acceso Limitado

Isa Server Drovica

99

Isa Server Drovica 13- Acceso Web Al host Local (es decir al Isa)

100

Isa Server Drovica

101

Nota: esta para todos los usuarios se supone que al Isa tienen acceso solo los administradores pero tambin se puede colocar el Grupo de administradores y listo as se restringe aun mas el la seguridad

Isa Server Drovica

102

14- Permitir acceso a Factoty

Isa Server Drovica

103

Isa Server Drovica Enlace entre los Isa Server

104

Una vez configurado nuestro Isa principal vamos a la instalacin del Isa secundario para ello debemos tomar en cuenta lo siguiente, debido a que los isa NO poseen puerta de enlace ellos Jams se van a ver y sin la puerta de enlace nunca habr comunicacin es por ello que se debe realizar el procedimiento que se describe a continuacin (si esto no se hace no habr comunicacin y no se podr montar el Isa Server Secundario y que enlace con el master) Debemos utilizar el comando de consola Route y con el establecer la ruta que poseern los Isa Tomando en cuenta que estamos en el isa 01 la configuracin es Ip: 192.168.1.9 Mask: 255.255.255.0 PUERTA DE ENLACE: 0.0.0.0 Dns: 192.168.1.10 Nota: recordemos que la comunicacin que tenemos es por RRAS cuyo ip es 192.168.9.100

C:\>route ADD 192.168.9.0 MASK 255.255.255.0 192.168.1.100 METRIC 2 -P

Comando b Aplicacion b Ip destino b Mascara b Ip de la mascara b Puerta de enlace del RRAS donde estoy es decir en este caso de el del viedo

b Metrica: b Costo b
Define los Intentos que va hacer para llegar al destino

Como se puede ver el ip es 192.168.9.0 y no 192.168.9.9 esto es con la finalidad que tome a toda la red todo el rango del segmento 9

-p: Parmetro para que sea persistente la ruta si no se le coloca al momento de resetear la pierde la comunicacin

Isa Server Drovica En este punto no tiene p y no ser persistente la conexin

105

Ruta ya establecida

No hay Persistencia porque no tiene el p en el comando inicial

Ahora veremos como queda con el -p

Isa Server Drovica Del lado de Naguanagua Ser

106

C:\>route ADD 192.168.1.0 MASK 255.255.255.0 192.168.9.100 METRIC 2 -P

Comando b Aplicacion b Ip destino b Mascara b Ip de la mascara b Puerta de enlace del RRAS donde estoy es decir en este caso de Naguanagua

b Metrica: b Costo b
Define los Intentos que va hacer para llegar al destino

Como se puede ver el ip es 192.168.1.0 y no 192.168.1.9 esto es con la finalidad que tome a toda la red todo el rango del segmento 1

-p: Parmetro para que sea persistente la ruta si no se le coloca al momento de resetear la pierde la comunicacin

Una vez establecida la conexin procedemos a realizar la instalacin del Segundo Isa

Isa Server Drovica

107

Pide la configuracin y enlace que ya establecimos y comienza a instalar

Isa Server Drovica

108

Una vez instalado el Isa 02 se proceden hacer la configuracin correspondiente a las a ese isa como se realizo en el ISA 01. Como deseamos una configuracin indistinta los que hacemos es exportar las directivas de isa01 y luego las importamos al isa 02 lo mismo hay que hacer con las de cache exportar y luego importar con la salvedad que hay que hacer nuevamente la configuracin de cache recordemos que es un isa totalmente nuevo Se debe crear una nueva Matriz (es decir un nuevo sitio)

Isa Server Drovica

109

Isa Server Drovica

110

Una vez creada la nueva matriz podremos observar que en el rea de de redes encontramos cambios en algunas solapas configuracin del Servidor

Isa Server Drovica

111

Nuevo Scope de Direcciones

Isa Server Drovica Ahora veremos como queda la zona GENERAL en el Isa 02

112

Isa Server Drovica

113

Isa Server Drovica

114

Isa Server Drovica

115

Isa Server Drovica

116

Isa Server Drovica

117

Isa Server Drovica

118

Isa Server Drovica

119

Isa Server Drovica

120

Isa Server Drovica

121

Isa Server Drovica

122

Isa Server Drovica

123