Manual de Seguridad de Redes II PDF

Seguridad de
Redes II
CARRERAS PROFESIONALES
CIBERTEC
SEGURIDAD DE REDES II
3
NDICE
Presentacin
Red de contenidos
Unidad de aprendizaje 1 Introduccin e Instalacin de ISA Server 2006

TEMA 1
: Introduccin a ISA Server 2006
TEMA 2
: Instalacin de ISA Server 2006
13
TEMA 3
: Instalacin y monitoreo de los Clientes ISA Server 2006
27
Unidad de aprendizaje 2 Arquitectura de ISA Server 2006

TEMA 4
: Habilitar el acceso a los recursos de Internet
35
TEMA 5
: Reglas de acceso
45
TEMA 6
: Configuracin de elementos de una regla de acceso
51
Unidad de aprendizaje 3 Configurar ISA Server como un FIREWALL

TEMA 7
: Configuracin de ISA Server como un Firewall
61
TEMA 8
: Configuracin de ISA Server como un Firewall Parte II
67
Unidad de aprendizaje 4 Configurando el Acceso a los Recursos de la Red

Interna, VPN y el Cache de ISA Server.
TEMA 9
: Configurar el acceso a recursos internos.
75
TEMA 10
: Publicacin de servicios.
79
TEMA 11
: Configurando acceso a VPN.
91
TEMA 12
: Implementacin del Caching de ISA Server
101
TEMA 13
: Monitoreo de ISA Server y Copia de Seguridad.
105
CIBERTEC
CIBERTEC
5
PRESENTACIN
Seguridad de Redes II pertenece a la lnea formativa y se dicta en la carrera de

Redes y Comunicaciones. El curso brinda el conocimiento necesario para
Administrar Microsoft Internet Security and Acceleration ISA Server 2006.
El presente manual ha sido diseado en funcin de unidades de

aprendizaje, las que se desarrollan en determinados temas. En cada una de
ellas, hallar los logros, que debe alcanzar al final de la unidad; el tema
tratado, el cual ser ampliamente desarrollado; y los contenidos, que debe
desarrollar, es decir, los subtemas. Por ltimo, encontrar las actividades
que deber desarrollar en cada sesin, que le permitirn reforzar lo
aprendido en la clase.
El contenido del manual est orientado a brindarle los conceptos de
seguridad y mejores prcticas de implementacin y, configuracin de ISA
Server.
El desarrollo de los laboratorios se realizara de manera acorde al desarrollo
de la teora.
CIBERTEC
RED DE CONTENIDOS
Seguridad de Redes II
Introduccin e
Instalacin de ISA
Server 2006
Introduccin
ISA Server
Instalacin
ISA Server
Arquitectura de ISA
Server 2006
Cliente ISA
Server
Firewall
Reglas de
Acceso
Elementos
Reglas de
Acceso
Seguridad de Redes II
Configuracin de ISA
Server como Firewall
Config.
Firewall
Config.
Firewall
II
CIBERTEC
Configuracin VPN y el
Cache de ISA Server
Config.
Recursos
Internos
Publicacion
de
Servicios
VPN
Caching
ISA Server
Monitoreo
7
UNIDAD DE
APRENDIZAJE
1
TEMA
INTRODUCCIN A ISA SERVER 2006

LOGRO DE LA UNIDAD DE APRENDIZAJE
Conocer las funcionalidades y caractersticas de ISA Server 2006
Conocer los escenarios que se pueden implementar con ISA Server 2006.
TEMARIO
Funcionalidades y Caractersticas.
Escenarios para ISA Server 2006.
Requerimientos para la instalacin de ISA Server 2006.
ACTIVIDADES PROPUESTAS
Describen las funcionalidades y caractersticas de ISA Server 2006

Describen los escenarios en que se puede implementar ISA Server 2006
CIBERTEC
1. ISA SERVER 2006.

1.1. Introduccin a ISA Server 2006.
ISA Server 2006, es un producto desarrollado por Microsoft para proteger una
infraestructura de red corporativa frente a amenazas procedentes de Internet.
Microsoft Internet Security and Acceleration (ISA), es instalado sobre el
sistema operativo Windows Server, para cumplir las funciones de Firewall de
seguridad perimetral.
1.2. Funcionalidades y Caractersticas.

ISA Server 2006, incorpora nuevas funcionalidades para la Administracin,
Publicacin de Servidores, Autenticacin y, Soporte Firewall.
ISA Server 2006
Nuevas Funcionalidades
-
Administracin
Publicacin de Servidores
-
Autenticacin
Soporte Firewall
CIBERTEC
Administracin de Certificados
Mejorada.
Herramientas de gestin sencilla y fcil
de aprender.
Sistema de alertas para la deteccin
de ataques.
Herramientas para la publicacin
automtica de Exchange y SharePoint
Balanceo de carga para publicacin
web.
Calidad de servicio mediante el filtro
Web Diffserv.
Soporte para Exchange 2007.
Cache basada en BITS para la
distribucin de actualizaciones de
software.
Autenticacin LDAP
Logon nico Sign On.
Autentificacin basada en formularios
para sitios web
Autenticacin multifactorial mejorada
con soporte para tarjetas inteligentes,
RADIUS, OTP) y delegacin (NTLM,
Kerberos)
Se ha mejorado los asistentes para la
creacin de reglas.
Mejores funciones de recuperacin en
caso de ataques.
Inspeccin de contenidos multinivel y
en profundidad.
9
Dentro de las principales caractersticas de ISA Server 2006 tenemos:

-
Publicacin Segura de Aplicaciones.

Acceso remoto seguro a los recursos de la red privada.
Capacidad para generar LOGS y emitir reportes.
Gateway de Interconexin para redes locales.
Proteccin del acceso a INTERNET.
1.3. Escenarios en ISA Server 2006.
Edge Firewall (Firewall Perimetral). En este escenario ISA Server, es

el punto de entrada entre una red interna (red empresarial) y una red
externa (Internet), proporcionando seguridad a los usuarios de la red
empresarial para utilizar los servicios que brinda Internet. En este
escenario ISA Server es configurado con 2 adaptadores de red. Un
adaptador de red se conecta a la red interna y el otro se conecta a una
red de Internet.
3-Leg Perimeter (Permetro de 3 Secciones). En este escenario, ISA

Server es configurado con 3 adaptadores de red. Uno de los
adaptadores es conectado a la red interna, el otro a la red de Internet y
el ltimo a la red perimetral o DMZ (Zona Desmilitarizada).La ventaja
de una red perimetral es que permite a los usuarios de Internet obtener
acceso a servidores especficos, al tiempo que evita el acceso a la red
interna de la empresa.
Front Firewall (Firewall Frontal). En este escenario ISA Server, es

implementado en los lmites de una red con otro Firewall, actuando
como primera lnea de defensa entre Internet y la red perimetral. En
este escenario, ISA Server es configurado con 2 adaptadores de red.
CIBERTEC
10
Back Firewall (Firewall Posterior). En este escenario, ISA Server es

implementado entre una red perimetral y la red interna con otro firewall,
actuando como segunda lnea de defensa. En este escenario ISA
Server es configurado con 2 adaptadores de red.
Single Network Adapter (Adaptador nico). En este escenario, ISA

Server, es implementado como servidor Proxy Web y almacenamiento
en cach. Esto permite a los usuarios de la red interna tener acceso al
contenido web en Internet y obtener un mejor rendimiento mediante el
almacenamiento en cach. En este escenario, ISA Server es
configurado con un nico adaptador de red.
CIBERTEC
11
1.4. Requerimientos para la instalacin de ISA Server 2006.

Para la instalacin de ISA Server, se necesitar esta configuracin mnima:
Procesador
Sistema Operativo
Memoria
Disco Duro
Adaptador de red
CIBERTEC
PC con procesador Pentium III a 733

MHz o Superior
Microsoft Windows Server 2003 con
Service Pack 1 o Microsoft Windows
Server 2003 R2.
Se recomienda 512 megabytes (MB) de
RAM o ms.
Particin en disco duro local con
formato NTFS con 150 Mb de espacio
de disco disponible, puede necesitarse
ms espacio para cache Web.
Adaptador de red para la conexin de la
red interna. Otro adaptador de red
adicional, modem o adaptador RDSI
para cada una de las redes a las que se
conecta el equipo. Otra tarjeta de red
adicional para comunicaciones internas
si el servidor pertenece a un array con
balanceo de carga (NLB) de Server
2006 Enterprise Edition
12
Resumen
ISA Server 2006, es un producto desarrollado por Microsoft para proteger una
infraestructura de red corporativa frente a amenazas procedentes de Internet.
ISA Server 2006, puede ser implementado con los siguientes escenarios:

Edge Firewall
3-Leg perimeter
Front Firewall
Back Firewall
Single Network Adapter
Si desea saber ms acerca de estos temas, puede consultar las siguientes

pginas.
http://www.microsoft.com/spain/isaserver/default.mspx
Aqu hallar ms informacin sobre ISA Server 2006.
CIBERTEC
13
UNIDAD DE
APRENDIZAJE
1
TEMA
2
INSTALACIN DE ISA SERVER
Saber instalar ISA Server 2006, as como la configuracin inicial requerida.
TEMARIO
Requerimientos de Software y Hardware para la instalacin de ISA Server 2006.
Tipos de Instalacin y Componentes
Efectan la instalacin del ISA Server 2006.
CIBERTEC
14
Instalacin del Servidor ISA

Parte fundamental del trabajo de un administrador es instalar el servidor Proxy ISA
Server 2006 (Internet Security and Acceleration), En la mayora de casos, las
compaas, tambin, implementan el cliente ISA Firewall o el cliente Web Proxy, en las
computadoras de la red, por lo tanto el administrador tambin necesita saber cmo
instalar y configurar estos programas clientes de ISA Server, tambin debe saber el
funcionamiento de ISA Server e implementar la seguridad en ISA Server antes que
sea implementado. En esta sesin, brindaremos informacin de cmo implementar y
realizar todas estas tareas.
1.2.1. Requerimientos del software y hardware para ISA Server 2006
Para poder instalar el ISA Server 2006, usted necesita saber el tipo de sistema
operativo y hardware.
Requerimientos de Software
ISA Server 2006 puede ser instalado nicamente en computadoras que
ejecuten el sistema operativo Windows 2003 Server.
Cuando instala ISA Server 2006 en un sistema operativo Windows 2003
Server, necesita los siguientes requerimientos.
Microsoft Windows Server 2003 con Service Pack 1 o Microsoft Windows
Server 2003 R2.
Requerimientos de Hardware
Los requerimientos mnimos de hardware para instalar ISA Server 2006 son:
Una computadora personal con 500Mhz o una Pentium III superior.

256MB de memoria.
Una tarjeta de red para la comunicacin con la red interna.
Tarjetas de red adicionales por cada red que estn, directamente,
conectada a ISA Server 2006.
Un disco duro con el formato en el sistema de archivos NTFS, con un
mnimo de 150MB de espacio libre. Si habilita el caching, deber tener
un disco duro adicional.
La siguiente tabla muestra una gua general donde se recomienda un hardware

dependiendo del ancho de banda que tenga hacia Internet.
Ancho de banda de Internet
Sobre los 1.5Mbytes por segundo

Sobre los 25Mbps
Sobre los 45Mbps
CIBERTEC
Hardware Recomendado
Requerimientos mnimos de hardware
con un disco duro adicional para
caching.
Procesador Pentium 4 2.0-3.0 Ghz
Procesadores Duales Xeon 2.0-3.0 Ghz
Espacio libre en el disco duro 8-10GB
para caching.
15
1.2.2 Tipos de Instalacin y componentes.

Cuando se instala ISA Server 2006, se necesita escoger el tipo de instalacin para
poder determinar los componentes que se van a instalar.
Tipos de Instalacin
Cuando inicias la instalacin de ISA Server 2006, tendrs que escoger 2 tipos
de instalacin:
Instalacin tpica. Esta opcin instala el servicio y el administrador de ISA
Server
Instalacin personalizada. Esta instalacin le permite seleccionar los
siguientes componentes:
ISA Server; Este servicio controla el acceso y trfico entre las

redes.
ISA Server Management. Administrador; de ISA Server. La

herramienta administrativa es la interfase grfica que le permite
administrar de manera centralizada el ISA Server.
Escoger la configuracin durante la instalacin

Cuando instale ISA Server 2006, necesita configurar la direccin IP asociada
con la red interna, tambin, debe estar enterado de otras opciones en la
instalacin
Configurar la red interna:
Una de las opciones que necesita configurar durante la instalacin es la direccin

IP en la red interna. La red interna puede contener la direccin IP asociada con
todos los adaptadores de red de ISA Server, excepto el adaptador de red
conectado a Internet. De la misma manera puede configurar la red interna con un
sistema de direcciones IP asociadas con un solo adaptador de red, mientras la
direccin IP asignada a los otros adaptadores de red es usada para crear redes
adicionales. Por defecto, el asistente de instalacin de ISA Server asigna un rango
de direcciones IP privadas definidas por la IANA (Internet Assigned Numbers
Authority) como parte de la red interna. Tambin durante la instalacin, puede
configurar la red interna para que use las direcciones IP asignadas aun adaptador
especfico de red. Cuando ISA Server construye la red interna basada en el
adaptador de red, ste usa la tabla de ruteo del Windows para determinar qu
rango de direcciones IP que son internas. Si la tabla de ruteo no es correcta, la red
interna del ISA Server no se podr construir de manera correcta. Antes de iniciar la
instalacin del ISA Server, debe estar seguro que la tabla de ruteo es correcta.
Habilitar versiones inferiores del cliente Firewall
Una de las cosas que tiene que saber durante la instalacin de ISA Server, es si
permite trabajar con versiones inferiores del cliente Firewall. ISA Server soporta
versiones inferiores del cliente firewall, incluyendo el cliente firewall de ISA Server
2000 y 2004 y el cliente Winsock Proxy (De Microsoft Proxy 2.0). A pesar que estos
clientes no pueden usar encriptacin cuando se conectan a ISA Server, entonces
quiz quiera prevenir el uso de estas versiones en sistemas operativos Windows
CIBERTEC
16
que se conecten a ISA Server. Por defecto, la instalacin de ISA Server 2006 no
permite conexiones no encriptadas desde el cliente firewall. Para habilitar a los
clientes antiguos, seleccione la opcion Allow non-encrypted Firewall Client
connections para otorgar la conexin de los clientes firewall que estn usando
versiones inferiores durante la instalacin.
Servicios detenidos y deshabilitados

Como parte del proceso de instalacin de ISA Server 2006, los siguientes
servicios son deshabilitados:
Internet Connection Firewall o Internet Connection Sharing

IP Network Address Translation
Adicionalmente, los siguientes servicios son detenidos durante la instalacin:
Servicio SNMP
Servicio FTP
Servicio NNTP
Servicio de administracin IIS
Servicio WWW
Laboratorio
Instalar ISA Server 2006
En esta practica, instalar ISA Server 2006 en la maquina virtual
SERVER_ISA_Aula
1. Abrir el Explorador de Windows y navegar a C:\UTILSO\ISA Server
2. Doble clic en isaautorun.exe
3. En la pgina Microsoft ISA Server 2006 Setup, clic Install ISA Server
2006
4. En la pgina Welcome to the Installation Wizard for Microsoft ISA
Server 2006 Setup, clic en Next.
5. En la pgina de License Agreement, revisar los trminos y las
condiciones del contrato de licencia del usuario final. Luego clic I
accept the terms in the license agreement, y luego clic en Next.
6. En la pgina Customer Information, acepte por defecto, y luego clic en
Next.
7. En la pgina Setup Type, clic Custom. Clic Next.
8. En la pgina Custom Setup, Clic Next.
9. En la pgina Internal Network, clic Add.
10. Clic Add Adapter
11. Clic Network Adapters marque el cuadro LAN y luego clic en Ok.
12. Revisar el rango de direcciones de la red interna, y luego clic Ok.
13. En la pgina Internal Network, clic Next.
14. En la pgina Firewall Client Connections, clic Next.
15. En la pgina de Services Warning, clic Next.
16. En la pgina Ready to Install the Program, clic Install.
17. En la pgina Installation Wizard Completed, clic Finsh.
18. clic Yes para reiniciar la computadora.
CIBERTEC
17
INSTALACION DE ISA Server 2006
CIBERTEC
18
CIBERTEC
19
CIBERTEC
20
CIBERTEC
21
CIBERTEC
22
CIBERTEC
23
Service Pack 1 de Microsoft Internet Security and Acceleration (ISA)

Server 2006 Standard Edition
Informacin
ISA Server 2006 SP1 incluye las siguientes caractersticas nuevas:
Seguimiento de los cambios en la configuracin: registra todos los

cambios en la configuracin que se han aplicado a la configuracin de ISA
Server para ayudarle a evaluar los problemas que pueden surgir como
resultado de estos cambios.
Regla de pruebas: comprueba que los valores de la configuracin de la

regla de publicacin web corresponden con los del servidor web.
Simulador de trfico: simula el trfico de red de acuerdo con los

parmetros de solicitud especificados y proporciona informacin acerca de
las reglas de directivas de firewall que se evalan para la solicitud.
Registro de diagnstico: esta caracterstica se ha integrado en forma de

ficha en la consola de Administracin ISA Server y muestra eventos
detallados sobre cmo se evalan las reglas.
ISA Server 2006 SP1, tambin incluye mejoras de caractersticas, entre las
que se encuentran:
Compatibilidad con operaciones multidifusin de Equilibrio de carga de red
(NLB)
Compatibilidad con certificados con varias entradas de Nombre alternativo

del sujeto (SAN)
Autenticacin mediante delegacin limitada de Kerberos (KCD) permitida

en un entorno entre dominios
Laboratorio
Instalar el Service Pack 1 para ISA Server 2006
En esta prctica, instalar el Service Pack 1 para ISA Server 2006 en la
computadora SERVER_ISA_Aula
1.
2.
3.
4.
Abrir el Explorador de Windows y navegar a C:\UTILSO\ISA Server\SP1

Doble clic en ISA2006-KB943462-x86-ENU.msp
En la pgina Microsoft ISA Server 2006 Service Pack 1, clic en Next
En la pgina de License Agreement, revisar los terminos y las condiciones
del contrato de licencia del usuario final. Luego, clic I accept the terms in
the license agreement, y luego clic en Next.
5. En la pagina Ready to Install the Program, clic Next.
6. En la pgina Installation Wizard Completed, clic Finsh.
7. clic Yes para reiniciar la computadora.
CIBERTEC
24
Clientes de ISA Server

Un cliente de ISA Server es una computadora cliente que se conecta a los
recursos de otra red, a travs de ISA Server. ISA Server 2006, soporta tres
diferentes tipos de clientes. El tipo de cliente que use en la red depende de los
requerimientos de seguridad.
Tipos de clientes
ISA Server, brinda acceso seguro a Internet para todo estos clientes.
ISA Server, soporta tres tipos de clientes: Cliente Firewall, Cliente SecureNAT,
y Cliente Web Proxy.
Cliente Firewall. El cliente firewall son computadoras que tienen instalado

y habilitado el software Cliente Firewall. Cuando una computadora usa el
cliente Firewall y hace una peticin hacia Internet, la peticin va directa al
Servicio Firewall. Este Servicio Firewall autentificar y autorizar al usuario
y filtrar las reglas del firewall basadas en aplicaciones. El cliente Firewall
entrega los niveles ms altos de seguridad y funcionalidad.
Cliente SecureNAT. El cliente SecureNAT son computadoras que no
tienen instalado el software cliente Firewall. A diferencia, Los clientes
SecureNAT son configurados para rutear todas las peticiones hacia los
recursos de otras redes. Si la red incluye, nicamente, un segmento, el
cliente SecureNAT es configurado para usar la direccin IP interna de la
computadora que ejecuta ISA Server como puerta de enlace. Los clientes
SecureNAT son fciles de configurar porque solo necesitas configurar la
puerta de enlace en las computadoras clientes.
Cliente Web Proxy. Los clientes Web Proxy son cualquier computadora
que ejecute navegadores Web. Las peticiones de los navegadores Web
son enviada al Servicio Firewall para determinar si tienen permiso o no.
Como las mayoras de Clientes Web Proxy no requieren ningn software
especial para ser instalado, sin embargo, los clientes Web Proxy tienen que
ser configurados para usar ISA Server.
CIBERTEC
25
Resumen
Una de las cosas que tiene que escoger durante la instalacin ISA Server es
si se permite trabajar con versiones inferiores del cliente Firewall.
ISA Server, soporta versiones inferiores del cliente firewall, incluyendo el
cliente firewall del ISA Server 2000 y el cliente WinSock Proxy (De Microsoft
Proxy 2.0).
Como parte del proceso de instalacin de ISA Server 2006, los siguientes
servicios son deshabilitados:
Internet Connection Firewall o Internet Connection Sharing
IP Network Address Translation
CIBERTEC
26
CIBERTEC
27
UNIDAD DE
APRENDIZAJE
1
TEMA
INSTALACIN
ISA SERVER.
Y MONITOREO DE LOS CLIENTES
Saber instalar y configurar los diferentes clientes que soporta ISA Server.
Configurar opciones avanzadas para el cliente Firewall y establecer los niveles de

seguridad del ISA Server 2006.
Configurar ISA Server para registrar las conexiones de los clientes.
Configurar y probar un Cliente SecureNAT y un cliente Firewall.
TEMARIO
Instalacin y monitoreo de los Clientes ISA Server 2006.
Configuracin del Cliente Web Proxy.
Configuracin del Cliente Firewall.
Configuracin del Cliente SecureNAT.
Monitoreo de los Clientes de ISA Server.
Se efecta la instalacin de los clientes del ISA Server 2006
CIBERTEC
28
1.3 Instalacin y monitoreo de los clientes ISA 2006:
Laboratorio
1.3.1 Instalacin y monitoreo de los Clientes ISA Server 2006.
En este laboratorio, configurar el registro de ISA Server para monitorear las
conexiones clientes hacia ISA Server.
1. Para realizar este laboratorio se necesitar trabajar con dos equipos:
1. El Servidor ISA_Server_Aula y la maquina virtual CLIENTE
2. Iniciar sesin con el nombre de usuario administrador, y la contrasea
P@ssw0rd.
2. Configure ISA Server 2006 para que registre las conexiones de los
clientes
1. Abrir ISA Server Management, expanda SERVER y luego, haga clic
en Monitoring.
2. En la pestaa Logging, En el panel Details clic Start Query.
1.3.1 Configuracin del Cliente Web Proxy.

1. Desde la maquina virtual
CLIENTE inicie sesin con el usuario
administrador y la contrasea P@ssw0rd.
2. Abra Internet Explorer. Clic Tools y luego, clic Internet Opciones.
3. En el cuadro de dilogo Internet Options, clic en la pestaa Connections.
4. Clic en Lan Settings. En la pgina Lan Settings, clic Use a Proxy Server
for your LAN. En la ventana Address, tipee SERVER. en la opcion Port,
tipee 8080.
5. Seleccione By pass Proxy Server for local address. Doble-clic en Ok.
6. Abra el Internet Explorer e ingrese a la direccin http://www.microsoft.com
Si recibe un mensaje de error del Internet Explorer, clic en Ok.
CIBERTEC
29
7. Revise el mensaje del Proxy.

8. En la maquina virtual SERVER_ISA_Aula,
localice los eventos
registrados que han usado el protocolo http y el puerto destino 8080.
Confirma que la peticin fue denegada por la Regla por Defecto.
1.3.3 Configuracin del Cliente Firewall.

1. Desde la computadora ISA_SERVER_Aula inicie sesin con el usuario
2. En el men Start, clic en Run. Tipee \\SERVER\Client y clic en Ok.
3. Clic-derecho en MS_FWC y clic en Install.
4. En la pgina Welcome to the Install Wizard for the Microsoft Firewall
Client, clic Next.
5. En la pgina de License Agreement, revisar los terminos y las condiciones
del contrato de licencia del usuario final. Luego clic I accept the terms in
the license agreement, y luego clic en Next.
CIBERTEC
30
6. En la pgina Destination Flder, revisar la ubicacin del directorio de

instalacin por defecto. Clic en Next para continuar.
7. En la pantalla ISA Server Computer Selection, Seleccione Connect to
this ISA Server y tipee SERVER. clic en Next.
8. En la pgina Ready to Install the Program, clic Finsh. Cierre todas las
ventanas.
CIBERTEC
31
CIBERTEC
32
5. Abra Internet Explorer e ingrese a la direccin http://www.microsoft.com

Si recibe un mensaje de error del Internet Explorer, clic en Ok.
6. Ingrese a ISA_SERVER_Aula y revise el mensaje generado por el
Servidor Proxy.
7. En la maquina virtual ISA_SERVER_Aula localice los eventos registrados
que han usado el protocolo http y el puerto destino 8080. Confirma que la
peticin fue denegada por la Regla por Defecto.
CIBERTEC
33
1.3.4 Configuracin del Cliente SecureNAT.

En la maquina virtual SERVER_ISA_Aula, inicie sesin, con el nombre de
usuario Administrador, la contrasea P@ssw0rd.
1. Abra el entorno Command, y digite ipconfig /all. Puede nota que la
computadora no tiene configurada el default gateway
2. clic en el men Start, Seleccione Control Panel, luego Network
Connections, y luego clic en Local Area Connections. Clic
Properties.
3. Clic en TCP/IP, y luego clic en Properties.
4. En la ventana Default Gateway, digite la direccion ip de ISA SERVER.
Clic Ok, y luego doble clic en Close.
5. Abra Internet Explorer. Si recibe un mensaje de error del Internet
Explorer seleccione In the future, do not show this messages y
luego clic Ok. Trate de conectarte a http://www.google.com. La
conexin fallar.
6. Cierre la ventana.
7. Verifique en ISA Server, los eventos registrados que usaron el
protocolo HTTP. Confirma que la peticin fue denegada por la Default
Rule.
1.3.5 Monitoreo de los Clientes de ISA Server.

1. En Microsoft Internet Security and Acceleration Server 2006
management console, expanda el nombre del servidor, clic en

Monitoring.
2. En la pestaa Logging, En el panel Details clic Start Query Se
visualizara todo el trafico IP que ISA Server est registrando. As como
tambin las acciones que ISA Server realiza.
CIBERTEC
34
Resumen
La herramienta de monitoreo de ISA Server 2006 es una interfaz de
supervisin y registro que permite realizar el seguimiento del estado en que se
encuentra ISA Server, mostrando una lista de alertas de determinados
eventos que sucede con los servicios de ISA Server.
Si desea saber ms acerca de estos temas, puede consultar la siguiente
pgina.
http://technet.microsoft.com/en-us/library/bb794817.aspx
CIBERTEC
35
UNIDAD DE
APRENDIZAJE
2
TEMA
HABILITAR
INTERNET
EL ACCESO A LOS
RECURSOS
DE
Describir cmo trabaja el servidor ISA Server 2006 como servidor PROXY.
Saber configurar el ISA Server para brindar acceso seguro a los recursos de
Internet.
TEMARIO
Componentes para el acceso seguro.
Razones para instalar un servidor Proxy.
Redes y objetos de red de una regla de red.
Identifican y configuran reglas de red.
CIBERTEC
36
2.1 Habilitar el acceso a los recursos de Internet.

Uno de los primeros escenarios de implementacin para ISA Server 2006 es
brindar un acceso seguro a los recursos de Internet para los usuarios de la red
interna. ISA Server 2006 otorga una solucin completa para brindar el acceso
seguro. El administrador de ISA Server necesita comprender la funcionalidad
entregada por el ISA Server y cmo configurar el acceso seguro a los recursos de
Internet.
ISA Server brinda varias opciones diferentes para permitir este acceso seguro.
2.1.1 Componentes para el acceso seguro
ISA Server brinda las siguientes funciones para permitir el acceso seguro:
ISA Server como un Firewall. ISA Server, entrega una completa solucin
como servidor Firewall que permite el filtrado en mltiples capas. Como un
Firewall, ISA Server, asegura el acceso hacia Internet controlando el trfico
no autorizado que puede ingresar a la red interna.
ISA Server como un Servidor Proxy. Cuando los clientes Firewall y Proxys
se conectan al servidor para acceder a los recursos de Internet, ISA Server
acepta las peticiones de los clientes, y crea una nueva peticin que es enviada
al servidor de Internet. ISA Server, esconde detalles de la red interna desde
Internet. nicamente, la direccin IP externa de ISA Server es transmitida
hacia Internet. ISA Server, tambin, esconde detalles de la red para los
clientes SecureNAT usando nateo que convierte las direcciones IP internas a
la direccin IP externa que tiene ISA Server.
ISA Server 2006 implementa el uso de polticas para acceder a Internet

ISA Server puede ser usado para implementar restricciones para el uso de
Internet incluyendo:
Restriccin basada en usuarios y grupos. ISA Server puede
limitar el acceso a Internet basado en cuentas de usuarios y grupos
que han sido creados en el AD, o en un servidor Radius, o en
servidores RSA SecureID.
Restriccin basada en computadoras. ISA Server puede limitar
de manera especfica el acceso a computadoras, o grupo de
computadoras de la recta. Por ejemplo, puede habilitar la restriccin
para el acceso de Internet desde los servidores de la red, o para las
computadoras ubicadas en un lugar pblico.
Restriccin basada en protocolos. ISA Server puede habilitar o
deshabilitar el acceso hacia Internet basado en los protocolos que
se usan para acceder a Internet. Por ejemplo, puede habilitar,
nicamente, los protocolos http o https y deshabilitar los otros
protocolos. O puede habilitar todos los protocolos, y definir la
excepcin de protocolos quien estarn habilitados.
Restriccin basada en destino de Internet. ISA Server puede
limitar el acceso basado en destinos de Internet. Puede bloquear o
habilitar destinos basados en nombres de dominio o URLs.
Restriccin basada en el contenido que se va descargar desde
Internet.
CIBERTEC
37
ISA Server, tambin, puede analizar todos los paquetes de la red

que estn ingresando de Internet para restringir la descarga
inapropiada o el contenido peligroso.
2.1.2 Razones para instalar un servidor Proxy

Un servidor Proxy es un servidor situado entre la aplicacin del cliente, como un
navegador web, o sirve para el cliente que se quiera conectar a Internet. Un
servidor Proxy puede entregar mejoras en la seguridad y un mejor rendimiento
para las conexiones hacia Internet.
Mejore la seguridad para acceder a Internet
Las ms importantes razones para usar un servidor Proxy es hacer que la
conexin del usuario hacia Internet sea la ms segura. El servidor Proxy hace las
conexiones de Internet ms segura de las siguientes maneras:
Autentificacin de usuario. Cuando un usuario solicita una conexin a los
recursos de Internet, el servidor Proxy puede solicitarle al usuario que se
autentifique, forzando el ingreso de un usuario y contrasea. El servidor
Proxy puede luego otorgar o denegar el acceso a los recursos de Internet
basado en la autentificacin del usuario.
El filtrado de peticiones de los clientes. El servidor Proxy puede usar
mltiples criterios para filtrar las peticiones de los clientes. Adicionalmente,
al filtrado de la peticiones basado en usuario quien est realizando la
peticin, el servidor Proxy puedes filtrar la peticin basado en la direccin
IP, protocolo o la aplicacin que se est usando para acceder a Internet,
hora del da, y el sitio web o el URL.
Inspeccionar el contenido el servidor Proxy puede inspeccionar todo el
trfico entrante y saliente que fluye de la conexin a Internet y determinar si
hay un trfico que debera ser negado. Esto incluye examinar el contenido
del trfico para buscar palabras, virus, o analizar las extensiones de los
archivos. Basado en el criterio de configuracin el servidor Proxy, puedes
inspeccionar todo el contenido y filtrarlo.
Registrar el acceso del usuario. Como todo el trfico fluye a travs del
servidor proxy, el servidor puede registrar todas las cosas que hace el
usuario. Las peticiones HTTP, esto puede incluir el registro de cada URL
visitada por el usuario. El servidor puede estar configurado para brindar
reportes detallados de la actividad del usuario que pueden ser usado para
brindar conformidad con las polticas que usa la organizacin para acceder
a Internet.
Esconder detalles de la red interna. Porque todas las peticiones hacia
los recursos de Internet viene desde el servidor Proxy y algo desde las
computadoras de la red interna, los detalles de la red interna son
escondidos para Internet. En la mayora de los casos, no hay informacin
de las computadoras clientes tales como el nombre de la computadora o la
direccin IP.
Otro de los beneficios de usar un servidor Proxy es mejorar el rendimiento para
acceder a Internet. El servidor Proxy mejora el rendimiento por medio del
almacenamiento de las pginas de Internet solicitadas por los usuarios de la red.
Cuando un usuario solicita la misma informacin, el servidor Proxy brinda la
pgina almacenada en la cach del disco duro a diferencia de solicitarla desde
Internet.
CIBERTEC
38
Configurar ISA Server como servidor Proxy

1. En el rbol de la consola de ISA Server management, expanda el nodo
SERVER, luego expanda el nodo Configuration y seleccione Networks.
2. En la pestaa Networks, clic en Internal Network. En el panel de tareas, clic
en Edit selected Network.
3. En la pestaa Web Proxy, asegrese que este seleccionado Enable web
Proxy Clients y Enabled http. Asegrate que el puerto http sea 8080.
La siguiente tabla describe las diferentes opciones para configurar el Web Proxy:
Cuadro de Dialogo
Pestaa web Proxy
Escoja
configuracin
Habita HTTP
Pestaa web Proxy
Habita SSL
Autentificacin
Mtodos
autentificacin
CIBERTEC
esta Para:
Configure ISA Server
para que escuche las
conexiones HTTP en un
nmero
de
puerto
especfico.
Configure ISA Server y
escuch las conexiones
HTTPS puerto especfico.
Si habilita SSL, debera
tambin configurar un
certificado
que
ser
usado
para
la
autentificacin
y
encriptacin SSL. Los
navegadores no pueden
usar est configuracin,
pero esta configuracin
puede ser usado en
escenarios Web chaining.
de Configure el mtodo o
mtodos
de
autentificacin soportado
por ISA Server
39
Autentificacin
Seleccione el dominio
Servidores RADIUS
Configuraciones
avanzadas
Configuraciones
avanzadas
Requiere que todos los Configure ISA Server

usuarios se autentifiquen para permitir nicamente
usuarios
autentificados
para acceder a otras
redes. Si escoge esta
opcin,
los
clientes
SecureNAT no sern
capaces de acceder a
Internet
usando
este
servidor
Autentificacin
de Configure el dominio por
dominio
defecto que ser usado
para la autentificacin
cuando
est
usando
bsico,
digest,
o
autentificacin RADIUS.
Nombre del servidor y Configure el servidor
puerto
RADIUS que ser usado
para la autentificacin
Nmero de conexiones
Configure el nmero de
usuarios que pueden
concretarse al ISA Server
al mismo tiempo.
Conexin lmite
Configure una conexin
lmite para las conexiones
idle.
Laboratorio: Configurar ISA Server como Servidor Proxy

Habilitar la autentificacin de usuarios de Dominio
1. En el rbol de la consola de ISA Server management, expanda el nodo
SERVER_ISA_Aula, luego expanda el nodo Configuration y seleccione
Networks.
2. En la pestaa Networks, clic en Internal Network. En el panel de tareas, clic
en Edit selected Network.
3. En la pestaa Web Proxy, asegrese que este seleccionado Enable web
Proxy Clients y Enabled http. Asegrese que el puerto http sea 8080.
4. Para configurar las opciones de autentificacin, clic Authentication.
5. El cuadro de dialogo Authentication, asegrese que este seleccionado
Integrated y Digest. Lea los mensajes de advertencia y luego clic en Yes.
6. Clic en Select Domain. En el cuadro de dialogo Select Domain, En el
recuadro Domain Name:, tipee el dominio correspondiente y luego clic en Ok.
7. Clic en Ok para cerrar el cuadro de dialogo de Authentication, clic en Ok
para cerrar el cuadro de dialogo de propiedades.
8. Clic Apply para aplicar los cambios y luego clic en Ok cuando los cambios se
han aplicados.
CIBERTEC
40
2.1.3 Redes y objetos de red de una regla de red

Redes por defecto que son habilitadas en ISA Server.
Cuando instala ISA Server 2006 en una computadora que tiene dos tarjetas de red
como mnimo, estas son pre-configuradas con el sistema de redes por defecto.
Red por defecto
Local Host
Externa
Interna
Clientes VPN
Cuarentena de Clientes VPN
3.3.1
Representa
ISA server 2006
Todas las direcciones IP que no han
sido asociadas con otra red
Todas las direcciones IP especificadas
como internas durante la instalacin
Todas las direcciones IP para clientes
VPN conectados, actualmente.
Todas las direcciones IP de los clientes
VPN en cuarentena
Redes por defecto
ISA Server viene pre-configurado con las siguientes redes que no pueden ser
borradas:
La red Local Host. est red representa a ISA Server. Use esta red para
controlar todo el trfico que viene desde o va a ISA Server a diferencia del
trfico que fluye a travs de ISA server. Como con cualquier red, puede
definir reglas de acceso que definen como el trfico de la red puede fluir
hacia y desde la red Local Host. Tpicamente, ISA Server necesita estar
habilitado para acceder a los servicios en otras redes. Por ejemplo, ISA
Server quizs necesite comunicarse como un controlador de dominio, un
servidor RADIUS, o un servidor DNS en la red interna. ISA Server es preconfigurado con un sistema de polticas del sistema permiten este tipo de
acceso. La red Local Host no puede ser modificada.
La red externa. Est red incluye todas las computadoras (direcciones IP)
que no estn explcitamente asociadas con ninguna otra red. La red
externa es, generalmente considerada como una red no segura y
representa todas las computadoras e Internet. La red externa no puede ser
modificada.
La red interna. Est red incluye todas las computadoras que fueron
especificadas como internas durante el proceso de instalacin.
Clientes VPN. Est red contienen las direcciones actuales de los clientes
VPN que estn conectados.
Clientes VPN en cuarentena. Est red contienen las direcciones de los
clientes VPN que an no han sido limpiados de la cuarentena.
3.4 Objetos de red

Adicionalmente, a las redes, ISA Server permite varias otras opciones para
configurar grupos de computadoras. Puedes hacer esto al configurar diferentes
objetos de red. Por ejemplo, puede crear un sistema de red que incluye mltiples
redes, y luego usar el sistema de red cuando creas una regla de red o una regla
de acceso, o puede crear un objeto computadora, o un sistema de objeto
computadora, para configurar una red o una regla de acceso basado en una
computadora especifica o un grupos de computadoras.
CIBERTEC
41
3.4.1 Objetos de red por defecto

ISA Server brinda los siguientes objetos de red. Estos objetos de red pueden ser
usados como elementos de una regla cuando se crean reglas de red o reglas de
acceso.
Red. Un elemento de la regla red representa una red, que son todas las
computadoras conectadas a un slo adaptador de red de ISA Server.
Cuando configure una regla de red, puedes usar cualquiera de las redes
por defecto, o algunas redes que ha configurado en ISA Server.
Sistema de red. El elemento sistema de red de una regla representa un
grupo de una o ms redes. Por efecto, ISA Server incluye dos sistemas de
red: todas las redes, que incluye todas las redes conectadas a ISA Server,
y todas las redes protegidas, que incluye todas las redes excepto, la red
externa. Puede, tambin, crear un sistema de red que incluya cualquier
combinacin de redes en el servidor.
Computadora. El elemento computadora de la regla representa una sola
computadora, identificada por la direccin IP.
Sistema computadora. El sistema computadora incluye una coleccin de
computadoras identificadas por sus direcciones IP, un objeto subnet, o un
objeto o un rango de direcciones.
Rango de direcciones. Un rango de direcciones es un sistema de
computadoras representadas por un rango continuo de direcciones IP.
Subset. Una subset representa una red subneteada, especificada por la
direccin de red y la mscara.
Sistema URL. El elemento sistema URL de la regla es un sistema de URLs
como son http://www.hotmail.com o http://www.google.com/
Sistema nombre de dominio. El elemento sistema nombre de dominio de
una regla es un sistema de uno o ms nombres de dominio, en el formato
X.google.com
Escuchador web. Elemento escuchador web de la regla es una direccin
IP donde ISA Server escuchar las peticiones web.
CIBERTEC
42
3.5 REGLAS DE RED

Cuando se habilitan mltiples redes u objetos de red en ISA Server, se puede
configurar una regla de red que defina como los paquetes de la red pasarn entre
las redes o entre las computadoras.
Las reglas de red determinan si hay una relacin de confianza entre dos redes y
qu tipo de relacin debe estar definida. La relacin de confianza de red puede ser
configurada de la siguiente manera:
RUTEO :
Cuando se especifica este tipo de conexin, la peticin del cliente en la red
origen es enviada directamente a la red destino. La direccin origen del cliente
es incluida en la peticin. La relacin de confianza de ruteo es bidireccional.
Esto es, si la relacin de confianza de ruteo es creada de A hacia B, tambin,
existir desde la red B hacia la red A.
NAT :
Cuando se especifica este tipo de conexin, ISA Server reemplaza la direccin
IP del cliente que est en la red origen con su propia direccin IP. La relacin
de confianza NAT es unidireccional. Esto indica que las direcciones desde la
red origen son siempre traducidas cuando pasamos a travs de ISA Server.
Por ejemplo, por efecto una relacin de confianza de red usando NAT es
definida entre Internet y la red interna. Cuando un cliente hace una peticin a
Internet, la direccin IP de la computadora cliente interna es reemplazada por
la direccin de ISA Server antes que la peticin sea pasada al servidor que
est en Internet. Por otro lado, cuando un paquete desde Internet es retornado
a la computadora cliente, la direccin del servidor no es traducida. Las
computadoras cliente en la red interna puede acceder a las direcciones que
estn en Internet, pero las computadoras que estn en Internet no pueden
acceder a las direcciones IP internas.
Cuando la relacin de confianza no est configurada entre las redes, ISA
Server bloquea todo el trfico entre las dos redes.
Reglas de red por defecto

Al momento de la instalacin, las siguientes reglas de red son creadas por defecto.
Acceso al Local Host. Esta regla define una relacin de ruteo entre la red
localhots y todas las otras redes.
Clientes VPN haca la red interna. Esta regla define la relacin de ruteo
entre la red interna y los clientes VPN en cuarentena y los clientes de red
VPN.
Acceso a Internet. sta regla define una relacin de confianza NAT entre
la red interna, los clientes VPN en cuarentena, y los clientes de red VPN y
la red externa.
CIBERTEC
43
Resumen
ISA Server viene con algunas redes por defecto que no pueden ser borradas:
a.
b.
c.
d.
e.
La red Local Host

La red externa
La red interna
Clientes VPN. Est
Clientes VPN en cuarentena
El servidor Proxy puede usar mltiples criterios para filtrar las peticiones de los
clientes.
El servidor Proxy puede inspeccionar todo el trfico entrante y saliente que
fluye de la conexin a Internet y determinar si hay un trfico que debera ser
negado.
CIBERTEC
44
CIBERTEC
45
CIBERTEC
46
UNIDAD DE
APRENDIZAJE
2
TEMA
5
REGLAS DE ACCESO
Configurar los elementos de la regla de acceso.
TEMARIO
Reglas de acceso
Formato de regla de acceso.
Identifican y configuran reglas de acceso.
CIBERTEC
47
2.2.1 Reglas de acceso

Por defecto, el ISA Server deniega todo el trfico de red entre otras redes, de esta
manera limita el trfico entre la red local host y otras redes. Configurar una regla
de acceso es la nica manera para que el trfico pueda fluir entre las redes. Una
regla de acceso define las condiciones para que el trfico sea permitido o
denegado entre las redes. Un elemento de la regla de acceso forma parte de las
opciones de configuracin dentro de una regla de acceso.
Elementos de una regla de acceso:
Elemento de la regla de acceso
Protocolos
Usuario
Tipos de contenido
Horarios
Objetos de red
Usado para configurar:

Los protocolos que estarn permitidos o
denegados por una regla de acceso.
Los usuarios que sern permitidos o
denegados por una regla acceso.
El tipo de contenido que ser permitido
o denegado por una regla acceso.
La hora del da cuando el acceso a
Internet ser permitido o denegado por
una regla de acceso.
Las computadoras o destinos que sern
permitidos o denegados por una regla
de acceso.
Razones para usar los elementos de una regla de acceso

Los elementos de una regla de acceso son objetos de configuracin en
ISA Server que puede usar para crear una regla de acceso especfica. Por
ejemplo, quizs quiera crear una regla de acceso que permita, nicamente,
trfico HTTP. Para hacer esto ISA Server proporciona una regla de acceso
de protocolo.
Algunas organizaciones desean limitar el acceso hacia Internet a ciertos
usuarios o computadoras. Para lograr esto, puedes crear una subred o
elementos de la regla de usuario, y luego usar este elemento en una regla
de acceso que limite el acceso hacia Internet a las computadoras en la
subred especificada, o para los usuarios especificados.
Tipos de elementos para las reglas de acceso
Hay cinco tipos de elementos para las reglas:
Protocolos:
Este elemento de la regla contiene protocolos que puede usar para definir
el protocolo que ser usado en la regla de acceso. Por ejemplo, puede
permitir o denegar el acceso a uno o ms protocolos.
Usuarios:
En este elemento de la regla, se puede crear un sistema de usuario para
aplicarlo a una regla de manera explcita, o para ser excluido de la regla.
Por ejemplo, quizs quienes crearon una regla que permita el acceso
Internet a todos los usuarios dentro de una organizacin, con excepcin de
todos los usuarios temporales. Usando el servicio de directorio del Active
Directory o el servidor RADIUS para autentificacin, puedes configurar una
regla de acceso que otorgue el acceso hacia Internet a un grupo de
CIBERTEC
48
usuarios del dominio,

empleadostemporales.
pero
denieguen
el
acceso
al
grupo
Tipos de contenido:
Este elemento de la regla brinda diferentes tipos de contenido comn para
que pueda aplicarlos a una regla. Por ejemplo, puede usar el elemento tipo
de contenido en una regla para bloquear toda descarga que incluya el
contenido de archivos con extensin .exe o .vbs
Horarios:
Este elemento de la regla permite definir a qu horas las reglas se van a
aplicar. Si se necesita definir una regla de acceso que permita el acceso
hacia Internet, nicamente, durante horas especficas, se puedes crear el
elemento horario de la regla que definan estas horas, y luego usar este
elemento horario cuando se crean la regla de acceso.
Objeto de red:
Este elemento de la regla te permite crear un sistema de computadoras a
las cuales se les va aplicar la regla, o a las que se les va a excluir de la
regla. Tambin, puede configurar un sistema de nombres de dominio
(google.com) y URLs (http://www.google.com/traductor) que puede usar
para permitir o denegar el acceso a dominios o URLs especficos.
2.2.2 Formato de la regla de acceso

Las reglas de acceso son usadas para configurar todo el trfico que fluye a
travs de ISA Server, incluyendo todo el trfico desde la red interna haca
Internet, y desde Internet hacia la red interna.
Todas las reglas de acceso tienen la misma estructura como se muestran
la siguiente tabla.
Definicin de las reglas de acceso
Explicacin
Accin
Las reglas de acceso son siempre

configuradas para permitir o denegar el
acceso
Las reglas de acceso pueden ser
aplicadas a protocolos especficos o
nmero de puertos
aplicadas a usuarios especficos o a
todos los usuarios, si ellos se han
autentificado o no.
Las reglas acceso pueden ser aplicadas
a computadoras especficas en red o
direcciones IP.
aplicadas a destinos especficos,
incluyendo redes, direcciones IP
destino, y sitios destino
Las reglas de acceso pueden configurar
condiciones adicionales, incluyendo
horarios y filtrado por el tipo de
contenido.
Para realizar un trfico especfico
Desde un usuario particular
Desde una computadora particular
Desde un destino particular
Basado en una condicin particular
CIBERTEC
49
Laboratorio
1. Configurar una regla de acceso que permita trfico WEB desde ISA Server
2006 hacia la Red Interna
1. En el rbol de la consola de ISA Server Management, expanda el nodo
SERVER, luego expande el nodo Firewall Policy.
2. En la pestaa Task, clic en Create New Access Rule.
3. En la pgina New Access Rule Wizard, escribe el nombre Local Host to
Internal Network, luego clic en Next.
4. En la pgina Rule Action, seleccione Allow.
5. En la pgina Protocols, seleccione los protocolos que se van a aplicar a
esta regla, en el cuadro desplegable escoja Selected protocols y luego,
clic en Add, expanda el nodo Common Protocols y agregue los siguientes
protocolos: http,https, clic en Close y luego, clic en Next.
6. En la pgina Access Rule Sources Clic en Add. Expanda el nodo
Networks y seleccione Local Host, clic en Add y luego clic en Close.
7. En la pgina Access Rule Sources clic en Next.
8. En la pgina Access Rule Destinations Clic en Add. Expanda el nodo
Networks y seleccione Internal, clic en Add y luego clic, en Close.En la
pgina Access Rule Sources clic en Next.
9. En la pgina User Sets clic en Next para que esta regla se aplique a todos
los usuarios.
10. En la pgina Completing the New Access Rule Wizard clic en Finish.
11. En la maquina virtual SERVER_ISA_Aula abra Internet Explorer y escriba
la direccion ip correspondiente.
Nota: Para que ISA Server 2006 pueda acceder a Redes Externas (Internet),
tendra que modificar la regla de acceso que acaba de crear y agregar en la
red destino el objeto Externa que representa la red de Internet en ISA
Server.
2. Configurar una regla de acceso que permita trfico Web desde la Red
Interna
hacia la Red Interna.
1. Desde la computadora CLIENTE inicie sesin con el usuario
2. Ejecute Internet Explorer y escriba la direccin IP correspondiente, lea el
mensaje que aparece en el navegador.
3. En la mquina virtual SERVER_ISA_Aula localiza los eventos registrados
que han usado el protocolo http y el puerto destino 8080. Confirma que la
peticin fue denegada por la Regla por Defecto.
5. En la pestaa Task, clic en Create New Access Rule.
6. En la pgina New Access Rule Wizard, escribe el nombre Internal
Network to Internal Network, luego clic en Next.
7. En la pgina Rule Action, seleccione Allow.
8. En la pgina Protocols, seleccione los protocolos que se van a aplicar a
esta regla, en el cuadro desplegable escoja Selected protocols y luego,
clic en Add, expanda el nodo Common Protocols y agregue los siguientes
protocolos: http,https, clic en Close y luego clic en Next.
CIBERTEC
50
9. En la pgina Access Rule Sources Clic en Add. Expanda el nodo

Networks y seleccione Internal, clic en Add y luego, clic en Close. En la
pgina Access Rule Sources, clic en Next.
10. En la pgina Access Rule Destinations Clic en Add. Expanda el nodo
Networks y seleccione Internal, clic en Add; luego, clic en Close. En la
pgina Access Rule Sources, clic en Next.
11. En la pgina User Sets clic en Next para que esta regla se aplique a todos
los usuarios.
12. En la pgina Completing the New Access Rule Wizard clic en Finish.
13. En la computadora CLIENTE abra Internet Explorer y escriba la direccin
IP correspondiente.
Nota: Para que ISA Server 2006 permita a la red Interna acceder a Redes
Externas (Internet), tendra que modificar la regla de acceso que acaba de
crear y agregar en la red destino el objeto Externa que representa la red de
Internet en ISA Server.
CIBERTEC
51
Resumen
Una regla de acceso define las condiciones para que el trfico sea permitido o
denegado entre las redes.
Los elementos de una regla de acceso son objetos de configuracin en ISA
Server que puede usar para crear una regla de acceso especfica.
CIBERTEC
52
UNIDAD DE
APRENDIZAJE
2
TEMA
6
CONFIGURACIN
DE ELEMENTOS DE UNA REGLA
DE ACCESO
Configuracin de elementos de una regla de acceso
TEMARIO
Configurar elementos de una regla de acceso
Configurar el elemento usuario
Configurar los elementos de tipo contenido.
Identifican y configuran los elementos de una regla de acceso.
CIBERTEC
53
2.3.1 Configurar elementos de una regla de acceso

Configurar el acceso hacia los recursos de Internet envuelve la
configuracin de varios componentes dentro de ISA Server 2006. Uno de
estos componentes son los elementos de la regla de acceso. Los
elementos de la regla de acceso permiten al administrador crear objetos
como crear un objeto usuario, objetos horarios, u objetos protocolos. Estos
objetos pueden ser usados cuando crea la regla de acceso para controlar
el acceso hacia Internet.
Como configurar el elemento protocolo
En la mayora de casos, quizs necesite crear una regla de acceso que
permita o deniegue el acceso a Internet dependiendo del protocolo que el
cliente est usando. Para hacer esto, puede usar uno de los elementos de
protocolo que brinda ISA Server o puede crear su propia definicin de
protocolo.
Crear Nuevos protocolos
ISA Server, incluye una variedad amplia de protocolos pre-configurados
que puede usar cuando crea reglas de acceso. En casi todos los casos, los
protocolos pre-configurados entregan toda la flexibilidad posible cuando se
configuran reglas de acceso. Los protocolos incluidos con el ISA Server no
pueden ser borrados. Puede modificar los filtros de aplicacin para los
protocolos pre-configurados, pero no puede modificar alguna otra
configuracin.
Tambin, se pueden crear nuevos protocolos usando el administrador de
ISA Server. Por ejemplo, quizs est usando una aplicacin personalizada
que requiere un nmero de puerto especfico. Es posible crear un elemento
protocolo que use este nmero de cuarto y luego usar el elemento
protocolo en la regla de acceso. Los protocolos definidos por el usuario
pueden ser editados o borrados.
Cuando crea un protocolo, debe especificar las configuraciones listadas en
la siguiente tabla:
Configuraciones
Tipo de protocolo
Direccin
Rango de puertos
Nmero de protocolo
Propiedades ICMP
Conexiones secundarias
CIBERTEC
Explicacin
Este incluye TCP, UDP, ICMP, o los
tipos de niveles del protocolo IP
Para UDP, este incluye enviar, recibir,
enviar recibir, o recibir enviar. Para
TCP, este incluye enviar y recibir
Para los protocolos TCP y UDP, este es
el rango de puertos entre 1 y 65534 que
es usado para la conexin inicial.
Los niveles del protocolo IP, este es el
nmero del protocolo.
Para el protocolo ICMP, esto es el tipo
y cdigo ICMP.
Esta configuracin es opcional; este es
el rango de puertos, tipos de
protocolos, y la direccin usada para
las conexiones adicionales o paquetes
que siguen la conexin inicial. Puedes
configurar una o ms conexiones
secundarias.
54
Para crear un nuevo objeto protocolo, use el siguiente procedimiento.

1. Abra la herramienta administrativa ISA Server Managment, clic en
Firewall Policy.
2. Es la pestaa Toolbox, clic Protocols.
3. Clic en New, y luego clic en Protocol o RCP Protocol. Para este ejemplo,
escoja Protocol.
4. En la pgina Welcome to the New Protocol Definition Wizard, en el
cuadro de texto Protocol definition name: escribe el nombre del
protocolo. Clic en Next.
5. En la pgina Primary Connection Information, clic en New para
configurar el tipo de protocolo, direccin, y los nmeros de puerto. Clic en
Ok y luego, clic en Next.
6. En la pgina Secondary Connection Information, seleccione si quiere
usar conexiones secundarias. Si el protocolo requiere conexiones
secundarias, clic en Yes, y luego clic en New para configurar el tipo de
protocolo, direccin, y los nmeros de puerto. Clic en Ok y luego, clic en
Next
7. En la pgina Completing to the New Protocol Definition Wizard, revise
la configuracin y luego, clic en Finsh.
Para modificar la existente configuracin del protocolo, seleccione el protocolo,
y luego clic en Edit.
2.3.2 Configuracin del elemento usuario
El segundo criterio que quizs quiera aplicar a una regla de acceso es el
usuario va a estar con acceso permitido o denegado por la regla de acceso.
Puede configurar esto creando los elementos de usuario y luego, aplicar el
elemento usuario a una regla de acceso.
Configurar el sistema usuario
Para limitar el acceso hacia los recursos de Internet basado en usuarios o
grupos, necesita crear un elemento usuario. Cuando limite la regla de
acceso a un usuario especfico, el usuario tiene que ser autentificado antes
que se le otorgue el acceso. Por cada grupo de usuarios, puede definir qu
tipo de autentificacin es requerida. Puede mezclar diferentes tipos de
autentificacin dentro de un sistema de usuario. Por ejemplo, un sistema de
usuario quizs incluida a un usuario de Windows basado en la calidad de
miembro en el dominio, un usuario desde un servidor RADIUS, y otro
usuario desde un espacio de nombre secureid.
ISA Server, viene pre-configurado con los siguientes sistemas de usuario:
Todos los usuarios autentificados:

Este sistema incluye todos los usuarios que han sido autentificados
usando cualquier tipo de autentificacin. Los clientes Securenat no son
autentificados a menos de que ellos se conecten travs de una VPN. Esto
significa que si este grupo no incluye clientes que no sean vpn securenat.
CIBERTEC
55
Todos los usuarios:

Este sistema incluye todos los usuarios, los autentificados y no
autentificados.
Servicio de red y sistema:

Este sistema de usuario incluye el servicio de sistema local y el servicio de
red en la computadora que est ejecutando ISA Server. Este sistema de
usuario es usado en algunas reglas de poltica del sistema.
Para crear un nuevo sistema de usuario, use el siguiente
procedimiento:

Firewall Policy.
2. Es la pestaa Toolbox, clic Users.
3. Clic en New, en la pgina Welcome to the New User Set Wizard, en el
cuadro de texto User set name escriba el nombre del usuario. Clic en
Next.
4. En la pgina User, clic en Add y luego clic en el tipo de usuario que desea
agregar a este. Aqu hay tres opciones:
a. Windows Users and Groups. Use esta opcin para agregar
usuarios y grupos desde un dominio Windows o a desde las
cuentas locales que est ISA Server.
b. Radius use esto para agregar usuarios especficos o todos los
usuarios de un servidor Radius.
c. SecureID. Use esta opcin para agregar usuarios especficos o
todos los usuarios desde un servidor SecureID. Clic en Ok y
luego clic en Next.
En la pgina Completing to the New User Sets Wizard, revise la
configuracin y luego clic en Finsh.
Para modificar la existente configuracin del sistema usuario, seleccione el
sistema usuario, y luego clic en Edit.
Configuracin los elementos de tipo de contenido
Es posible que tambin, quieran limitar el tipo de contenido que el usuario
pueda acceder en Internet. Para realizar esto, crear un nuevo elemento de tipo
de contenido, o usa un elemento de tipo de contenido que exista cuando cree
una regla de acceso.
2.3.3 Configurar los elementos de tipo de contenido
Los elementos de tipos de contenido definen diferentes tipos de extensiones de
archivos y extensiones MIME (multipropose Internet mail extensions). Cuando un
cliente como Microsoft Internet Explorer descarga informacin desde Internet
usando http o ftp, el contenido es descargado como un archivo que tiene una
extensin de nombre especfico.
Los elementos de tipo de contenido se aplican nicamente al trfico http y ftp que
es enviado en la cabecera http. El trfico ftp, tambin, es enviado en la cabecera
http cuando el cliente es configurado como un cliente web proxy.
CIBERTEC
56
Cuando un cliente solicita el contenido ftp, el ISA Server verifica que la

extensin del archivo.ISA Server, determina si el tipo de contenido que
incluye la extensin del archivo est relacionada a una regla de acceso. Si
esto es as, el ISA Server, aplicar la regla.
Cuando un cliente solicita el contenido http, el ISA Server enva la peticin

al servidor web. Cuando el servidor web retorna el objeto, el ISA Server
verifica la extensin del archivo, dependiendo de la informacin en la
cabecera retorna por el servidor web. ISA Server determina si se aplica la
regla al tipo de contenido que incluye la peticin de la extensin del
archivo, y procede de acuerdo a la regla.
ISA Server, est pre-configurado con los siguientes tipos de contenido:
aplicacin, archivos con informacin de aplicacin, audio, archivos
comprimidos, documentos, en documentos html, imgenes documentos
macro, texto, video, y VRLM (virtual reality modeling language). En la
mayora de los casos, no necesitar configurar tipos de contenido
adicionales o slo podr aplicar los tipos existentes.
Cuando configure un tipo de contenido y especifique el tipo MIME, puede
usar el asterisco (*) como un carcter comodn. Por ejemplo, para incluir
todas los tipos de aplicaciones, ingresen aplicacin/*. El comodn * puede
ser usado, nicamente, con los tipos MIME y no con las extensiones de
archivos. El * puede ser especificado por nica vez, al final del tipo MIME
escriba antes el signo (/).
Para crear un nuevo objeto de tipo de contenido, procedimiento

recomendado
Firewall Policy.
2. Es la pestaa Toolbox, clic Content Types.
3. Clic en New, en la pgina New Content Type Set, complete la siguiente
informacin:
a. Name. Escriba el nombre del tipo de contenido
b. Available Types. Seleccione el tipo de contenido apropiado desde
la lista. Puede escoger, tambin, el contenido MIME o extensiones
de aplicaciones.
4. Clic en Add y luego clic en Ok.
Para modificar la existente configuracin del tipo de contenido, seleccione el
sistema tipo de contenido, y luego clic en Edit.
Configuracin del elemento horario
En algunos casos, quizs quiera configurar el acceso hacia Internet basado en la
hora del da. Para realizar esto, configure un elemento horario y aplquelo a uno de
los existentes horarios en la regla de acceso.
ISA Server 2006 est pre-configurado con los siguientes dos horarios:
Fin de semana. Define un horario que configura como activa todas las
horas en los das sbados y domingos.
Horas de trabajo. Define un horario que configura como activa las horas
entre 9:00 y 17:00 desde el lunes hasta el viernes.
CIBERTEC
57
Para crear un nuevo elemento, use el siguiente procedimiento.

Firewall Policy.
2. Es la pestaa Toolbox, clic Schedules
3. Clic en New, en la pgina New Schedule, complete la siguiente
informacin:
a. Name. Escriba el nombre del horario.
b. Configure el horario seleccionando las horas cuando la regla ser
activa o e inactiva y luego clic en Active o Inactive.
4. Clic en Ok.
Para modificar el existente elemento horario, clic en el elemento, y luego clic en

Edit.
Configuracin de los sistemas nombre de dominio y sistemas URL
Es posible que tambin quiera definir a que sitio WEB los usuarios puedan o
no puedan acceder. Se puede configurar esto al crear un sistema nombre y
dominio o un sistema URL (Localizador de recurso uniforme) y luego aplicar
este sistema a una regla de acceso.
Los sistemas nombre de dominio y URL son ambos objetos de red que
pueden ser usados cuando define una regla de acceso, pero no puede ser
usados para definir reglas de red. Los sistemas nombre de dominio define
uno o ms nombres de dominio como un nico sistema, entonces podr
aplicarlo a reglas de acceso para dominios especficos. Los sistemas URL
especifican uno o ms URLs agrupados dentro del sistema URL. Los
sistemas URL puedes ser usados en reglas de acceso para permitir o
denegar acceso a Web sites especficos.
Especificar nombres de dominio. Cuando especifique el nombre de

dominio puede usar un asterisco (* ) para abarcar a
todas las
computadoras del dominio. Por ejemplo, para especificar todas las
computadoras en el dominio nwtraders.msft, escriba el nombre de dominio
como*.nwtraders.msft. El asterisco puede aparecer nicamente al inicio del
nombre de dominio, y puede ser especificado, nicamente, una vez en el
nombre.
Especificar URLs. Cuando defina un sistema URL, puede especificar uno
o ms URLs en el formato URL. Por ejemplo, especifica un URL como es
http://www.nwtraders.msft. Puede, tambin, especificar una ruta que use un
comodn en esta ruta, pero nicamente, al final. Por ejemplo,
www.nwtraders.msft/*
es
aceptado.
Sin
embargo,
www.nwtraders.msft/*/sales no es aceptado.
ISA Server, incluye los siguientes sistemas de nombre de dominio:
Microsoft Error Reporting Sites. Un sistema de nombre de dominio

predefinido para permitir reportes de error.
System Policy Allowed Sites. Un sistema de nombre de dominio predefinido
para permitir el acceso a sites de confianza para mantenimiento y
administracin de l.
Para crear un nuevo elemento dominio o URL, us el siguiente

procedimiento.
CIBERTEC
58

Firewall Policy.
2. Es la pestaa Toolbox, clic Network Objects.
3. Para crear un nuevo sistema nombre dominio, clic en New, en la pgina
Domain Name Set
4. En la pgina, New Domain Name Set Policy Element, complete la
siguiente informacin:
a. Name. Escriba el nombre del dominio.
b. Domain names included in this set. Clic en Add y luego escriba
nombre del dominio.
5. Clic en Ok
6. para crear un nuevo sistema URL, clic en New y luego clic en URL Set.
7. En la pgina New URL Set Rule Element, complete la siguiente
informacin:
a. Name. Escriba el nombre del URL.
b. Especifique los URLs incluidos en este sistema URL. Clic en New y
luego escriba nombre del dominio.
8. Clic en Ok
Para modificar el existente sistema en nombre de dominio o sistema URL, clic en
el sistema nombre de dominio o URL, y luego clic en Edit.
Laboratorio
1. Configurar el Servidor Proxy para permitir el acceso solo a los usuarios
del grupo Internet Allow, entre las 8 am - 4 pm, y tambin, denegar el acceso
al dominio www.hi5.com.
Configurar los siguientes elementos de una regla: usuario, horario, nombre
de dominio.
Para crear el sistema usuario, use el siguiente procedimiento.
Firewall Policy.
2. Es la pestaa Toolbox, clic Users.
3. Clic en New, en la pgina Welcome to the New User Sets Wizard, en el
cuadro de texto User set name escriba Internet Allow. Clic en Next.
a. En la pgina User, clic en Add y luego, clic en Windows Users and
Groups. Clic en Locations, y seleccione Enteri Directory. Y luego
Clic en Ok.
b. Ingrese el nombre del objeto en este caso el nombre del grupo
Internet Allow, y luego clic en Check Names, Clic en Ok y luego,
clic en Next.
4. En la pgina Completing to the New User Set Wizard, revise la
configuracin y luego clic en Finsh.
Para crear el elemento horario, use el siguiente procedimiento.
Firewall Policy.
2. Es la pestaa Toolbox, clic Schedules
3. Clic en New, en la pgina New Schedule, complete la siguiente
informacin:
CIBERTEC
59
a. Name. Escriba el nombre del horario Lunes a Domingo 8am

4pm.
b. Seleccione como horas inactivas entre las 12am - 8am, y entre las
4pm - 12pm, clic en Ok.
Para crear el elemento dominio, use el siguiente procedimiento.
Firewall Policy.
2. Es la pestaa Toolbox, clic Network Objects.
3. Para crear un nuevo sistema nombre dominio, clic en New, en la pgina
Domain Name Set
4. En la pgina, New Domain Name Set Policy Element, complete la
siguiente informacin:
a. Name. Escriba el nombre hi5.com.
b. Domain names included in this set. Clic en Add y luego, escriba
el nombre del dominio www.hi5.com
5. Clic en Ok
Configure la regla de acceso Red Interna hacia la Red Interna, con los
nuevos elementos que ha creado.
SERVER luego expande el nodo Firewall Policy.
2. Seleccione la regla de acceso que va configurar Red Interna hacia la Red
Interna, luego 2 clics en el nombre de la regla de acceso.
3. Seleccione la pestaa Users, clic en Add, y seleccione el sistema de
usuario Internet Allow.
4. Clic en Add, y luego clic en Close, finalmente clic en Apply
5. Para remover el Sistema All Users, seleccione el Sistema All Users, clic
en Remove, finalmente clic en Apply.
6. Seleccione la pestaa Schedule, luego agregue el horario Lunes a
Viernes 9am 4pm, Clic en Apply.
7. Seleccione la pestaa To. En el cuadro de excepciones clic en Add, luego
expanda el nodo Domain Name Sets, seleccione hi5.com, clic en Add y
luego clic en close.
8. Finalmente, clic en Apply.
Verifique la configuracin de la nueva regla de acceso con el usuario
jperez
1. Desde la maquina virtual CLIENTE inicie sesin con el usuario jperez y la
contrasea P@ssw0rd.
2. Abra Internet Explorer e ingrese a las siguientes direccin
http://www.hi5.com, http://www.nwtraders.msft
Verifique la configuracin de la nueva regla de acceso con el usuario
administrator
1. Desde la maquina virtual CLIENTE inicie sesin con el usuario
administrator y la contrasea P@ssw0rd.
2. Abra Internet Explorer e ingrese a las siguientes direccin
http://www.hi5.com, http://www.nwtraders.msft.
CIBERTEC
60
Resumen
ISA Server viene pre-configurado con los siguientes sistemas de usuario:
Todos los usuarios autentificados:
Todos los usuarios
Servicio de red y sistema
Se pueden crear nuevos protocolos usando el administrador de ISA Server.
ISA Server, incluye una variedad amplia de protocolos pre-configurados que
puedes usar cuando creas reglas de acceso. En casi todos los casos, los
protocolos pre-configurados entregan toda la flexibilidad necesaria cuando
configuras reglas de acceso.
CIBERTEC
61
CIBERTEC
62
UNIDAD DE
APRENDIZAJE
3
TEMA
7
CONFIGURAR ISA SERVER COMO FIREWALL
Describir la funcionalidad que brinda el firewall y saber cmo implementarlo

mediante polticas del sistema y la deteccin de intrusos.
TEMARIO
Estructura del paquete TCP/IP.
Filtrado de paquetes.
Ventajas del filtrado de paquetes.
Desventajas del filtrado de paquetes.
Identifican y configuran ISA Server como un firewall
CIBERTEC
63
Uno de los roles primarios, de ISA Server 2006 es funcionar como un servidor
firewall entre Internet y la red interna. El firewall limita el flujo del trfico de red
desde una red a otra. Si bien existen muchos productos que permiten hacer este
tipo de trabajo, muchas organizaciones implementan ISA Server 2006 como un
firewall. Esa es una de las razones por las que dominar esta aplicacin es
importante.
3.2.1 Estructura del paquete TCP/IP
Toda la comunicacin de red en Internet usa TCP/IP como el protocolo de
comunicacin. Para configurar ISA Server 2006 como un Firewall, tiene que
entender las caractersticas de la comunicacin TCP/IP.
Cada paquete TCP/IP est construido de mltiples
componentes corresponden a las siguientes cuatro capas:
componentes.
Los
Capa de Interfase de red:

Esta capa se encarga de ubicar los paquetes TCP/IP en el medio de red y
recibir los paquetes TCP/IP desde el medio de red.
TCP/IP fue diseado para ser independiente de la capa interface de red. La
cabecera de la capa interface de red incluye informacin del
direccionamiento requerida por los dispositivos fsicos conectados a la red
para comunicarse con otros dispositivos.
Capa de Internet:
Esta capa se encarga del direccionamiento de los paquetes, fragmentacin
y ensamblado de los mismos, y ruteo de los paquetes entre las redes. El
protocolo ms importante en esta capa es el protocolo de Internet (IP).
Capa de transporte:
Esta capa brinda los servicios de comunicacin de sesin y datagrama. La
base de los protocolos de la capa transporte son protocolo de control de
transmisin y el protocolo de datagrama del usuario.
Capa de aplicacin:
En esta capa las aplicaciones acceden a los servicios de las otras capas y
tambin define el protocolo de aplicacin usado para intercambiar
informacin. Protocolo de Transferencia de Hipertexto (http), Protocolo de
Transferencia de Archivo (FTP), Protocolo Simple de Transferencia de
Correo (SMTP), Telnet, Sistema de nombre de dominio (DNS)son algunos
ejemplos de los protocolos de la capa aplicacin.
6.1.1 Protocolo de Internet (IP)

IP es el protocolo primario de la capa de red responsable del direccionamiento
y ruteo de paquetes entre los dispositivos. Un paquete IP consiste de una
cabecera IP y la carga data IP.
La siguiente tabla describe los campos claves de la cabecera IP.
Campo de la Cabecera IP
Funcin
Direccin origen
La direccin IP de la fuente original del

datagrama IP.
La direccin IP del destino final del
datagrama IP.
Informacin del tipo de protocolo que
est viajando con el paquete hacia el
Direccin destino
Protocolo
CIBERTEC
64
dispositivo destino.
Protocolo TCP
TCP es un protocolo seguro orientado a la conexin, esto significa que primero se
debe establecer una sesin entre los dispositivos antes de que puedan
intercambiar data. La confiabilidad se logra asignando una secuencia numrica por
cada paquete transmitido. El reconocimiento es usado para verificar que la data ha
sido recibida. TCP brinda una conexin punto a punto, orientado a la conexin, y
servicios de comunicacin segura.
La siguiente tabla describe los campos en la cabecera TCP.
Campo de cabecera TCP
Funcin
Puerto origen
Puerto destino
Secuencia numrica
Puerto TCP de envo para el dispositivo

Puerto TCP destino del dispositivo
Secuencia numrica del primer byte de
data en el paquete TCP.
Secuencia numrica enviada desde el
otro lado de la conexin.
Nmero de reconocimiento
Protocolo UDP
UDP es un protocolo no confiable orientado a la desconexin, esto significa que
hace el mejor esfuerzo para la transmisin de data en mensajes. Esto significa
que no le importa si los datagramas llegan o si no contienen la secuencia correcta.
El protocolo UDP no recupera la data prdida usando retransmisiones, debido a
que no usa el byte de reconocimiento. La cabecera UDP contiene informacin del
puerto origen y destino, pero no incluye informacin secuencial o de
reconocimiento. El asegurar que los paquetes UDP sean enviados correctamente,
es responsabilidad de los protocolos de la capa de aplicacin.
Windows Sockets
La mayora de aplicaciones en Internet se ejecutan sobre la plataforma Windows y
hacen uso del Windows Sockets para comunicarse con los protocolos de las capas
inferiores. Windows Sockets entrega servicios que permiten a las aplicaciones
lanzarse a un puerto en particular y a una direccin IP en un determinado
dispositivo, inicializa y acepta una conexin, enva y recibir data, y cierra una
conexin.
Un Socket est definido por la asociacin de un protocolo a una direccin en el
dispositivo. En TCP/IP, la direccin de socket es la combinacin de la direccin IP
y el puerto. De esta manera dos sockets, uno por cada fin de la conexin, forman
una ruta direccional de comunicaciones.
Para que se d la comunicacin la aplicacin debe especificar el protocolo, la
direccin IP de la computadora destino, y el puerto de la aplicacin destino.
Despus que la aplicacin est conectada, la informacin puede ser enviada y
recibida.
3.2.2 Filtrado de paquetes
El rol primario de un firewall es prevenir que el trfico de la red externa ingrese a la
red interna a menos que el trfico sea permitido de manera explcita. Una de las
maneras que un firewall realiza esto es a travs del filtrado de paquetes.
El filtrado de paquetes controla el acceso hacia la red desde la capa de red por
medio de la inspeccin y permite o deniega el paquete IP que se va transmitir a
travs del firewall. Cuando el firewall inspecciona un paquete IP, este examina,
nicamente, la informacin en las cabeceras de la capa de red y transporte,
CIBERTEC
65
incluyendo informacin del paquete origen y destino, el tipo de protocolo y el

nmero de puerto.
El firewall puede evaluar los paquetes IP usando el siguiente criterio:
Direccin destino:
La direccin destino quiz sea la direccin IP actual de la computadora
destino en el caso de una relacin de confianza de ruteo entre dos redes
que estn conectadas por ISA Server. El destino, quiz tambin sea, la
interfase externa del ISA Server en el caso de una relacin de confianza de
red basada en NAT.
Direccin origen:
Esta es la direccin IP de la computadora que, originalmente, transmiti el
paquete.
Protocolo IP y nmero de protocolo:
Se puede configurar el filtrado de paquetes tomando en cuenta los
protocolos TCP, UDP, ICMP, y cualquier otro protocolo. Cada protocolo
tiene asignado un nmero. Por ejemplo, TCP es el protocolo 6, y el
protocolo de ruteo genrico de encapsulamiento para las conexiones
PPTP es el protocolo 47.
Direccin:
Esta es la direccin del paquete a travs del firewall. En la mayora de
casos, la direccin puede estar definida por la entrada, salida o ambos.
Para algunos protocolos, como son FTP o UDP, la direccin escogida
quizs sea nicamente de recepcin, o nicamente envo, o ambos.
Nmero de puerto:
Al efectuar el filtrado de un paquete TCP o UDP, se define un puerto local
o remoto. El puerto local y remoto puede ser definido por un nmero de
puerto fijo o dinmico.
3.2.3 Ventajas del filtrado de paquete
El filtrado de paquetes tiene sus ventajas y desventajas. Algunas de las
ventajas incluidas son:
El filtrado de paquete, nicamente, inspecciona la cabecera de la capa de
red y transporte, entonces el filtrado de paquete es muy rpido.
El filtrado de paquete puede ser usado para bloquear o para permitir una
direccin IP particular. Si se detecta un ataque en la capa de aplicacin o
desde una direccin IP, se puede bloquear la direccin IP con el filtrado de
paquete. Tambin, es posible permitir el acceso hacia nuestra red y si se
sabe que el trfico vendr desde una direccin en particular, se puede
permitir el acceso, nicamente, desde esa direccin fuente.
El filtrado de los paquetes puede ser usado para filtrar el trfico de ingreso
o de salida. Filtrar el ingreso bloquea todo el acceso en la interface externa
del firewall para paquetes que tengan una direccin IP origen que est,
lgicamente, en la red interna. Por ejemplo, si su red interna incluye la red
192.168.20.0, un filtro de entrada bloquear un paquete que llegue a la
interfase externa desde la direccin 192.168.20.1. Un filtro de salida
previene que los paquetes de su red interna puedan salir de su red.
3.2.4 Desventajas del filtrado de paquetes
El filtrado de paquetes no puede prevenir el spoofing de una direccin IP.
Un hacker puede sustituir la direccin IP de una computadora en la que se
confa como direccin fuente y el filtrado de paquete no podr bloquear los
paquetes.
El filtrado de paquetes no puede prevenir ataques de fragmentos IP. Un
ataque de fragmentos IP divide un paquete IP dentro de mltiples
CIBERTEC
66
fragmentos. La mayora de firewalls verifican slo el primer fragmento y

asumen que los otros fragmentos son similares al paquete original y son
aceptados. Sin embargo, los fragmentos adicionales es posible que
contengan contenido malicioso.
CIBERTEC
67
Resumen
El filtrado de paquetes controla el acceso hacia la red desde la capa de red
por medio de la inspeccin y permite o deniega el paquete IP que se va
transmitir a travs del firewall.
El filtrado de aplicacin permite al firewall abrir los paquetes TCP/IP e
inspeccionar la data de aplicacin para comandos no aceptado e informacin.
UDP es un protocolo no confiable orientado a la desconexin, esto significa
que hace el mejor esfuerzo para la transmisin de data en mensajes.
CIBERTEC
68
UNIDAD DE
APRENDIZAJE
3
TEMA
CONFIGURACIN DE
FIREWALL PARTE II
ISA
SERVER
COMO
Describir la funcionalidad que brinda el firewall y saber cmo implementarlo

mediante polticas del sistema y la deteccin de intrusos.
TEMARIO
ISA Server como un Firewall.
Plantillas de Red.
Configurar Directivas de ISA Server.
Configurar Deteccin de Intrusos.
Identifican y configuran ISA Server como un firewall
CIBERTEC
69
3.3.1 ISA Server 2006 como un Firewall.

ISA Server 2006 no tiene una opcin directa para configurar el filtrado de
paquetes. Sin embargo, el ISA Server puede operar como un firewall que filtra
paquetes inspeccionando el trfico en las capas de red y transporte.
Por ejemplo, se necesita definir una regla acceso que permita regular todos los
protocolos desde una computadora de una red hacia una computadora en otra
red, ISA Server har uso de un filtrado de paquetes para permitir este trfico.
O si configura una regla acceso que controla el trfico proveniente de puerto
telnet (tcp 23), ISA Server usar un filtrado de paquetes para bloquear este
puerto.
3.3.2 Monitoreo del proceso de filtrado
Cuando un firewall efecta el filtrado de los paquetes, no solo examina la
cabecera de informacin del paquete, sino tambin, examina el estado de este
paquete. Por ejemplo, el firewall puede inspeccionar un paquete desde la
interfase externa y determinan si el paquete es una respuesta a alguna
solicitud de la red interna.
Esta verificacin puede ser realizada en ambas capas: la de transporte y de
aplicacin.
El mayor uso del filtrado es usar la informacin sobre la sesin TCP para
determinar si el paquete debera ser bloqueado o permitido a travs del
firewall.
Las sesiones TCP se establecen a travs del saludo de tres vas TCP. El
propsito del saludo de tres vas es sincronizar la secuencia numrica y el
nmero de reconocimiento en ambos lados de la conexin e intercambiar otra
informacin definida como las dos computadoras que intercambian paquetes.
Los siguientes pasos son realizados en este proceso:
1. Al iniciar la sesin TCP, un cliente, enva un segmento TCP hacia el

servidor con la secuencia inicial numrica para la conexin (ISN). Por
ejemplo, el cliente quizs enve un paquete que incluya la siguiente
informacin:
TCP: Control Bits:.S., len: 0, seq:38370668713837066872, ack:
0, win:16384, src: 1159 dst: 80
TCP: Sequence Number = 3837066871 (0xE4B4FE77)
TCP: Acknowledgment Number = 0 (0x0)
TCP: 1. = Synchronize sequence numbers
En este ejemplo, el cliente est enviando la secuencia numrica y ha
solicitado al servidor que brinde la secuencia de nmeros (por medio
del bit SYN 1)
2. La respuesta en la sesin TCP, tpicamente, un servidor, retorna el

segmento TCP contenido en esta respuesta escogiendo, inicialmente,
la secuencia numrica y el reconocimiento de la secuencia numrica
del cliente. Por ejemplo, el servidor quizs enve un paquete que
incluya la siguiente informacin:
TCP: Control Bits:A..S., len: 0, seq:29824706242982470625, ack:3837066872 , win:17520, src: 80 dst: 1159
CIBERTEC
70
TCP: Sequence Number = 2982470624 (0xB1C4E3E0)

TCP: ..1.= Acknowledgment field significant
TCP: 1. = Synchronize sequence numbers
El servidor est brindando esta secuencia numrica y el reconocimiento
que el paquete ha sido recibido con la secuencia numrica del cliente.
Ambos bits SYN y ACK estn configurados.
3. El que Inicia el envo de servidor hacia el segmento TCP contiene el

reconocimiento de la secuencia numrica del servidor. El cliente
responde o un paquete incluye la siguiente informacin:
TCP: Control Bits:A., len: 0, seq: 38370668723837066872, ack:2982470625 , win:17520, src: 1159 dst: 80
TCP: Sequence Number = 3837066872 (0xB1C4E3E1)
TCP: ..1.= Acknowledgment number: 2982470625
TCP: 1. = Acknowledgment field significant
Ahora el cliente y el servidor han aceptado la secuencia numrica, ellos
usarn la secuencia numrica como ruta para los paquetes TCP. TCP
usar la informacin para recuperar paquetes que no hayan llegado o
que contengan error, o paquete que no tengan el orden adecuado.
TCP usar un proceso similar de saludo para terminar la conexin. Esto
garantizar que ambas computadoras han finalizado la transmisin y
que toda la informacin fue recibida.
Un firewall usara esta informacin de TCP para lograr el filtrado.
Cuando un cliente en la red interna enva hacia afuera el primer
paquete en el saludo de tres vas, el servidor enva el paquete y graba
el acontecimiento que ha sido enviado en el paquete.
Cuando la respuesta retorna desde el servidor, el firewall acepta los
paquetes porque esta respuesta viene de una peticin interna. Si el
paquete llega slo con el bit SYN, o con el bit SYN y ACK, pero el
firewall no ha grabado ninguna peticin de algn cliente, el firewall
bloquea los paquetes.
El firewall puede, tambin, usar otras caractersticas de la sesin TCP
para controlar el trfico.
Por ejemplo, cuando un cliente inicializa la sesin, el firewall puede
habilitar un temporizador y mantener la sesin abierta, solo, por un
tiempo especificado en el temporizador.
El firewall, tambin, puede analizar la data en el nivel de aplicacin para
realizar un mejor filtrado.
Por ejemplo, cuando un cliente enva el comando GET hacia una
direccin en un servidor web, el firewall puede registrar la peticin y
permitir una respuesta. El paquete HTTP que llega de una peticin
correspondiente de un cliente es descartado.
CIBERTEC
71
Ventajas y desventajas del proceso de filtrado

Una de las ventajas del proceso de filtrado es brindar el reenvo de todo el trfico
de la red hacia el firewall como parte de una sesin existente, o marcar las reglas
para crear una nueva sesin.
Otra ventaja es que el estado de filtrado incrementa el filtrado de paquete
dinmico, slo brindando disponibilidad a puertos especficos, nicamente, cuando
existe una sesin vlida.
Por ejemplo, si la peticin de un cliente que el servidor responde en el puerto
1159, ISA Server escuchar en el puerto 1159 todo el tiempo que la conexin
exista.
Sin embargo, el estado de filtrado aun no brinda proteccin suficiente, pues
muchos de los nuevos ataques pasan por el nivel de aplicacin, por ejemplo, una
computadora cliente descarga un cdigo malicioso en un paquete HTTP que es
parte de una sesin legtima. Slo si el estado de la capa de aplicacin es
inspeccionada, se podra bloquear este tipo de ataque.
3.3.3 Reglas de conexin ISA Server
ISA Server usa reglas de conexin para mantener el registro de las sesiones.
Siempre que un paquete llegue al servidor. ISA Server tiende a asociar el paquete
con una regla de conexin, basado en el protocolo, origen, y destino.
Una regla de conexin tiene los siguientes atributos:
Nmero de protocolo
Origen (direccin IP y puerto)
Destino (direccin IP y puerto)
Traduccin de direccin origen
Traduccin de direccin destino
Estadsticas (nmero de bytes transferidos, la ltima hora de acceso)
Miscelneas (checksum delta, usado cuando se realiza una traduccin de
direccin)
Si el paquete concuerda con una regla de conexin, el paquete es reenviado.
Si el paquete no concuerda con una regla de conexin, ISA Server verifica las
reglas de acceso para determinar si una nueva regla de conexin pudo haber
sido creada. Si existe una regla de acceso bloquea la creacin de esta
conexin, luego ISA Server crea la conexin y reenva el paquete. Si el firewall
bloquea la creacin de esta conexin, el paquete es descartado.
3.3.4 Filtrado de aplicaciones
El filtrado de aplicacin permite al firewall
abrir los paquetes TCP/IP e
inspeccionar la data de aplicacin para comandos no aceptados e informacin
enviada. Por ejemplo, un filtro SMTP intercepta la comunicacin en el puerto 25 y
lo inspecciona para estar seguro que los comandos SMTP son autorizados antes
de que pase la comunicacin al servidor destino. Un filtro HTTP realiza la misma
funcin con todos los paquetes HTTP. El firewall est capacitado para filtrar en la
capa de aplicacin y detener cdigo peligroso antes de que ste pueda hacer
dao.
El filtro de la capa de aplicacin, tambin, puede ser usado para detener ataques
que provengan de virus y worms.
CIBERTEC
72
La mayora de gusanos se ven como cdigo de software legtimo para el filtrado de

paquetes. Las cabeceras de los paquetes son idnticas en formato y por lo tanto
ste trfico es legtimo. El peligro se encuentra en la informacin que lleva el
paquete; nicamente cuando todos los paquetes estn juntos se puede identificar
el gusano como un cdigo malicioso, entonces estos exploits algunas veces viajan
a travs de la red privada porque el firewall se lo permite pues los ve como un
cdigo normal.
Ventajas y desventajas del filtrado de aplicacin
Las ventajas del filtrado en la capa de aplicacin van ms all de la prevencin de
ataques. Por ejemplo, puede configurar filtros que prevengan la descarga de
potenciales programas peligrosos desde Internet, o que la data crtica del cliente
no sea daada si algn programa malicioso es enviado a la red en un correo.
El filtrado de la capa de aplicacin, tambin, puede ser usado para limitar las
acciones de los usuarios cercanos a la red. Se puede usar el filtro de aplicacin
para restringir comunicaciones inapropiadas en la red. Por ejemplo, se pueden
bloquear servicios de intercambio de archivos del tipo peer to peer. Estos tipos de
servicios pueden consumir, substancialmente, los recursos de la red y ponen en
riesgo la seguridad de la organizacin.
La mayor desventaja significativa de los filtros de aplicacin se debe a que el filtro
de aplicacin examina toda la data que lleg en el paquete. Esto, usualmente, lo
vuelve ms lento en el envo de la informacin.
ISA Server y el filtrado de las aplicaciones
La mayor ventaja de utilizar ISA Server 2006 es que ste es un poderoso y
completo firewall de la capa de aplicacin. ISA Server incluye varios filtros de
aplicacin. Adicionalmente incluye una interfase flexible con la que el
administrador puede crear filtros personalizados para detectar algn ataque virtual.
Como ISA Server 2006 filtra el trfico de red
ISA Server 2006 est diseado para brindar todas las funcionalidades de un
firewall con filtrado usando una arquitectura de capas.
Arquitectura de filtrado del ISA Server.
Cuando un paquete llega al firewall, este viaja a travs de uno o ms
componentes en la arquitectura del ISA Server. Los paquetes de red quiz sean
inspeccionados y permitidos o denegados por cada uno de los siguientes
componentes:
1. Filtrado de paquete:
El motor del firewall, se ejecuta en el modo kernel, recibe los paquetes y los
pasa a travs de la capa de red. Los paquetes son asociados o una regla de
conexin, y luego los paquetes son filtrados. El motor del firewall aplica el
filtrado de paquetes. Si el filtrado de paquetes no se aplica, los paquetes son
pasados al servicio del firewall.
2. Filtrado de protocolo:
El servicio firewall, que se ejecuta en el modo usuario, realiza el proceso de
filtrado y protocolo. El servicio firewall tambin les da la mano a la
comunicacin o una conexin va el cliente firewall. Si un filtro de aplicacin o
un filtro web est asociado con el protocolo de conexin, el paquetes es
pasado al apropiado filtro de aplicacin o filtro web.
CIBERTEC
73
3. Filtro de aplicacin:
Los filtros de aplicacin expanden el paquete de red e inspeccionan la data de
aplicacin. Si el paquete usa el http o HTTPS, el mensaje es enviado a travs
del filtro web proxy hacia el filtro HTTP web, para que sea inspeccionada la
data de aplicacin. El filtro web Proxy, tambin, controla y accede a la cach
del web.
3.3.5 Implementar ISA Server 2006 como un FIREWALL
En muchas organizaciones, ISA Server est implementado como un firewall. ISA
Server brinda una solucin firewall segura que puede ser implementado en
muchas diferentes configuraciones.
El proceso de configuracin de ISA Server como un firewall incluye los siguientes
pasos:
Determinar la configuracin del permetro de red. El rol primario para un

firewall es proteger el permetro de red. El primer paso en la
implementacin de ISA Server como un firewall es para disear la
configuracin del permetro de la red y determinar el rol de ISA Server en
esta configuracin.
Configurar redes y reglas de red. El segundo paso es la configuracin de
redes y reglas de red basadas en el diseo del permetro de la red. Se
pueden usar moldes de red para simplificar ste proceso.
Configurar la poltica del sistema. La poltica del sistema es usada para

definir cmo ISA Server ser administrado. Uno de los pasos en la
implementacin es definir qu poltica del sistema se habilitar,
nicamente, para la funcionalidad requerida.
Configurar la deteccin de intrusos. ISA Server viene incorporado con

tcnicas de deteccin de intrusos. Se recomienda configurar la deteccin
de intrusos solo cuando ha ocurrido un ataque en su servidor y se desea
ser avisado.
Configurar los elementos de las reglas de acceso y reglas de acceso. Para

otorgar el acceso a los usuarios hacia Internet, se necesitan configurar
elementos de la regla de acceso y reglas de acceso.
Configure el servidor y Publique la Web. El paso final en configurar ISA
Server como un firewall es para habilitar servicios y publicarlos. Esto hace
que los recursos internos sean accesibles desde Internet.
Laboratorio:
De acuerdo a las directivas del profesor, aplicar los conceptos del firewall.
Determinar los tipos de funcionalidad firewall requeridos para posibles escenarios
y discuta las respuestas con un compaero.
CIBERTEC
74
Resumen
El filtrado de paquetes controla el acceso hacia la red desde la capa de red por
medio de la inspeccin y permite o deniega el paquete IP que se va transmitir a
travs del firewall.
El filtrado de aplicacin permite al firewall abrir los paquetes TCP/IP e
inspeccionar la data de aplicacin para comandos no aceptado e informacin.
UDP es un protocolo no confiable orientado a la desconexin, esto significa
que hace el mejor esfuerzo para la transmisin de data en mensajes.
CIBERTEC
75
CIBERTEC
76
CIBERTEC
77
UNIDAD DE
APRENDIZAJE
4
TEMA
9
CONFIGURAR EL ACCESO A RECURSOS INTERNOS
Describir como ISA Server 2006 puede ser usado para configurar acceso a
los recursos internos.
Configurar la publicacin Web
TEMARIO
Reglas de publicacin Web
Funciones de las reglas de publicacin Web.
Funciones de las reglas de publicacin Web seguras.
Reglas de publicacin de servidor
Identifican las tcnicas que permiten configurar el acceso a los recursos
internos
CIBERTEC
78
ISA Server 2006 usa reglas de publicacin WEB y para publicar los recursos
internos de la red hacia Internet sin comprometer la seguridad interna de la red.
Las reglas de publicacin Web determinan cmo ISA Server reparte las peticiones
HTTP y HTTPS desde Internet para los servidores webs internos. Las reglas de
publicacin de servidor definen la manera en que ISA Server responde a las
peticiones desde Internet para otros recursos de red en la red interna. El
administrador de ISA Server necesita saber cmo usar estas reglas para publicar
los recursos de la red interna de manera segura hacia Internet.
4.1.1 Reglas de publicacin Web
ISA Server usa las reglas de publicacin WEB para hacer disponibles los sitios
web a los usuarios en Internet. Una regla de publicacin Web es una regla del
firewall que especifica como ISA Server har el ruteo de las peticiones entrantes
hacia los servidores webs internos.
4.1.2 Funciones de las reglas de publicacin WEB
Se recomienda usar las reglas de publicacin web para brindar:
Acceso los servidores WEB que ejecuten el protocolo HTTP:

Cuando se configura una regla de publicacin web, es recomendable
configurar ISA Server para escuchar las peticiones http desde Internet y
reenviar estas peticiones al servidor web en la red protegida. Para Publicar
servidores que usen algn otro protocolo, necesita usar la regla de publicacin
del servidor.
Filtrado de la capa Aplicacin

El filtrado de la capa aplicacin permite a ISA Server inspeccionar la data de
aplicacin en cada paquete que pase a travs de ISA Server. Esto incluye el
filtrado de los paquetes SSL si se habilita el puente SSL. Esto brinda una capa
adicional de seguridad no brindaba por las reglas de publicacin de servidor.
Mapeo de ruta
El mapeo de ruta permite esconder detalles de la configuracin interna del sitio
web por medio de la redireccin de peticiones externas para partes de sitios
web a ubicaciones alternas dentro del sitio web interno. Esto significa que se
puede limitar el acceso hacia reas especficas dentro de sus sitios web.
Autenticacin de usuarios
Se puede configurar ISA Server para que se solicite a los usuarios externos se
autentiquen antes que las peticiones se hayan reenviado al servidor web. Esto
protege los servidores webs internos de ataques de autenticacin. Las reglas
de publicacin web soportan varios mtodos de autenticacin incluyendo
RADIUS, basic, digest, certificados digitales, y RSA SecureID.
Cach de contenido:
El contenido de los servidores web internos puede ser almacenado en la cach
de ISA Server, esto mejora el tiempo de respuesta hacia los clientes de
Internet mientras disminuye la carga en los servidores web internos.
CIBERTEC
79
Soporte para publicacin mltiple de sitios web usando una sola

direccin IP:
Se pueden configurar mltiples reglas de publicacin web que puedan hacer
disponibles mltiples sitios web internos a los clientes de Internet.
Traduccin de enlace:
Con la traduccin de enlace, se pueden brindar acceso hacia pginas web
complejas que incluyan referencias hacia otros servidores web internos que no
son accesibles, directamente, desde Internet. Sin la traduccin de enlace,
algn enlace hacia un servidor que no es accesible desde Internet aparecera
como un enlace roto.
Soporte para registro de las direcciones IPs de los clientes en Internet:

Por defecto, cuando se publica un servidor usando la publicacin web, la
direccin IP fuente que es recibida por el servidor web interno es la direccin
IP de la interface de red interna de ISA Server. Si se necesita habilitar el
registro de los accesos basado en la direccin IP de las computadoras clientes
en Internet, se puede modificar la configuracin por defecto.
4.1.3 Funciones que las reglas que publicacin web seguras

Las reglas de publicacin web seguras son un tipo especial de reglas de
publicacin que incrementan la seguridad de los sitios web por medio de la
encriptacin del trfico de red usando SSL. El servidor soporta el tnel y
puente SSL.
Tunel SSL:
Con el tnel SSL, ISA Server reenva los paquetes encriptados entre el
cliente y el servidor web. En este escenario, ISA Server no puede
inspeccionar el contenido de los paquetes.
Puente SSL:
Con el puente SSL, ISA Server puede encriptar y desencriptar todo el
trfico de red entre el servidor y el cliente. En este escenario, ISA Server
puede aceptar las peticiones SSL desde los clientes, y puede luego
convertir estas peticiones a HTTP y reenviarlas hacia el servidor WEB
publicado. ISA Server puede, tambin ser configurado para re-encriptar el
trfico enviado hacia el servidor web publicado para brindar seguridad
adicional. En un escenario del puente SSL, ISA Server de inspeccionar los
paquetes http mientras ellos no estn encriptados.
4.1.4 Reglas de publicacin del servidor

Las reglas de publicacin del servidor difieren de las reglas de publicacin WEB
debido a que en estas no se usa el filtrado Proxy web. Una regla de publicacin de
servidor para un protocolo particular slo reenva la peticin del cliente hacia el
servidor publicado. Con una regla de publicacin de servidor, ISA Server mapea
un socket en la interfase externa hacia el socket del servidor interno. Esto significa
que si se tiene un servidor FTP interno que se quiera hacer disponible desde
Internet, se crea una regla de publicacin de servidor que mapea las peticiones
TCP del puerto 21 en la interface externa de ISA Server hacia la direccin IP
interna del servidor FTP.
CIBERTEC
80
Resumen
ISA Server 2006 usa reglas de publicacin WEB y para publicar los recursos
internos de la red hacia Internet sin comprometer la seguridad interna de la
red.
Se recomienda usar las reglas de publicacin web para brindar:

Acceso los servidores WEB que ejecuten el protocolo HTTP

Filtrado de la capa Aplicacin
Mapeo de ruta
Autenticacin de usuarios
Cach de contenido
Soporte para publicacin mltiple de sitios web usando una sola direccin
IP
Traduccin de Enlace.
Soporte para registro de las direcciones IPs de los clientes en Internet
CIBERTEC
81
UNIDAD DE
APRENDIZAJE
4
TEMA
10
PUBLICACIN DE SERVICIOS
Listar las opciones de la configuracin publicacin servidor.

Describir cmo trabaja la publicacin servidor.
Configurar una nueva regla de publicacin servidor.
TEMARIO
Configurar la publicacin WEB

Configurar el mapeo de ruta
Configuracin del escuchador web
Configurar la publicacin servidor
Identifican las tcnicas que permiten publicar los servicios hacia Internet
de manera segura.
CIBERTEC
82
Las reglas de Publicacin de servidor difieren de las reglas de publicacin web en

que las reglas de publicacin de servidor el envo de todas las peticiones usan el
nmero de puerto apropiado hacia el servidor publicado. Con una regla de
publicacin web, se puede publicar slo un directorio virtual en el servidor web.
Cuando se configura una regla de publicacin de servidor para reenviar un
protocolo especfico, todas las peticiones usan este protocolo que ser reenviado
hacia el servidor publicado.
Cuando se usa una regla de publicacin de servidor para publicar un servidor, la
peticin del cliente est siempre nateada por la computadora que ejecuta ISA
Server, an la relacin de confianza de ruteo este definida entre la red origen y
destino.
4.2.1 Configurar la publicacin web
La publicacin web es una manera segura y flexible para publicar el contenido de
los servidores web internos hacia Internet. A continuacin, veremos como
configurar la publicacin web.
Componentes de configuracin de las reglas de publicacin web
Las reglas de publicacin web mapean la peticiones entrantes haca los servidores
web apropiados localizados en la red interna o perimtrica. Las reglas de
publicacin web determinan cmo ISA Server responder en relacin al servidor
web. Las peticiones son reenviadas hacia el servidor web localizado en la red
interna o perimtrica. Si el caching est habilitado en ISA Server, las peticiones
son respondidas desde la cach ISA Server.
Cuando configure las reglas de publicacin web, necesitar configurar los
componentes listados en la siguiente tabla:
Opcin de configuracin
Explicacin
Accin
Define si la regla de publicacin web

permitir o denegar el acceso.
Define el nombre o la direccin IP del
servidor web que est publicado por
esta regla.
Define qu usuarios pueden acceder al
sitio web.
Define los objetos de red que pueden
acceder al servidor web publicado. Los
objetos de red especificados tambin
tienen que ser incluidos en el
escuchador WEB especificado por esta
regla de publicacin WEB.
Define el URL o la direccin IP que est
siendo accesible por esta regla. Se
puede configurar ISA Server
para
permitir el acceso basado en un URL
especfico o permitir el acceso a todos
los URLs. Si especfica un URL, ISA
Server
responder,
nicamente,
peticiones usando este URL. Si se
Nombre (o direccin IP)
Usuarios
Trfico origen
Nombre publicado
CIBERTEC
83
permite el acceso a todos los URLs, ISA

Server responder todas las peticiones
usando el protocolo apropiado.
Escuchador web
Mapeo de la ruta
Puente
Traduccin de enlace
Define la interface de red y la direccin

IP en la computadora que ejecuta ISA
Server que escucha las peticiones de
los clientes.
Describe cmo ISA Server notificar la
ruta externa especificada en la peticin
y la mapear a la correspondiente ruta
interna.
Define como las peticiones http son
reenviadas al servidor publicado. Se
pueden configurar las peticiones para
que sean redireccionadas usando
HTTP, SSL, o FTP.
Define como ISA Server actualiza las
pginas web que incluyen referencias a
los nombres de servidores internos
4.2.2. Configurar el mapeo de ruta:

El mapeo de ruta es una caracterstica de ISA Server, el cual permite a ISA Server
redireccionar las peticiones de los usuarios a mltiples servidores web internos, o
tambin a mltiples publicaciones en el mismo servidor web. El mapeo de la ruta
es usado por las reglas de publicacin web y las reglas de publicacin web
segura.Un daemon de ruta es usado en ISA Server para esconder la complejidad
de la configuracin del servidor web interno desde Internet.
En una organizacin con mltiples servidores web o con sitios web complejos, la
informacin solicitada por el cliente puede estar localizada en diferentes sitios. Es
ms conforme el usuario navega por la pgina es posible que este leyendo
informacin desde distintos servidores ubicados en el site. Sin embargo, est
complejidad necesita ser ocultada para los usuarios, por razones utilitarias y de
seguridad. Para cumplir con esta de manera sencilla, ISA Server necesita estar
capacitado de reenviar las peticiones basadas en los nombres y las rutas
incluidas en las solicitudes del cliente.
Cuando un usuario se conecta a un sitio Web protegido por ISA Server, el usuario
escribe un URL especfico. Antes de reenviar una peticin hacia un servidor web
publicado, ISA Server verifica el URL especificado en la peticin. Si el mapeo de la
ruta est configurado, ISA Server reemplazar la ruta especificada en la peticin
por el nombre de la ruta correspondiente.
Por ejemplo, una organizacin puede tener mltiples servidores web en la red de
la corporacin pero un solo nombre de dominio que es usado para brindar acceso
a Internet. Para que los usuarios de Internet, accedan a estos servidores, los
operadores del sitio web requieren usar diferentes rutas y el mismo nombre de
dominio completo (FQDN). Se puede hacer esto con ISA Server 2006 por medio
del redireccionamiento de las peticiones entrantes a diferentes servidores en la red
de la corporacin basado en las rutas declaradas.
CIBERTEC
84
Para configurar el mapeo de la ruta, use el siguiente procedimiento:

2. En el panel de detalles, clic en la regla de publicacin Web.
3. En la pestaa Task, clic en Edit Selected Rule.
4. En la pestaa Path, clic en Add.
5. En la ventana Path Mapping, escriba la ruta del Servidor Web. Esta ruta
es la ruta interna actual hacia donde ISA Server enviara la peticin.
6. Debajo External Path, Seleccione una de las siguientes:
a. Same as publisher flder. Si la ruta especificada es la peticin del
usuario es idntica a la ruta del Servidor Web publicado.
b. The following flder. Si la ruta especfica en la peticin del usuario
necesita ser mapeada a un directorio virtual con un diferente
nombre en el servidor web. De ruta para que las ediciones era el
servidor web publicado sean mapeadas. Cuando especifica la ruta
interna hacia donde la peticin ser mapeada, usa este formato:
/path/*.
7. Clic en Ok para cerrar la ventana de propiedades de la regla de publicacin
web.
4.2.3 Configuracin de un escuchador web (Web listener)
Los escuchadores web (Web listener) son usados por las reglas de publicacin
web y web seguras. Un escuchador web es un objeto que define como ISA
Server escuchar las peticiones HTTP y SSL. El escuchador web define la
direccin IP y el nmero de puerto en donde ISA Server escuchar las
conexiones de los clientes.
11.4.1 Opciones de configuracin del escuchador web
A menos que configure un escuchador web para las peticiones entrantes, de
ISA Server descarta todas las peticiones web entrantes antes de aplicar las
reglas de publicacin servidor web. Si la computadora que ejecuta ISA Server
tiene mltiples tarjetas de red o direcciones IP, se puede configurar la misma
estructura de escuchador para todas las direcciones IP, o se puede modificar
la configuracin del escuchador de manera separada para diferentes
direcciones IP.
Un escuchador web puede ser usado en mltiples reglas de publicacin web.
Para configurar un escuchador web, se debern configurar las siguientes
opciones:
La red:
Esta opcin especifca la red en la que ISA Server escuchar las
peticiones web entrantes. La red que seleccione depender de donde
vengan las peticiones web. Por ejemplo, si el sitio web publicado
permite peticiones de cliente desde la red externa (Internet), luego la
red externa deber ser seleccionada para el escuchador web. Luego de
seleccionar la red, tambin se puede especificar si es que el
escuchador web escuchar las peticiones en todas las direcciones IP
CIBERTEC
85
de ISA Server que

direcciones IP.
forman parte de esa red
o especificar ciertas
Nmero de puerto:
Es el nmero de puerto que usar el servidor WEB para escuchar las
peticiones WEB. Por defecto ISA Server escucha en el puerto 80 por
las peticiones HTTP, pero esta configuracin puede ser modificada.
Tambin, se puede habilitar el escuchador web para atender las
peticiones SSL (el puerto por defecto es 443). Si escoge SSL, el
certificado apropiado debera estar instalado en la computadora que
ejecuta ISA Server entonces la computadora que ejecuta ISA Server
puede autentificar y validar al cliente.
Mtodos de autentificacin del cliente:
Si selecciona la opcin para requerir autentificacin, todos los usuarios

tienen que autentificarse usando uno de los mtodos de autentificacin
especificado en las peticiones web entrantes. La autentificacin que
configure para ISA Server es adicional a cualquier autentificacin que el
servidor web requiera. La autenticacin de ISA Server determina si una
peticin es pasada al servidor web. Los mtodos de verificacin que
configure para un servidor web determinan si hubo usuarios que tienen
permisos para acceder al contenido del servidor web.
Configuraciones de la conexin cliente. Esta opcin especifica el

nmero de conexiones cliente concurrentes para el escuchador web.
Para configurar el mapeo de la ruta, use el siguiente procedimiento:

SERVER luego expande el nodo Firewall Policy.
2. En la pestaa cuadro de herramientas, expanda Network Objects y luego
expanda Web Listeners
3. Doble clic en el objeto Web Listener. La siguiente tabla resume las opciones
de configuracin:
Escoge
esta
configuracin
opcin
Pestaas redes
Seleccione el escuchador IP
Pestaas preferencia
Autentificacin
Configuraciones avanzada
CIBERTEC
de Para realizar esta accin
Configura las redes en las cuales el

escuchador
web
atender
las
peticiones.
Configura la direccin o direcciones IP
de la red seleccionada en donde el
escuchador
web
atender
las
peticiones.
Configura los nmeros del puerto HTTP
y SSL.
Configura
las
opciones
de
autentificacin
Configura las conexiones concurrentes
de los clientes.
86
Pestaas RSA SecureID
Configura
las
opciones
autentificacin RSA SecureID.
de
Configuracin de una nueva regla de publicacin web

Los siguientes pasos brindan una descripcin completa del proceso necesario
para crear una regla de publicacin Web.
1. En el rbol de la consola de ISA Server Management, expandir el nodo

SERVER, luego expande el nodo Firewall Policy, y luego clic en Publish
a Web Server para iniciar The New Publishing Rule Wizard.
2. Configure la accin de la regla.
3. Configure las opciones listadas en la siguiente tabla para definir como el
sitio Web ser publicado.
Opciones de configuracin
Explicacin
Nombre de computadora o direccin IP
Especifica el nombre de la computadora

del servidor web o la direccin IP para el
servidor que almacenan el sitio web que
se quiere publicar.
Reenviar el encabezado original del Especifica que ISA Server reenviar la
host en vez del actual
cabecera que es recibida desde el
cliente.
Por defecto, ISA Server sustituye la
cabecera del host que est usando
para referirse al servidor web interno, en
lugar de enviar la cabecera original ISA
Server ha recibido. Esto significa que la
peticin de un cliente incluye la
cabecera
www.nwtrader.msft
es
reemplazado por el nombre del servidor
web.nwtraders.msft tal y como se ha
especificado en la regla de publicacin
web.
Directorio
Especifica el directorio del sitio WEB
que se quiere publicar, por ejemplo
Sales. Si se deja el campo en blanco, se
estar publicando el sitio WEB
completo.
4. Configure el nombre pblico, donde se define que peticiones sern

recibidas por ISA Server y reenviadas al Servidor Web.
Se tienen 2 opciones:
Algn nombre de dominio:

Esta opcin indica que cualquier peticin que sea resuelta a la
direccin IP del escuchador web ser reenviada al sitio web.
Este nombre de dominio:

Esta opcin significa que ISA Server reenviar, nicamente, las
peticiones para un URL especificado; para configurar esto, escriba
el nombre de dominio especificado en el nombre pblico. Tambin,
CIBERTEC
87
se puede especificar una carpeta que tambin requiera publicarse.

Por ejemplo si configura www.nwtrader.msft como el nombre pblico
y sales como el directorio, luego las peticiones nicas para
www.nwtrader.msft/sales sern reenviadas por esta regla.
5. Seleccione un escuchador web existente o cree un nuevo escuchador web.

6. Configure el usuario que tendr acceso al servidor.
7. Configure el asistente para la nueva regla de publicacin web y aplique los
cambios realizados.
4.2.4 Configure una nueva regla de publicacin web
1. En la pestaa Tasks, clic en Publishing a Web Server.
2. En la ventana Welcome to the New Web Publishing Rule Wizard, en el
campo Web publishing rule name, escriba Nwtraders Web Site y clic
Next.
3. En la pgina Select Rule Action, asegrese que Allow este seleccionado
por defecto. Clic en Next.
4. En la pgina Select Web Site to Publish, en el recuadro Computer name
or address IP, escriba www.nwtraders.msft. Acepta la configuracin por
defecto para las otras opciones y clic en Next.
5. En la pgina Public Name Details, en Accept request for la lista, clic This
domain
name
(type
below).
En
Public
Name,
escriba
www.nwtraders.msft y luego clic en Next.
6. En la pgina Select Web Listener, clic http Listener en la lista Web
listener. Clic en Next.
7. En la pgina User Sets, accept the default. Clic Next.
8. En la pgina Completing the Web Publishing Rule Wizard. Revise las
opciones de configuracin y clic Finish.
9. Clic en Apply para aplicar los cambios y luego, clic en Ok cuando los
cambios hayan sido aplicados.
Testee el acceso de Internet al Web Site www.nwtraders.msft.com
1. En la maquina virtual CLIENTE, inicie sesin con el nombre de usuario
Administrador y la contrasea P@ssw0rd.
2. Abre Internet Explorer y escriba en la barra de direccin
www.nwtraders.msft. La conexin debe ser exitosa. Cierre Internet
Explorer.
Configure la publicacin servidor
La publicacin servidor es una manera segura y flexible para publicar el

contenido o brindar los servicios de los servidores internos hacia Internet.
Opciones de la configuracin de publicacin servidor
Las reglas de publicacin web son usadas en ISA Server para permitir el
acceso hacia el contenido HTTP y HTTPS en los servidores web internos. Las
reglas de publicacin de servidor son usadas para permitir el acceso hacia el
contenido interno usando otros protocolos. Antes de crear una regla de
publicacin de servidor para un protocolo en particular, se tienen que crear
una definicin de protocolo para el protocolo en mencin. ISA Server viene
configurado con un cierto nmero de definiciones del protocolo para protocolos
de uso comn que pueden ser usados en las reglas de publicacin servidor.
Tambin, puede crear protocolos adicionales.
CIBERTEC
88
Cuando configure la de publicacin servidor, necesitar configurar los

siguientes componentes listados en esta tabla:
Opcin de configuracin
Explicacin
Accin
Permite en que una regla de publicacin

servidor se configure para permitir que
el trfico de red coincida con la regla de
publicacin.
Define el protocolo que esta permitido
por esta regla de publicacin de
servidor. Una regla de publicacin de
servidor puede habilitar, nicamente, un
protocolo. Para permitir ms protocolos,
se tienen que configurar mltiples reglas
de publicacin de servidor
Define los objetos de red que pueden
acceder al servidor publicado. Puede
limitar el acceso hacia el servidor
publicado basado en los objetos de red,
sistema de red, computadoras, sistema
computadora, rango de direccin en
subnets.
Define la direccin IP del servidor
publicado. Tambin puedes configurar
si la peticin del cliente viene registrada
desde la computadora cliente o desde
ISA Server En una regla de publicacin
servidor, por defecto, la peticin del
cliente aparece en registrada desde el
cliente original.
Destina la red en donde ISA Server
escuchar las peticiones. Tambin,
puedes configurar ISA Server para que
escuche las peticiones en todas las
direcciones IP especificadas, o solo en
una direccin IP.
Decline en cuando la regla de
publicacin servidor estar activa.
Trfico
Trfico origen
Trfico destino
Redes
Horario
Descripcin de las opciones de puerto

Cuando se crea una regla de publicacin de servidor, ISA Server escuchara las
peticiones de los clientes en el puerto por defecto para ese protocolo. Sin
embargo, se puede modificar el puerto usado por ISA Server. Se puede configurar
ISA Server para publicar otro puerto diferente al puerto por defecto. Por ejemplo,
puede configurar la regla de publicacin servidor para el servicio FTP y atender las
peticiones en el puerto 2211 a diferencia del puerto por defecto 21. Tambin se
puede especificar que ISA Server redireccione la peticin del cliente a un nmero
de puerto alternativo en el servidor interno. Se puede configurar ISA Server para
enviar todas las peticiones FTP hacia el puerto 2121 en el servidor interno
(asumiendo el servidor FTP interno ha sido modificado para brindar el servicio FTP
en ese puerto). En ambos casos, ISA Server recibe la peticin del cliente para el
servicio publicado en el puerto especificado por el Firewall, y luego reenva a las
peticiones al puerto designado por la regla de publicacin servidor.
CIBERTEC
89
Cmo trabaja la publicacin de servidor?

Una regla de publicacin servidor para un protocolo particular es, esencialmente,
un mapeo NAT reverso. Con una regla de publicacin servidor, ISA Server mapea
un nmero de puerto en la interface externa hacia una direccin IP interna.
Cuando ISA Server recibe una peticin en la direccin IP externa para un puerto
especfico, este enva la peticin al servidor interno y al nmero de puerto
especificado.
ISA Server realiza los siguientes pasos durante la publicacin servidor:
Una computadora cliente en Internet solicita un objeto desde la direccin IP que es
conocida para brindar este servicio. Por ejemplo, la organizacin quiere configurar
un servidor multimedia para que est disponible hacia los clientes de Internet, la
organizacin necesitara brindar la informacin correcta de este servidor para que
se encuentre disponible en los servidores DNS de Internet. La direccin IP
brindada hacia los clientes es la direccin IP de la interface de red externa de ISA
Server. La peticin del cliente es enviada a esa direccin IP.
1. ISA Server, procesa la peticin y verifica el nmero de puerto destino y luego
usando la regla de publicacin servidor mapea la direccin IP hacia la direccin
IP interna del servidor interno. La peticin es enviada hacia el servidor interno.
2. El servidor interno retorna el objeto hacia ISA Server, y este enva la peticin al
cliente.
Cmo configurar una regla de publicacin servidor?
Los pasos para configurar una regla de publicacin son las siguientes:
1. Configure el servidor interno que quiera publicar. El servidor tiene que estar
configurado como un cliente SecureNAT y tiene que tener instalado y
configurado el servicio que va a brindar.
2. ISA Server, ejecute el asistente New Server Publishing Rule. Cuando ejecute
el Wizard, se puede configurar que puerto usar ISA server. Para hacer esto,
en la pgina Select Protocol clic en Ports. Las opciones de configuracin del
puerto estn listadas en la siguiente tabla.
Categora
Opcin
configuracin
de Use esta opcin para:
Puertos del Firewall
Publique usando el puerto Configure ISA Server

por defecto definido en la para
escuchar
las
definicin de protocolo
conexiones en el puerto
del protocolo por defecto
Puertos del Firewall
Publicar en este puerto en Configure el ISA Server
lugar del puerto por para
escuchar
las
defecto
conexiones en un puerto
alternativo
Puertos
del
servidor Enve las peticiones hacia Configure ISA Server
publicados
el puerto por defecto en el para enviar las peticiones
servidor publicado
hacia el puerto del
protocolo por defecto en
el servidor publicado
Puertos
del
servidor Enva las peticiones hacia Configure ISA Server
publicados
este puerto en el servidor para
la
enva
las
publicado
peticiones
hacia
un
CIBERTEC
90
puerto alternativo en el
servidor publicado
Puertos origen
Puertos origen
Permite el trfico desde Configure ISA Server

cualquier puerto origen
para
hacer
la
las
conexiones en cualquier
puerto
Limitar el acceso desde Configure ISA Server
un rango de puertos
para aceptar conexiones
desde un rango de
puertos limitados.
Configure la publicacin del servidor

En esta prctica, se configurar una nueva regla de publicacin servidor para
publicar el sitio ftp.nwtraders.msft hacia Internet.
Luego, se verificar la regla de publicacin servidor.
Configure una nueva regla de publicacin servidor
1. En el rbol de la consola de ISA Server Management, expanda el host
SERVER, luego expanda el nodo Firewall Policy.
2. En la pestaa Tasks, clic en Create New Server Publish Rule para iniciar
el asistente de la regla de publicacin servidor.
3. En la ventana Welcome to the New Server Publishing Rule Wizard.
CIBERTEC
91
Resumen
La publicacin web es una manera segura y flexible para publicar el contenido
de los servidores web internos hacia internet.
Las reglas de publicacin web mapean las peticiones entrantes hacia los
servidores web apropiados localizados en la red interna o perimtrica.
A menos que configure un escuchador web para las peticiones entrantes, ISA
Server descarta todas las peticiones web entrantes antes de aplicar las reglas
de publicacin servidor web.
Si selecciona la opcin para requerir autentificacin, todos los usuarios tienen
que autentificarse usando uno de los mtodos de autentificacin especificado
en las peticiones web entrantes.
Una regla de publicacin servidor para un protocolo particular es,
esencialmente, un mapeo NAT reverso.
CIBERTEC
92
CIBERTEC
93
UNIDAD DE
APRENDIZAJE
4
TEMA
11
CONFIGURANDO ACCESO A VPN

Saber configurar las conexiones VPN para brindar acceso seguro a equipos o
redes remotas.
TEMARIO
Red Privada Virtual (VPN)

Configurar VPN para clientes remotos.
Configurar VPN para sitios remotos.
Configurar VPN Cuarentena.
Aprenden a configurar redes virtuales con ISA Server.
CIBERTEC
94
4.3.1 Red Privada Virtual (VPN).

Una red privada virtual (VPN, Virtual Prvate Network) es la extensin de una
red privada utilizando redes pblicas como Internet.
Las conexiones VPN permiten que los usuarios que trabajan en casa o que
estn de viaje puedan obtener conexin de acceso remoto a los servidores de
una organizacin, mediante la infraestructura que proporciona una red pblica
como Internet. Desde la perspectiva del usuario, la red privada virtual es una
conexin punto a punto entre el equipo, el cliente de VPN y el servidor VPN.
Las conexiones VPN, tambin, permiten que las organizaciones dispongan de
conexiones enrutadas con otras organizaciones a travs de una red pblica
como Internet, a la vez que mantienen una comunicacin segura; como por
ejemplo para las oficinas que estn geogrficamente separadas.
ISA Server, permite configurar una VPN segura, a la que pueden tener acceso
clientes y sitios remotos, segn sus especificaciones. Mediante ISA Server
como servidor VPN, se beneficia de la proteccin de la red corporativa contra
conexiones VPN malintencionadas. Puesto que ISA Server como servidor VPN
est integrado en la funcionalidad de Firewall y, sus usuarios estn sujetos a
las politicas de ISA Server. Adems, mediante el uso de ISA Server como
servidor VPN, puede administrar las conexiones VPN de sitio a sitio y el acceso
de clientes de VPN a la red corporativa.
ISA Server, admite dos tipos de conexiones VPN:
Conexin VPN de acceso remoto. ISA Server, permite conectar
equipos remotos a la sede central, disponiendo del acceso a Internet. ISA
Server permite el acceso de cliente VPN usando ya sea el Protocolo de tnel
de capa dos L2TP sobre el Protocolo de Seguridad IPSec o el protocolo Pointa-Point Tunneling PPTP. Lo recomendable es utilizar L2TP sobre IPSec, ya
que se utiliza la autenticacin de certificados para la conexin remota.
Conexiones VPN de sitio a sitio. ISA Server, permite conectar redes
u oficinas remotas con sus sedes centrales, disponiendo del acceso a Internet
con las mximas garantas de seguridad desde esas oficinas y aprovechar al
mximo el ancho de banda disponible, haciendo un uso eficiente del mismo.
Con ISA Server, cada tipo de conexin VPN se configura de forma ligeramente
diferente. En una configuracin de red de sitio a sitio, se debe otorgar acceso a
una red completa de usuarios remotos, es decir, se configura una red de
usuarios de VPN.
Existen tres protocolos VPN para las conexiones de sitio a sitio.
Protocolo de tnel punto a punto (PPTP).
Protocolo de tnel de capa dos (L2TP) a travs de seguridad del
protocolo Internet (IP Sec)
Modo de tnel de seguridad del protocolo Internet (IPSec)
CIBERTEC
95
4.3.2 Configurar VPN para clientes remotos.

Por defecto el servicio VPN server se encuentra deshabilitado. El primer paso
es habilitar el servicio VPN server y luego configurar los componentes de VPN
Server.
Realice los siguientes pasos para habilitar y configurar ISA Server 2006 VPN
Server:
management console, expanda el nombre del servidor, luego haga clic
en Virtual Private Networks (VPN).
2. Ubiquese en el panel de Tareas, pestaa Tasks, haga en Enable
VPN Client Access.
3. Luego haga clic en el botn Apply para salvar los cambios y
actualizar las polticas del firewall.
4. En Apply New Configuration clic en el botn OK.
5. En VPN Clients Tasks, haga clic en la opcin Configure VPN Client
Access.
6. En VPN Clients Properties en la pestaa General, verifique que la
opcin Enable VPN client access se encuentre habilitado. Cambie el
valor Maximum number of VPN clients allowed de 5 a 10.
7. Luego haga clic en la pestaa Groups, clic en el botn Add.
8. En Select Group, clic en el botn Locations, seleccione el Dominio
de su red interna, seguidamente clic en el botn OK.
9. En Select Group digite Domain Users en el recuadro Enter the
object names to select, luego clic en boton Check names,
seguidamente clic en el boton OK.
10. Haga clic en la pestaa Protocols y active la opcin Enable
L2TP/IPsec.
11. En la pestaa User Mapping no se habilita ninguna opcin, haga
clic en el botn OK.
12. En VPN Clients Tasks,, clic en Select Access Networks.
13. En Virtual Private Networks (VPN) Properties, en la pestaa
Access Networks, verificar que la opcin External este habilitada.
14. Haga clic en la pestaa Address Assignment, seleccione la opcin
Stactic address pool, luego haga clic en el botn Add, digite un rango
CIBERTEC
96
de 10 direcciones IP que pertenezcan al segmento que tiene definido en

su red interna. Estas IPs no deben ser utilizadas en su red interna, ni
tampoco deben estar definidos dentro del rango de IPs que se solicita al
momento de instalar ISA Server.
15. Haga clic en la pestaa Authentication, verifique que este habilitado
la opcin Mocrosoft encrypted authentication versin 2 (MSCHAPv2).
16. En la pestaa RADIUS no se habilitara ninguna opcin.
17. Clic en el botn Apply y luego haga clic en el botn OK.
18. Haga clic en el botn Apply para salvar los cambios y actualizar las
polticas en el ISA Server.
17. Finalmente, haga clic en el botn OK en el mensaje Apply New
Configuration.
20. Reinicie ISA Server 2006.
Realizar los siguientes pasos para crear una Regla de acceso que permita a los
clientes VPN el acceso a la red interna.
1. En Microsoft Internet Security and Acceleration Server
management console, haga clic en Firewall Policy. En Firewall
Policy Tasks, haga clic en la opcin Create New Access Rule.
2. En Welcome to the New Access Rule Wizard digite el nombre de la
regla de acceso VPN Client to Internal, luego haga clic en el botn
Next.
3. En la interfaz grfica Rule Action, seleccione la opcin Allow y luego,
haga clic en Next.
4. En la interfaz grfica Protocols, recuadro This rule applies to:
seleccione la opcin All outbound traffic, luego haga clic en el botn
Next.
5. En la interfaz grfica Access Rule Sources, clic en el botn Add, se
visualiza la interfaz Add Network Entities, expanda Networks y haga
doble clic en VPN Clients, luego clic en el botn Close.
6. En Access Rule Sources, haga clic en el botn Next.
7. En la interfaz grfica Access Rule Destinations, clic en el botn
Add, se visualizara la interfa Add Network Entities, expanda
Networks y haga doble clic en el objeto Internal, luego clic en el botn
Close.
8. En la interfaz grfica User Sets, acepte la configuracin por defecto,
All Users, haga clic en el botn Next.
CIBERTEC
97
9. Haga clic en el botn Finish en la interfaz grafica Completing the

New Access Rule Wizard.
10. Haga clic en el botn Apply para salvar lo cambios y actualizar las
polticas de ISA Server.
11. En la interfaz grfica Apply New Configuration haga clic en el
botn OK. Ahora la poltica para los Clientes VPN se visualizara en la
lista de polticas de acceso.
Para habilitar el acceso remoto a las cuentas de usuario que utilizaran el
servicio VPN, debe realizar los siguientes pasos en el Controlador de Dominio:
1. En Windows Server haga clic en el botn Start seleccione
Administartive Tools, luego haga clic en Active Directory Users and
Computers.
2. En la consola Active Directory Users and Computers, haga clic en
la unidad organizativa Users, haga doble clic en la cuenta de usuario
que tendr el acceso remoto habilitado.
3. En la interfaz grfica Cuenta de Usuario Properties, haga clic en la
pestaa Dial-in, luego en el recuadro Remote Access Permission
active la opcin Allow Access,
4. Finalmente, cierre el Active Directory Users and Computers.
Realice los siguientes pasos para configurar el Cliente VPN en un Windows
2003 Server.
1. En el escritorio de Windows, haga clic derecho sobre el icono My
Network Places y seguidamente haga clic en la opcin Properties.
2. Haga doble clic en el cono New Connection Wizard, se visualizara
el asistente New Connection Wizard, haga clic en el botn Next.
3. En Network Conecction Type, seleccione la opcin Connect to the
network at my workplace, clic en el boton Next.
4. En la siguiente pantalla seleccione la opcin Virtual Private
Network connection, luego haga clic en el botn Next.
5. Digite el nombre de la conexin VPN Client VPN.
6. El asistente, solicitara la direccin IP Publica del servidor VPN, luego
de digitar la direccin publica haga clic en el boton Next.
7. Seleccione la opcin Anyones use, luego, haga clic en el botn
Next.
8. Finalmente, active la opcin Add shortcut to this connection to
my desktop y luego haga clic en el boton Finish
CIBERTEC
98
9. Se visualizara la interfaz grafica Connect Client VPN, digite la

cuenta de usuario que tiene habilitado el Remote Access
Permission, luego digite la contrasea correspondiente y haga clic
en el boton Connect.
10. El Cliente VPN establecer la conexin remota con el servidor VPN

de ISA Server,haga doble clic en el icono de conexin Client VPN,
se visualizara la ISA VPN Status, haga clic en la pestaa Details,
se mostrar datos de la configuracin realizada en el servidor VPN.
4.3.3 Configurar VPN para Sitios Remotos.
Para realizar la configuracin utilizaremos 2 sedes que poseen ISA Server
como servidor VPN.
Realice los siguientes pasos para agregar una red de sitio remoto.
management console, expanda el nombre del servidor, luego
haga clic en Virtual Private Networks (VPN).
2. En el panel derecho, haga clic la pestaa Remote Sites.
3. En el panel de Tareas, haga clic en la opcin Add Remote Site
Network.
4. Se visualizara el asistente New Site-to-Site Network, digite el
nombre de la red nueva Site Remote.
5. En la pantalla VPN Protocol, seleccione IP Security protocol
(IPSec) tunnel mode, haga clic en el boton Next.
6. En Connection Settings digite la direccin ip del Remote VPN
Gateway y la direccin IP del Local VPN Gateway .
7. En IPSec Authentication proporcione el pre-shared key for
authentication ClaveCompratidaVPNServer, luego clic en el
boton Next.
8. En Network Addresses, haga clic en el boton Add, digite el
rango de direcciones ip que utilizara el sitio remoto, haga clic en
el boton OK, luego clic en el boton Next.
9. Haga clic en el botn Finish.
10. Haga clic en el botn Apply para salvar lo cambios y actualizar
las polticas de ISA Server.
11. En la interfaz grafica Apply New Configuration haga clic en el
botn OK.
CIBERTEC
99
Realice los siguientes pasos para establecer propiedades generales de VPN.

management console, expanda el nombre del servidor, luego haga
clic en Virtual Private Networks (VPN).
2. En el panel de Tareas en General VPN Configuration haga clic en
Select Access Networks.
3. En Virtual Private Network (VPN) Properties, pestaa Access
Networks seleccione la VPN Remota que se creo en el
procedimiento anterior.
4. Haga clic en la pestaa Address Assignment, luego clic en el boton
Add y digite el rango de direcciones IP que utilizara el sitio remoto.
5. En la pestaa Authentication, active la opcin Allow custom IPSec
policy for L2TP connection y digite la clave compartida
ClaveCompratidaVPNServer, luego haga clic el boton Apply y
seguidamente clic en el boton OK.
Para configurar el servidor VPN remoto con ISA Server siga el mismo
procedimiento que se ha utilizado para configurar el primer site remoto.
4.3.4 Configurar VPN Cuarentena.
Los servicios de cuarentena de VPN garantizan que los equipos que se
conectan a la red mediante protocolos VPN, se sometan a comprobaciones
previas y posteriores a la conexin y queden aislados hasta que cumplan la
poltica de seguridad que se ha establecido.
ISA Server como servidor VPN, puede administrar las conexiones VPN de sitio
a sitio y el acceso de clientes de VPN a la red corporativa. ISA Server puede
poner en cuarentena a los clientes de VPN, gracias a la red de clientes de VPN
en cuarentena, esto hasta que se compruebe que cumplen los requisitos de
seguridad corporativos y puedan accesar a los recursos de la red interna. Por
ejemplo, las restricciones de la cuarentena pueden especificar que determinado
software antivirus se instale y se habilite mientras est conectado a la red.
Aunque el control de cuarentena no ofrece proteccin contra los intrusos, s
puede comprobar las configuraciones de los equipos de usuarios autorizados y,
en caso necesario, corregirlas antes de que puedan tener acceso a la red.
Tambin, est disponible una opcin de temporizador, que se puede usar para
especificar un intervalo con el fin de finalizar la conexin en caso de que el
cliente no cumpla los requisitos de configuracin.
CIBERTEC
100

management console, expanda el nombre del servidor, luego expanda
Configuration, luego clic en Networks.
4. En el panel derecho pestaa Networks, haga doble clic Quarantined
VPN Clients.
5. Se visualizara la interfaz grafica Quarantined VPN Clients Properties,
haga clic en la pestaa Quarantine y habilite la opcin Enable
Quarantine Control, se visualizara Microsoft Internet Security and
Acceleration Server 2006, haga clic en el boton OK.
6. Habilite la opcin Disconnect quarantined users after (seconds) y
digite 180.
7. Luego haga clic en el boton Add. En Select User Sets haga clic en el
boton New User Set.
8. Se visualizara el asistente New User Set Wizard, digite el nombre
Clients Quarantined VPN, luego haga clic en el botn Next .
9. Luego haga clic en el boton Add, seleccine la opcin Windows users
and groups, clic en el boton Locations seleccione el Dominio
correspondiente y luego haga clic en el boton OK.
10. Digite las cuentas de usuario existente en el dominio que utilizan los
servicios VPN de ISA Server.
11. Luego haga clic en el boton OK clic en el boton Next.
12. Finalmente, haga clic en boton Finish.
13. En Select User Sets, seleccione Clients Quarantined VPN y haga
clic en el botn OK, nuevamente clic en el boton OK.
15. En la interfaz grafica Apply New Configuration haga clic en el botn
OK.
CIBERTEC
101
Resumen
Una red privada virtual (VPN, Virtual Prvate Network) es la extensin de

una red privada utilizando redes pblicas como Internet.
ISA Server puede poner en cuarentena a los clientes de VPN, hasta que se
compruebe que cumplen los requisitos de seguridad corporativos y puedan
utilizar los recursos de la red interna.
CIBERTEC
102
CIBERTEC
103
UNIDAD DE
APRENDIZAJE
4
TEMA
12
IMPLEMENTACIN
SERVER
DEL
CACHING
DE
ISA

Implementacin del Caching de ISA Server.
.
TEMARIO
Configurar las propiedades generales de Cach.
Configurar Reglas de Cach.
Configurar trabajos de descarga de contenido.
Identifican y configuran los servicios de cache para el uso adecuado
del ancho de banda que permite la conexin a Internet.
CIBERTEC
104
ISA Server 2006 proporciona acceso seguro y controlado entre redes y sirve de
proxy de almacenamiento en cach de web ofreciendo capacidades de rpida
respuesta web y de descarga.
El almacenamiento en cach de los objetos ms usados proporciona a los
usuarios el contenido web ms actualizado, ISA Server determina,
automticamente, que sitios Web son los ms usados y con qu frecuencia se
debe actualizar su contenido en funcin del tiempo que lleva un objeto en la cach
y del momento en que se consult por ltima vez. ISA Server puede cargar de
antemano contenido Web en la cach durante perodos de poco uso de la red sin
necesidad de la intervencin del administrador de red.
Puede cargar de antemano la cach con un sitio Web completo segn una
programacin definida. Las descargas programadas aseguran que el contenido de
la cach es el ms actualizado para cada usuario al tiempo que permiten que el
contenido de los servidores Web sin conexin est disponible para los usuarios.
4.4.1 Configurar las propiedades generales de Cache.
expanda Configuration, seleccione Cache.
2. En el panel de Tasks, haga clic en la opcin Define Cache Drives
(enable caching).}
3.
Se visualizara la interfaz grafica Define Cache Drives, seleccione

la unidad de disco que contenga el mayor espacio posible y digite el
nmero 100 en Maximun cache size (MB), luego haga clic en el
botn Set y luego clic en el boton OK.
4.
Haga clic en el botn Apply para salvar lo cambios y actualizar las

polticas de ISA Server

botn OK.
6. En el panel Tasks, haga clic en la opcin Configure Cache
Settings
7. Se visualizara la interfaz grafica Cache Settings, haga clic en la
pestaa Active Caching y active la opcin Enable active caching,
verifique que la opcin Normally este seleccionada.
8. Luego haga clic en el botn OK.

botn OK.
CIBERTEC
105
4.4.2 Configurar Reglas de Cache.

2. En el panel Tasks haga clic en Create a Cache Rule.
3. Se visualizar el asistente para la creacin de una regla de cach,
digite Regla Cach
4. Luego, haga clic en el botn Add.
5. En Add Network Entities, expanda Networks y haga doble clic en
el objeto Internal.
6. Luego haga clic en el botn Next,.
7. En Content Retrieval verifique que la opcin Only if valid versin
of the object exists en the cache. If no valid versin exists,
route the request to the server. Luego, haga clic en el botn
Next.
8. En Cache Content verifique que la opcin If source and request
headers indicate to cache este seleccionada, luego haga clic en el
boton Next.
9. En Cache Advanced Configuration debe estar seleccionado
Cache SSL responses.
10. En HTTP Caching debe estar habilitado la opcin Enable HTTP
caching, haga clic en el boton NEXT.
11. En FTP Caching debe estar habiliatdo la opcin Enable FTP
Caching, clic en el boton Next, finalmente haga clic en el boton
Finish.
13. En la interfaz grfica Apply New Configuration haga clic en el

botn OK.
4.4.3 Configurar trabajos programados para la descarga de
contenido.
2. En panel derecho, haga clic en Content Download Jobs
3. En el panel Tasks, clic en la opcin Schedule a Content
Download Job.
4. Se visulizara el asistente New Content Download Job Wizard,
digite Tareas de descarga, clic en el boton Next.
5. En Download Frequency, seleccione la opcin Daily, clic en el
boton Next.
6. En Daily Frequency proporcione la fecha y hora en que se realizar
la descarga, clic en el boton Next.
7. En Content Download , digite la URL http://www.sunat.gob.pe
luego clic en el boton Next.
8. En Content Caching acepte las opciones seleccionadas por
defecto, clic en el boton Next y luego clic en el boton Finish.
CIBERTEC
106
Resumen
ISA Server 2006 proporciona acceso seguro y controlado entre redes y sirve
de proxy de almacenamiento en cache de web ofreciendo capacidades de
rpida respuesta web y de descarga.
CIBERTEC
107
UNIDAD DE
APRENDIZAJE
4
TEMA
13
MONITOREO DE ISA SERVER Y
COPIA DE SEGURIDAD
Monitorear el funcionamiento de ISA Server 2006

Importar y exportar la configuracin de ISA Server
Copias de seguridad y restauracin de la configuracin de ISA Server
TEMARIO
Monitoreo de ISA Server 2006.

Configurar Alertas en ISA Server.
Configurar Sesiones de Monitoreo
Configurar Reportes
Monitoreo de los servicios y Performance de ISA Server
Exportar e Importar la configuracin de ISA Server.
Exportar la configuracin del ISA Server.
Copia de seguridad y restaurar la configuracin de ISA Server.
Identifican y configuran los servicios de monitoreo en un ISA Server.
CIBERTEC
108
Despus de que ISA Server 2006 ha sido implementado, el administrador necesita

realizar el mantenimiento del mismo. En esta sesin se mostrarn las tareas que
un administrador tendr que realizar para hacer el mantenimiento de ISA Server
2006
4.4.1 Monitoreo de ISA Server
El monitoreo es una tarea diaria que permite brindar la seguridad y funcionalidad
de ISA Server La meta de este monitoreo diario es identificar problemas antes que
ellos comprometan a los usuarios. Adicionalmente, el monitoreo, tambin,
permitir identificar tendencias que puedan indicar problemas futuros.
Tareas diarias de monitoreo
Las tareas de monitoreo que deber realizar, diariamente, permitir saber que
evento ocurrido es normal o anormal. Estas tareas incluyen:
Monitoreo del Visor de Eventos:

Use el visor de eventos para obtener informacin acerca de los servicios
que fallan, aplicaciones con errores, y advertencias cuando los recursos del
sistema como memoria virtual o espacio disponible del disco duro se estn
saturando. Use el visor de eventos para identificar los problemas que
tienen que ser resueltos y que requieren una accin futura.
El tablero de ISA Server:

Use el tablero de ISA Server para obtener una interfase que te brinda una
visin completa del rendimiento y alertas de ISA Server. Use el tablero de
ISA Server para monitorear el servidor cada da.
Revise las alertas de ISA Server:

Estas alertas entregan informacin acerca de la condicin de los servicios y
los errores de ISA Server. Si tiene configurada la opcin de deteccin de
intrusos, la alerta, tambin, brindar informacin acerca de los ataques a
ISA Server.
Monitoreo de la conectividad de los servicios de red:

ISA Server entrega la opcin para configurar el monitoreo de conectividad
entre ISA Server y otros servidores. Configure ISA Server para monitorear
la conectividad hacia el Directorio Activo, Servidores DNS, Servidores
Webs Internos publicados por ISA Server.
Monitoreo del Rendimiento del Servidor:

Cuando instale ISA Server, se crear la consola de monitoreo y
rendimiento. Esta consola incluye contadores crticos ISA Server. Use esta
consola para monitorear el rendimiento del servidor. El rendimiento de la
informacin puede ser vista en reportes o en registros de varios formatos.
CIBERTEC
109
4.4.3 Configurar sesiones de monitoreo.

Laboratorio
En este laboratorio tendr que configurar una nueva alerta para el Servidor
Firewall en caso de que el Servicio Firewall no responda, se registrar la alerta y
se iniciar el Servicio de manera automtica.
Para realizar este laboratorio necesitar:
1. El Servidor SERVER_ISA_Aula
2. Iniciar sesin en el dominio nwtraders.msft con el nombre de usuario
administrador, y la contrasea P@ssw0rd.
Configure en ISA Server una alerta que permita iniciar el Servicio en caso
de que este deje de funcionar.
1. Abrir ISA Server Management, expanda SERVER, y luego clic en
Monitoring.
2. En la pestaa Alerts y luego, clic en Configure Alert Definitions.
3. En la ventana de Alert Definitions, clic en Add. En la ventana New
Alerts Configuration, Escriba el nombre de la alerta: Firewall No
Responde, luego clic en Next. En la ventana evento y condiciones
seleccione el evento Service Not Responding, y la condicin ISA
Server Firewall Service ,luego clic en Next.
4. En la ventana Category and Severity Asigne la categoria y nivel de
severidad. En Category seleccione Firewall Service, y en Severity
seleccione Error.
5. En la ventana Actions, especifique la accin para la alerta y seleccione
Start Select ISA Server Services, clic en Next.
6. En la ventana Starting Services seleccione Microsoft Firewall, y
luego, clic en Next.
7. En la ventana Completing the new Alert Configuration Wizard, clic
en finish.
4.4.4 Monitoreo de los servicios y performance de ISA Server.
En este laboratorio tendr que monitorear la conectividad con la estacin de
trabajo CLIENTE
Para realizar este laboratorio necesitar:
1. La maquina vitual SERVER_ISA_Aula y la maquina virtual CLIENTE
2. Iniciar sesin en el dominio nwtraders.msft con el nombre de usuario
administrador, y la contrasea P@ssw0rd.
Configure en ISA Server 2006 el verificador de conectividad para el
Servidor SERVER_DC.
1. Abrir ISA Server Management, expanda ISA_SERVER_Aula, y luego
clic en Monitoring.
2. En la pestaa Connectivity, clic en Create New Connectivity Verifier.
3. En la ventana New Connectivity Verifier Wizard, escriba el nombre
del verificador de conectividad Servidor DC Denver clic en Next.
4. En la ventana Connectivity Verification Details, escriba el nombre del
servidor que quiere monitorear. En Monitor Connectivity to this
CIBERTEC
110
server escriba denver, En la opcin Verification method seleccione

Send a Ping Request, clic en Next.
5. En la ventana Completing the Connectivity Verifier Wizard clic en
Finish.
4.4.6 Exportar e Importar la configuracin de ISA Server.
ISA Server, incluye caractersticas de exportacin e importacin que permiten
guardar y recuperar toda la configuracin del servidor. La configuracin puede ser
exportada y almacenada en archivos. .XML.
Principales ventajas de importar y exportar la configuracin del servidor:
Clonar un servidor:
Se puede exportar la configuracin de ISA Server desde una computadora
a otra computadora. Por ejemplo, despus de configurar un ISA Server en
la computadora de un departamento, se puedes exportar la configuracin a
un archivo .XML. Luego podemos importar esta configuracin a otra
computadora en otro departamento.
Guardar la configuracin parcial:

Se puede exportar una regla, una poltica completa, o una configuracin
entera. Esto es una gran ayuda, por ejemplo, cuando se quiere copiar
todas las reglas de la poltica de un firewall, pero no la configuracin de
monitoreo, a otra computadora con ISA Server
Enviar una configuracin para solucionar problemas:

Se puede exportar la configuracin a un archivo y enviarlo al departamento
de soporte para analizar y solucionar el problema.
Retorno a la configuracin antigua:

Como una mejor prctica, antes de modificar cualquier configuracin de
ISA Server, sera recomendable exportar los componentes especficos
que se estn modificando. Pues si la modificacin no es exitosa, entonces
se podr restaurar, fcilmente, a la configuracin previa importando la
poltica del archivo de respaldo.
4.4.7 Exportar la configuracin ISA Server

Es posible exportar la configuracin entera de ISA Server, o slo parte de este,
dependiendo de las necesidades especficas.
Los siguientes son los objetos que se pueden exportar:
La configuracin entera de ISA Server.

Todas las redes o una red seleccionada.
Todos los sistemas de redes o un no de los sistemas redes seleccionados.
Todas las reglas de la red o una red especfica.
Todas las reglas, o unas reglas de la red.
La configuracin de la cach.
Todos los trabajos seleccionados del contenido de descarga.
La poltica entera del firewall o una regla seleccionada.
Las reglas de la poltica del sistema no son exportadas cuando son
exportadas las polticas del firewall. (Para exportar la poltica del sistema,
utilizar la tarea exportar poltica del sistema.)
CIBERTEC
111
Cuando se exporta la configuracin entera, toda la informacin de la configuracin

general es exportada. Esto incluye reglas de acceso, reglas de publicacin,
elementos de la regla, configuracin de alerta, configuracin de la cach y las
propiedades de ISA Server. Adicionalmente, se puede exportar la configuracin de
los permisos del usuario y la informacin confidencial como son las contraseas
de los usuarios. La informacin confidencial est incluida en el archivo exportado
que a su vez est encriptado.
Algunos puntos a tener en cuenta:
Cundo es exportada la configuracin entera?
La configuracin del certificado, tambin, es exportado. Sin embargo, si se importa
la configuracin con un certificado diferente a una computadora con ISA Server
instalado, el servicio Firewall fallar al momento de iniciar y un mensaje de este
evento ser grabado.
Importar la configuracin de ISA Server:
Cuando se importa el archivo que ha sido, previamente exportado, todas las
propiedades y configuraciones definidas en este archivo sern importadas, sobreescribiendo la configuracin de ISA Server. Sin embargo, si se exporta,
nicamente, un componente especfico, como puede ser una regla especfica del
firewall, entonces en el archivo importado se sobrescribir est regla en
particular.
4.4.8 Copia de seguridad y restauracin de la configuracin de ISA Server

ISA Server, tambin, incluye caractersticas de copia de seguridad y restauracin
que nos permiten guardar y restaurar la informacin de la configuracin del
servidor. La copia de seguridad funciona tambin para almacenar la configuracin
en un archivo .xml.
Razones para usar la copia de seguridad y la restauracin
El uso primario de las funciones de copia de seguridad y restauracin de ISA
Server son para ser usados en caso de desastres. Se debe realizar una copia de
seguridad de la configuracin en la misma computadora que est ejecutando ISA
Server para qu se pueda restaurar en otra computadora con la misma
configuracin que tena la computadora que fall. La funcin de la copia de
seguridad es guardar la informacin de manera apropiada para entregar una
configuracin idntica que puede ser luego restaurada.
Copia de seguridad de la configuracin de ISA Server.
Al momento de realizar la copia de seguridad de la configuracin ISA Server, se
copia la informacin de la configuracin general. Esto incluye las reglas de la
poltica del Firewall, elementos de las reglas, configuracin de las alertas,
configuracin de la cach, y configuracin de la VPN. Una de las diferencias entre
realizar una copia de seguridad de la configuracin del servidor y exportar la
configuracin es que se puede realizar una copia de seguridad de la configuracin
entera de ISA Server, y no componentes individuales o componentes de grupos.
CIBERTEC
112
Restaurar la configuracin de ISA Server

El proceso de restaurar permite reconstruir la informacin de la configuracin que
fue copiada. Al restaurar una copia de seguridad, se puede reconstruir la
configuracin del ISA Server o restaurarlo despus de un error en la configuracin.
CIBERTEC
113
Resumen
Monitoreo del Visor de Eventos:
Use el visor de eventos para obtener informacin acerca de los servicios que
fallan, aplicaciones con errores, y advertencias cuando los recursos del
sistema.
Revise las alertas de ISA Server
Estas alertas entregan informacin acerca de la condicin de los servicios y los
errores de ISA Server.
Monitoreo de la conectividad de los servicios de red:
ISA Server, entrega la opcin para configurar el monitoreo de conectividad
entre el ISA Server y otros servidores.
Principales ventajas de importar y exportar la configuracin del servidor:
1. Clonar un servidor
2. Guardar la configuracin parcial
3. Enviar una configuracin para solucionar problemas
4. Retorno a la configuracin antigua
ISA Server, tambin, incluye caractersticas de copia de seguridad y
restauracin que nos permiten guardar y restaurar la informacin de la
configuracin del servidor.
CIBERTEC

Manual de Seguridad de Redes II PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual de Seguridad de Redes II PDF

Transféré par

Droits d'auteur :

Formats disponibles

Seguridad de

Unidad de aprendizaje 1 Introduccin e Instalacin de ISA Server 2006

: Introduccin a ISA Server 2006

: Instalacin de ISA Server 2006

: Instalacin y monitoreo de los Clientes ISA Server 2006

Unidad de aprendizaje 2 Arquitectura de ISA Server 2006

: Habilitar el acceso a los recursos de Internet

: Configuracin de elementos de una regla de acceso

Unidad de aprendizaje 3 Configurar ISA Server como un FIREWALL

: Configuracin de ISA Server como un Firewall

: Configuracin de ISA Server como un Firewall Parte II

Unidad de aprendizaje 4 Configurando el Acceso a los Recursos de la Red

: Configurar el acceso a recursos internos.

: Configurando acceso a VPN.

: Implementacin del Caching de ISA Server

: Monitoreo de ISA Server y Copia de Seguridad.

Seguridad de Redes II pertenece a la lnea formativa y se dicta en la carrera de

El presente manual ha sido diseado en funcin de unidades de

INTRODUCCIN A ISA SERVER 2006

Conocer las funcionalidades y caractersticas de ISA Server 2006

Escenarios para ISA Server 2006.

Requerimientos para la instalacin de ISA Server 2006.

Describen las funcionalidades y caractersticas de ISA Server 2006

1. ISA SERVER 2006.

1.2. Funcionalidades y Caractersticas.

ISA Server 2006

Dentro de las principales caractersticas de ISA Server 2006 tenemos:

Publicacin Segura de Aplicaciones.

1.3. Escenarios en ISA Server 2006.

Edge Firewall (Firewall Perimetral). En este escenario ISA Server, es

3-Leg Perimeter (Permetro de 3 Secciones). En este escenario, ISA

Front Firewall (Firewall Frontal). En este escenario ISA Server, es

Back Firewall (Firewall Posterior). En este escenario, ISA Server es

Single Network Adapter (Adaptador nico). En este escenario, ISA

1.4. Requerimientos para la instalacin de ISA Server 2006.

PC con procesador Pentium III a 733

Si desea saber ms acerca de estos temas, puede consultar las siguientes

Aqu hallar ms informacin sobre ISA Server 2006.

Saber instalar ISA Server 2006, as como la configuracin inicial requerida.

Requerimientos de Software y Hardware para la instalacin de ISA Server 2006.

Tipos de Instalacin y Componentes

Instalacin del Servidor ISA

Una computadora personal con 500Mhz o una Pentium III superior.

La siguiente tabla muestra una gua general donde se recomienda un hardware

Ancho de banda de Internet

Sobre los 1.5Mbytes por segundo

1.2.2 Tipos de Instalacin y componentes.

ISA Server; Este servicio controla el acceso y trfico entre las

ISA Server Management. Administrador; de ISA Server. La

Escoger la configuracin durante la instalacin

Configurar la red interna:

Una de las opciones que necesita configurar durante la instalacin es la direccin

Habilitar versiones inferiores del cliente Firewall

Servicios detenidos y deshabilitados

Internet Connection Firewall o Internet Connection Sharing

Adicionalmente, los siguientes servicios son detenidos durante la instalacin:

INSTALACION DE ISA Server 2006

Service Pack 1 de Microsoft Internet Security and Acceleration (ISA)

Seguimiento de los cambios en la configuracin: registra todos los

Regla de pruebas: comprueba que los valores de la configuracin de la

Simulador de trfico: simula el trfico de red de acuerdo con los

Registro de diagnstico: esta caracterstica se ha integrado en forma de

Compatibilidad con certificados con varias entradas de Nombre alternativo