SERVIDOR ISA SERVER

POR:

DEYSSY ARICAPA ARAQUE

CESAR PINEDA GONZALEZ
ANDRÈS FELIPE DEOSSA

INSTRUCTOR
FERNANDO QUINTERO

ADMINISTRACION DE REDES DE COMPUTADORES

REGIONAL ANTIOQUIA
SENA
2009

1
 CONTENIDO

1. Licencia…………………………………………………………………
……………4

2. introducción…………………………………………………………
……………….5

3. justificación……………………………………………………………
……………..6

4. Objetivo
general…………………………………………………………………
….7

5. Objetivos
específicos……………………………………………....................
......7

6. Isa Server
2006………………………………………………….......................
....8

• Características……………………………………...................
.....................8

7. Tabla comparativa de la ED: Estándar y

Enterprise……………......................9

8. Soluciones Isa
Server.................................................................................
....10

• Hardware........................................................................
..........................10

• Software.........................................................................
..........................10

9. Precio de licencia de
software.........................................................................11

2
10. Requisitos mínimos del
sistema.....................................................................12

11. Instalación Isa

Server.................................................................................
....13

• Actualizando nuestro
sistema..................................................................13

12. Política
por defecto
DROP.............................................................................31

• Para tener en
cuenta............................................................................
....31

• Dar acceso a Internet a nuestro host

local...............................................31

• Generando
reglas.............................................................................
........32

13. Escenario a
desarrollar..........................................................................
........45

• Recursos.........................................................................
.........................45

• Requisitos.......................................................................
.........................45

14. Aceptando ping desde la red LAN hacia el

Firewall.......................................46

3
 • Haciendo
pruebas..........................................................................
...........53

15. Accediendo a nuestro servidor SSh desde la red

WAN..................................55

• Haciendo
pruebas..........................................................................
...........62

15. Accediendo a nuestro servidor de correo desde la red

WAN.........................64

• Haciendo
pruebas..........................................................................
............68

16. Accediendo a nuestro servidor Web Mail seguro desde la

red WAN...............70

• Para tener en
cuenta............................................................................
......73

17. Permitira los usuarios administradores acceso a

Internet...............................74

18. Configurando Proxy Web en Isa

Server...........................................................83

19. Conclusiones......................................................................
..............................90

4
 LICENCIA

Esta obra está bajo una licencia

Reconocimiento-No comercial-Compartir
Bajo la misma licencia 2.5 Colombia de
Creative Commons. Para ver una
Copia de esta licencia, visite
http://creativecommons.org/licenses/by-ncsa/
2.5/co/ o envie una carta a Creative Commons,
171 Second Street, Suite
300, San Francisco, California 94105, USA.

5
 INTRODUCCION

El siguiente manual estará orientado a la implementación

de una herramienta bajo licenciamiento privado de
Microsoft, con el fin de proveer seguridad a una red interna
de x o y empresa.

Se contara con la instalación de la herramienta de Firewall

de Microsoft, la cual adquirimos desde la pagina oficial con
un licenciamiento libre de 180 días, estamos hablando de
ISA Server en su mas nuevas edición la 2006, por lo tanto si
desea utilizar esta herramienta en entorno de empresa
tendrá que pagar un licenciamiento a la compañía de
Microsoft.

Especificaremos los costos de las diferentes clases de

licenciamiento, ediciones del producto y lo que se debe
tener en cuenta al momento de la implementación del ISA
Server.

6
 JUSTIFICACION

El presente manual se realizo con el fin de tener

documentado el proceso de implementación de una
herramienta Firewall de Microsoft en un escenario muy
común, así lograr familiarizarnos con herramientas de un
coste elevado de implementación y poder reconocer sus
desventajas y ventajas ante los demás productos con fines
similares a la de Microsoft y otras compañías en el
mercado.

Para la gran mayoría de multinacionales en el mundo el

poseer herramientas que tengan valor económico en el
mundo de la informática, representa mayor confiabilidad
para quien la este implementando, en el caso de la
seguridad de los datos, el trabajar con productos
licenciados significaría tener mas seguridad en el escenario
donde este corriendo, ya que se tendría mas soporte en
cuanto a posibles problemas de seguridad.

Hay que tener en cuenta que no todo en la vida es gratis y

por ende las soluciones a nuestros problemas no siempre
llegaran desde el camino de lo no licenciado, para ello
debemos estar con capacidad de tomar una buena decisión
a la hora de escoger un producto e implementarlo en

7
nuestra red, teniendo en cuenta nuestras necesidades
básicas.

OBJECTIVO GENERAL:

La implementación de herramientas de Firewall a nivel de

licenciamiento privado, que cubran las necesidades básicas
de nuestra red local.

OBJETIVOS ESPECIFICOS:

• Permitir conexiones seguras entre la red LAN hacia la

red WAN y viceversa.

• Implementar reglas básicas que permitan la

comunicación de la red local con la red externa.

• Proteger equipos vitales de comunicación de nuestra

LAN ante amenazas del exterior.

8
 • Controlar las conexiones de los usuarios de nuestra
LAN.

• Monitorear las peticiones de los usuarios, permitiendo

o denegando las mismas.

• Concebir prioridades a los usuarios administradores.

ISA SERVER 2006

Es un Gateway integrado de seguridad perimetral que

contribuye a la protección de amenazas procedentes de
Internet, y además ofrece a sus usuarios un acceso remoto
rápido y seguro a sus aplicaciones y datos corporativos.

Internet Acceleration and Security (ISA) Server 2006 se

basa en la anterior versión de ISA Server, así como en la
tecnología Microsoft Windows Server para ofrecer un
firewall potente, robusto y eficiente, y de gran facilidad de
uso. Hay dos ediciones de ISA Server 2006 disponibles: la
Edición Estándar y la Enterprise.

9
Características:

• Publicación segura de aplicaciones

• Acceso remoto seguro a las aplicaciones, datos y

documentos desde cualquier ordenador o dispositivo.

• Pre-autentica al usuario antes de que tenga acceso a

cualquier servidor, autenticación avanzada
(smartcards).

• Capacidad para generar logs y emisión de reportes, de

esta manera los intrusos son más fáciles de detectar.

• Gateway de interconexión para redes locales.

• Protección del acceso a Internet.

TABLA COMPARATIVA DE LA ED: ESTANDAR Y

ENTERPRISE

Características ED. Estándar Vd. Enterprise

Redes Sin limitación Sin limitación

10
Escalabilidad Hasta 4 PCUS, Sin limitación (la
2-GB de RAM que determine
el S.O)
Escalabilidad Un solo servidor Hasta 32 nodos
Horizontal mediante NLB

Cache Almacenamient Sin límite

o de servidor (utilizando
único CARP)
Soporte NLB No soportado SI (integrado)

Políticas Locales Gestión de Arría

de servidores y
directivas
corporativas
mediante ADAM

Redes de oficinas Importación y Políticas de nivel

exportación corporativo y de
manual de Array de
políticas servidores

Monitorización y Consola de Consola de

alertas monitorización monitorización
de un único multiservidor
servidor
MOM
MOM
Múltiples redes Mediante Mediante
plantillas plantillas

11
 Soluciones ISA Server:

Isa Server provee soluciones tanto en hardware como en

software.

Hardware: Integrado en un hardware preconfigurado que

incluye un servidor con una versión reducida de Microsoft
Windows Server y una edición Isa Server 2006
preinstalados.

PRECIO: Se puede obtener una solución basada en

hardware a partir de 2.500 USD unos 650000 pesos
colombianos en promedio

Software: Este paquete se adquiere gracias a licencias

que el usuario compra directamente a Microsoft, listo para
su instalación sobre sus servidores actuales, esta opción
permitirá: Implantar, dar mantenimiento y optimizar la
configuración e incluso desarrollar código que puede
ejecutarse sobre el mismo servidor ISA Server para
maximizar el beneficio.

12
 PRECIOS DE LICENCIA DE SOFTWARE.

Licencia de Descripción Precio Precio $

entorno en USD
producción

Gateway integrado
para la seguridad
ISA Server 1499 380.000$
perimetral,
2006 Ed. USD por por
protegiendo contra
Estándar procesad procesad
amenazas
or or
procedentes de
Internet, permitiendo
acceso remoto de
usuario rápida y
segura

Diseñado para 5.999 1.500.00

grandes USD por 0$ por
ISA Server
organizaciones que procesad procesad
2006 Ed.
necesiten or or
Enterprise
implementación
flexible, capacidad de
gestión y
escalabilidad.

ISA Server Este paquete se 75.000 19.000.0

2006 Ed. ofrece con un USD para 00$ para

13
Enterprise – descuento del 50% 25 25
paquete de 25 para aquellos clientes procesad procesad
procesadores que necesiten Server ores ores
en escenarios de
implantación. Ejemplo
sucursales.

Requisitos mínimos del sistema.

Procesador PC con un Pentium III 733 Mhz o superior.

Sistema Operativo Microsoft Server 2003 de 32 bits (SP1) o (SP2).

Memoria 512 megabytes de RAM o mas es recomendado

Disco duro Con formato NTFS local con 150 MB de espacio libre.

Otros Dispositivos • Adaptador de red para la comunicación con la red

interna.
• Un adaptador de red adicional.
• CD-ROM o DVD-ROM.
• VGA o monitor de mayor resolución.

14
 INSTALACION DE ISA SERVER

Después de haber repasado un poco de lo que era ISA

Server, sus características, precios, ediciones, etc.
Procederemos a hacer la respectiva instalación, para esto
descargaremos la versión de prueba de 180 días desde la
siguiente URL:

http://www.microsoft.com/downloadS/details.aspx?
familyid=95AC1610-C232-4644-B828-
C55EEC605D55&displaylang=es

NOTA: Como ya se menciono anteriormente nuestro

Windows Server 2003 debe tener instalado el SP1 o SP2,
respectivamente, si por algún motivo no tenemos
actualizado nuestro sistema, lo primero que debemos hacer
antes de proceder a instalar ISA Server es dejar nuestro
equipo con los requerimientos antes mencionados.

Actualizando nuestro Sistema:

Como nuestro sistema no tiene instalado el service pack 2,

procederemos a instalarlo, para poder ejecutar el ISA
Server.

15
Para esto descargaremos el paquete de SP2 desde la
siguiente URL:

Después de descargado procederemos a ejecutarlo:

Después de extraer todos los archivos, nos aparecerá el

siguiente cuadro de dialogo:

16
Aquí nos están recomendando hacer backup de nuestro
sistema como tal, para mayor seguridad. Le damos
siguiente.

Nos especifican la licencia del producto el cual deberemos

estar de acuerdo para poder proseguir con nuestra

17
actualización del sistema. Después de aceptar la licencia
damos siguiente.

En este cuadro de dialogo, nos muestra la ruta donde

quedaran guardados los archivos del SP2 después de
instalados, si queremos lo dejamos por defecto, de lo
contrario le podemos cambiar la ruta y especificarle la que
nosotros queramos.

Damos siguiente terminada la especificación de la ruta

donde quedaran los archivos de actualización del sistema.

18
Esperamos a que el asistente compruebe la configuración
actual de nuestro sistema, e instale los archivos nuevos.
Terminada la actualización damos clic en finalizar y
esperamos a que se reinicie nuestro equipo para que los
cambios hechos hagan efecto.

19
Instalación ISA Server:

Terminada la actualización de nuestro sistema, podemos

ahora si proceder a instalar el Servidor ISA Server, para
esto ejecutamos el instalador del ISA Server, descargado
anteriormente desde la página oficial de Microsoft.

Si por algún motivo no has descargado el instalador de isa

Server, lo pueden descargar desde la siguiente URL:

http://www.microsoft.com/downloads/details.aspx?
familyid=84504cad-893b-4212-9ab2-
999ad1d8fe68&displaylang=es&Hash=ODLJiWmcFsEXPxvO
dPC1gstrCQweGgVA%2bqFg8aXyeI%2bq
%2b3GRi9Kd5hEBJMX7kN29aJPMWbWP4HwAd%2fB
%2bV06YgQ%3d%3d

Esperamos a que se extraiga todos los archivos del

ejecutable.

20
Después de terminado de extraer todos los archivos
necesarios para la instalación, nos deberá aparecer el
siguiente cuadro de dialogo:

21
Como se puede apreciar, tenemos la posibilidad leer un
poco sobre las características del producto antes de
instalarlo. Es importante tener en cuenta que la versión que
estamos utilizando es una versión de prueba de 180 días.
Damos clic en instalar ISA Server.

Empezaremos por instalar los componentes principales,

después los componente adicionales y finalmente iniciamos
el asistente de administración del servidor.

22
En este pantallazo nos da a conocer el producto que vamos
a instalar en nuestro equipo, damos clic en siguiente para
continuar.

Después de haber leído y aceptado los términos de la

licencia damos clic en siguiente para continuar.

23
En el siguiente cuadro de dialogo nos pedirá información
básica del cliente como lo es el respectivo nombre y la
organización a la que esta vinculado.

NOTA: Como es un producto de prueba el numero de la

serial ya viene especificado por defecto, de lo contrario le
debemos copiar la que el proveedor nos de a la hora de
adquirir la licencia. Damos clic en siguiente para continuar.

24
El paso a seguir es escoger el tipo de instalación, en
nuestro caso será la tercera opción, la cual incluiría el
servidor administrador y el de almacenamiento de
configuración.

25
Como podemos observar, se instalara las características de
servidor, administrador de ISA Server y servidor de
almacenamiento de configuración. También
especificaremos la ruta en donde quedaran guardados los
archivos de nuestro ISA Server. En este caso se deja por
defecto, clic en siguiente para continuar.

En el cuadro de dialogo especificamos si deseamos crear

un nuevo servidor de almacenamiento, o si ya tenemos uno
podemos replicarlo y crear una copia.

26
Antes de continuar, leeremos atentamente la advertencia y
si cumplimos las especificaciones que allí nos dice, daremos
clic en siguiente para continuar con la instalación.

27
Especificamos ahora la red interna (LAN) la cual va a estar
asociada a una interfaz física de nuestro equipo.

NOTA: Como se menciono anteriormente nuestro equipo

debe estar dotado con dos interfaces físicas, una para
asociar la red interna (LAN) y la otra para asociar la red
externa (WAN).

Damos clic en agregar, para especificar el intervalo de red a

utilizar en nuestra LAN

Como vemos, nos el asistente nos permite, agregar de una

vez el adaptador físico de nuestra interfaz, o un
direccionamiento privado ya especificado por el asistente, o
por ultimo agregar nosotros manualmente el intervalo de
red a utilizar. Por comodidad decidimos agregar el intervalo
de red manualmente, para esto le damos clic en Agregar
intervalo.

28
En el siguiente cuadro especificaremos el rango de red de
nuestra LAN, damos clic en aceptar para continuar.

Nos deberá quedar así, damos clic en aceptar para

continuar.

NOTA: Podemos agregar cuantos intervalos de red

queramos, de acuerdo a nuestras necesidades.

29
En este cuadro de dialogo nos permite decidir si queremos
que nuestro firewall utilice cifrado para las conexiones de
nuestros clientes, es opcional el marcar o dejar desmarcado
el cuadrito blanco. Damos clic en siguiente para continuar,

30
Aquí nos están advirtiendo los servicios que se reiniciaran y
los que se deshabilitaran durante la instalación del ISA
Server. Clic en siguiente para continuar.

Listo damos clic en instalar para proceder a tener el

servidor ISA Server corriendo en nuestra maquina.

31
Esperamos a que se termine de instalar todos los archivos y
componentes adicionales.

32
Terminada la instalación podemos proceder a ejecutar el
asistente de administración de nuestro servidor. Para esto
chuleamos el cuadrito como se muestra en la imagen.
Damos clic en finalizar.

33
Si todo salio bien nos deberá aparecer el asistente de
configuración como se muestra en el pantallazo.

34
 POLITICA POR DEFECTO DENEGAR (DROP)

PARA TENER EN CUENTA:

Terminada la instalación de nuestro Firewall, este empezará

a aplicar la regla por defecto establecida en el producto, en
este caso del ISA Server es denegar todo el trafico de red,
por lo que nuestra maquina estará totalmente bloqueada.

DAR ACCESO A INTERNET A NUESTRO HOST LOCAL:

Entendiendo como host local, al equipo donde estará

corriendo nuestro Firewall.

Después de instalado el Firewall, queremos acceder a

Internet desde nuestro host, pero nos aparece el siguiente
error:

35
Aquí nos dice que el firewall instalado en la maquina, en
este caso el ISA Server, esta bloqueando toda petición que
se haga desde el host hasta el Proxy (se hace petición al
Proxy, por motivo de que en la red en la que estamos
montando el laboratorio, tiene configurado un Proxy) por el
cual tenemos acceso a Internet, la esta rechazando, esto
se debe a la política por defecto que es denegar todo el
trafico de paquetes desde y hacia Internet.

Generando reglas:

Accederemos al asistente de configuración.

Como podemos ver, la única regla que se esta aplicando en

nuestro servidor es de denegar todo, procederemos a
generar una nueva regla la cual permitirá que el host local
tenga acceso a Internet. Para esto damos clic en tareas y
seguidamente en crear regla de acceso.

36
En el siguiente cuadro de dialogo nos pedirá especificar el
nombre de la nueva regla a crear, la cual la llamaremos:
Permitir salir a Internet a host local.

Damos clic en siguiente para continuar.

37
Ahora especificaremos la acción a cumplir con dicha regla
la cual será permitir. Clic en siguiente para continuar.

38
Seguidamente procederemos a elegir el protocolo que
queremos que nuestro Firewall no filtren y permita la
comunicación de paquetes. En este caso que es dar acceso
a Internet a nuestro host local le daremos el protocolo http.
Para esto damos clic en agregar, nos aparecerá algo así:

39
Están son algunas carpetas que vienen establecidas por
defecto, las cuales contienen los protocolos mas comunes
en una red de datos. Nos ubicaremos en la carpeta de
protocolos más comunes y damos clic.

40
El asistente nos desplegara una lista de protocolos más
comunes, en la cual elegiremos el protocolo de Internet que
es el http y damos clic en agregar.

Nos deberá quedar algo similar a esta imagen. Si es así

damos clic en siguiente para continuar.

41
En este cuadro de dialogo nos piden especificar el origen de
la comunicación, o desde donde se originara, para ello
damos clic en Agregar.

42
Nos aparecerá para escoger si es una red en específico, un
host, una subred…. En este caso será una red (Interfaz de
la WAN), para esto damos clic en la carpeta redes.

Esta carpeta desplegara un listado de redes asociadas al

equipo, como la regla es permitir que nuestro servidor
tenga acceso a Internet, escogeremos la opción que dice
host local. Y damos clic en aceptar.

43
Ahora el asistente nos pide especificar el destino a que le
permitiremos que el host local se pueda comunicar, en este
caso es la red WAN o Internet. Para esto damos clic en
agregar.

44
Nos ubicamos en la carpeta de red, y seleccionamos la red
externa (Internet) como destino, posteriormente damos clic
en agregar. Deberá quedar así:

45
Damos clic en siguiente para continuar.

46
Aquí el asistente nos pide especificar a los usuarios que
permitirá dar acceso a Internet.

NOTA: Teniendo en cuanta que el origen va a hacer el host

local, los usuarios que permitiremos salir a Internet son los
que están creados en el host local.

Damos clic en siguiente para continuar.

En este cuadro de dialogo nos muestra los detalles de la

nueva regla acabada de crear por nosotros. Damos clic en
finalizar.

47
Listo, ahora la nueva regla se puede visualizar en la
directiva de Firewall, para poder que se cumpla debemos
dar clic en aplicar.

Después de recargar nuestro Firewall, damos clic en

Aceptar

48
Antes de intentar salir a Internet verificamos que nuestra
interfaz WAN este correctamente configurada con la IP
publica que nos provee el proveedor de Internet.

Como podemos ver todos los parámetros están

correctamente configurados, ahora si procederemos a abrir
nuestro navegador favorito y tratar de navegar, para
verificar que la regla anteriormente creada esta correcta.

49
Perfecto, ahora ya podemos navegar desde nuestro host
local. Gracias a la regla anteriormente creada.

Empezaremos a configurar nuestro servidor ISA Server

teniendo en cuenta el siguiente escenario:

50
 Escenario a Desarrollar:

Recursos:

Equipo servidor de ISA Server.

Switch

5 servidores en la LAN.

Dos Equipos administradores.

Equipos de la LAN.

Requisitos a cumplir:

Dar acceso desde Internet a nuestros 5 servidores: SSH,

Correo, Web mail seguro, Acceso a planta telefónica, Web.

Denegar Acceso de los usuarios comunes de la LAN a: Web,

Correo, Juego Counter Strike, Msn.

Permitir que los dos equipos de administradores accedan a

Internet.

51
Desarrollando escenario:

NOTA: Cabe acordar que nuestro servidor ISA Server, ya le

hemos configurado la primera regla, que es dejar salir a
Internet nuestro servidor ISA Server, la cual va a aplicar al
equipo host (servidor ISA),

Empezando desde lo básico:

Empezaremos creando reglas básicas, las cuales nos van a

ir dando confianza con nuestro servidor ISA Server.

Aceptando Ping desde la red LAN a Firewall.

Abriremos el administrador de servidor ISA Server, nos

ubicaremos en Administrar directivas de Firewall, tareas y
agregar regla de acceso. Nos deberá aparecer el siguiente
cuadro de dialogo:

Le daremos un nombre a la nueva regla, la cual será Ping

desde LAN a HOST (que es el equipo donde estará instalado
nuestro ISA Server).

52
Seguidamente especificaremos la acción que va a cumplir
dicha regla, como0 queremos que los equipos de la LAN
puedan dar ping a nuestro ISA Server, la acción es permitir.
Clic en siguiente.

53
En la opción agregar especificaremos el protocolo que
queremos permitir en dicha regla en nuestro caso será el
de ping:

54
Después de seleccionarlo y agregarlo nos deberá aparecer
el siguiente cuadro de dialogo:

Damos clic en siguiente para continuar.

55
Daremos clic en agregar para escoger desde que red se
generara la petición ping.

Ahora especificamos el origen del paquete ping, en este

caso será desde la propia LAN, por lo que escogeremos la
opción de red interna, damos clic en Agregar y cerrar, por lo
que quedara como se muestra a continuación:

56
Daremos clic en siguiente para continuar.

El cuadro de dialogo nos pedirá que especifiquemos el

destino que tendrá nuestra petición ping, para ello daremos
clic en agregar.

57
Escogeremos que el destino sea nuestra maquina host local
(servidor ISA Server), Agregar y cerrar.

Clic en siguiente para continuar.

58
Especificamos a que todos los usuarios se le cumplan la
regla. Clic en siguiente.

Pantallazo

Como se puede observar, nos muestra las características

con la que se genero la nueva regla en nuestro ISA Server,
daremos clic en finalizar para terminar con la creación de la
regla.

Ahora daremos clic en Aplicar y Aceptar.

HACIENDO PRUEBAS.

Nos ubicaremos en un equipo de la LAN, y trataremos de

dar ping a nuestro servidor ISA Server, el resultado deberá
ser satisfactorio.

Verificamos que el equipo tenga una IP en el rango de la

LAN.

59
NOTA: El usuario esta implementando un sistema operativo
Ubuntu.

Bien, esta en el rango de la LAN del servidor ISA Server.

Ahora procederemos a ejecutar el comando ping.

A la interfaz de la LAN del servidor ISA Server.

A la interfaz WAN de nuestro servidor ISA Server.

60
Si los resultados fueron similares a los anteriores, entonces
damos como conclusión que la regla creada para este fin
esta funcionando correctamente.

ACCEDIENDO A NUESTRO SERVIDOR SSH DESDE LA

RED WAN.

Como uno de los requisitos del escenario es permitir el

acceso desde la WAN al servidor SSH que tenemos
corriendo en un equipo dentro de la red LAN, procederemos
a crear una regla en ISA Server para poder cumplir con este
punto.

Desde la directiva de firewall crearemos una nueva regla de

acceso.

Nos ubicaremos en tareas, y publicar protocolos de servidor

no Web. Nos aparecerá el siguiente cuadro de dialogo.

61
Especificaremos el nombre con el que vamos a llamar a la
nueva regla. Damos clic en siguiente.

NOTA: Se escoge la opción de publicar servidor no Web, ya

que lo que se busca es redireccionar desde el Firewall la
conexiones que vengan desde la red WAN hacia un equipo
local de la red.

62
En este cuadro de dialogo, especificaremos la dirección IP
que tendrá nuestro equipo de la red LAN, el cual será la IP
del servidor SSH. Clic en siguiente.

63
Ahora seleccionaremos el puerto que vamos a
redireccionar, como el puerto del SSH no esta especificado
en la lista de protocolos, nos tocara asignar uno nuevo por
la opción nuevo.

Especificamos el nombre del nuevo protocolo, el cual lo

llamaremos open ssh. Clic en siguiente.

64
Ahora daremos clic en nueva para definir el puerto y tipo
de protocolo a utilizar.

En dirección es entrada por que todos los paquetes vendrán

desde la WAN hacia la red LAN, y pel puerto que
especificaremos será 22. Clic en aceptar para continuar

65
Ahora daremos clic en siguiente.

Daremos clic en siguiente, especificando que no deseamos

aceptar conexiones secundarias en nuestro servidor SSH.

66
 Finalizado la creación de nuestro protocolo SSH, nos
muestra las características con la que quedo nuestro
protocolo en el ISA Server. Clic en finalizar.

Daremos en siguiente para continuar nuestra configuración.

67
Ahora especificaremos desde donde se generara las
peticiones SSH, las cuales vendrán desde la red WAN. Clic
en siguiente para continuar.

68
Terminada la regla, damos clic en finalizar.

HACIENDO PRUEBAS:

Terminada la creación de la regla, desde un equipo de la

red WAN, trataremos de acceder al servidor SSH de la red
LAN, con la herramienta putty.

Como podemos observar, al equipo que realmente estamos

accediendo desde Internet, no es al servidor SSH
directamente, ya que el SSH esta corriendo en la red LAN, o
sea en una red privada, lo que significa que desde la red
WAN esta red no es alcansable, por lo que nos deberemos
conectar al firewall, y este se encargaría de
redireccionarnos al servidor SSH, que fue la regla que
anteriormente creamos.

69
Después de conectarnos remotamente, el servidor SSH nos
pedirá que nos loguemos, con un usuario y contraseña que
deberá existir en el equipo donde esta corriendo nuestro
servidor SSH.

70
Si el usuario y contraseña son correctos, nos deberá dejar
acceder a la maquina remota, como lo podemos observar
en el pantallazo anterior.

ACCEDIENDO A NUESTRO SERVIDOR DE CORREO

DESDE LA RED WAN.

Ahora permitiremos que desde la red WAN se pueda

acceder a nuestro servidor de correo, que esta ubicado en
el interior de nuestra LAN.

Para ello crearemos una nueva regla en nuestro firewall.

Nos ubicaremos en directivas de firewall, tareas y damos

clic en y publicar protocolos de servidor de correo. Nos
deberá aparecer el siguiente cuadro de dialogo:

En el cual nos pedirá el nombre de la nueva regla que se

regirá desde nuestro firewall. Como es de permitir
conexiones desde el exterior hasta nuestro servidor de

71
correo en el interior de la LAN, le dimos el nombre de
acceso servidor….

Damos clic en siguiente para continuar.

Ahora nos pedirá el tipo de acceso a nuestro servidor de

correo. Escogeremos la primera opción si lo que queremos
es que sean clientes que tengan acceso a nuestro servidor,
pero si lo que queremos es una comunicación de servidor a
servidor, escogeremos la segunda opción. En nuestro caso
será la primera y daremos clic en siguiente para continuar.

72
Ahora seleccionaremos el servicio que publicaremos,
escogeremos el de SMTP, ya que lo que publicaremos será
un servidor de correo, daremos clic en siguiente para
continuar.

73
Ahora nos pedirá especificar la IP con la que estará
configurado nuestro servidor de correo, recordemos que el
servidor esta dentro de la LAN lo que esta en el rango de IP
privado de nuestra corporación.

74
Ahora especificamos las redes que estarán permitidas a
realizar peticiones a nuestro servidor de correo, como es
desde la red WAN que queremos que tengan acceso
escogeremos la red externa y daremos clic en siguiente.

Listo, daremos clic en finalizar, aplicare y aceptar.

HACIENDO PRUEBAS:

Terminado de publicar nuestro servidor de correo,

procederemos a hacer la respectiva prueba, desde una
maquina de la red WAN, accederemos por telnet al puerto
25 de la maquina donde esta nuestro servidor de correo.

75
Como podemos observar, haremos un telnet a nuestro
servidor de correo, que esta Escuchando por el puerto 25.

Podemos observar que estamos conectándonos, esperamos

a que se termine de conectar con nuestro servidor.

76
Terminada la conexión, podemos observar que nuestro
servidor de correo es un postfix, y esta corriendo en una
maquina ubuntu. Si nos aparece como se puede ver en el
recuadro anterior es por que todo esta correcto.

ACCEDIENDO A NUESTRO SERVIDOR WEB MAIL

SEGURO DESDE LA RED WAN

Ahora necesitamos que desde la red WAN accedan a

nuestro Web mail seguro, para lograr esta hazaña,
procederemos a crear una nueva regla de acceso, para esto
nos ubicaremos en directivas de firewall, tareas y publicar
servidor de correo.

77
Como siempre al momento de crear una nueva regla en
nuestro firewall, nos pedirá que la nombremos, esta la
llamaremos acceso a webmail seguro, ya que la
comunicación se hará de manera cifrada. Clic en siguiente.

78
Ahora seleccionaremos el tipo de acceso que permitiremos,
el cual será acceso de clientes, como el anterior y clic en
siguiente.

79
Ahora seleccionaremos el servicio a publicar el cual será el
SMTP de manera segura, ya que será el webmail seguro.
Clic en siguiente.

80
Especificaremos la IP de nuestro servidor de webmail
seguro, el cual estará en el rango de la IP privada, clic en
siguiente.

Ahora especificamos la red que tendrá acceso a nuestro

Web mail seguro la cual será la externa, clic en siguiente.

81
Daremos clic en finalizar para culminar con la creación de
nuestra nueva regla de acceso, posteriormente daremos
clic en aplicar y aceptar.

PARA TENER EN CUENTA:

Como se planteo en el ejercicio, debemos dar acceso a

unos cuantos servicios de nuestra LAN desde Internet, pero
seria muy canson, estar repitiendo el mismo procedimiento
para cada uno de ellos, lo cual se deduce que con los 3
ejemplos que se dieron anteriormente, se puede decir que
se aclaro el como generar reglas de acceso para los
servicios.

Los que quedaron por explicar en este documento, se

desarrollan similarmente a los desarrollados anteriormente,
con la única diferencia que se le cambia el nombre de la
regla, el protocolo y el puerto por donde estará escuchando
dicho servicio.

Para bloquear las aplicaciones mencionadas en el ejercicio,

es si no dejar el servidor ISA Server como lo tenemos, sin
crear ninguna regla de permisos, ya que por defecto viene
denegando todas las peticiones que se hagan desde la LAN

82
hacia el exterior, por lo que no necesitaremos preocuparnos
por bloquear los servicios que allí nos mencionan que
bloqueemos, a medida que vayamos necesitando que los
usuarios se comuniquen por un servicio en especifico,
vamos creando las respectivas reglas para que no hayan
ningún tipo de inconvenientes, por lo que nos quedaría
faltando crear la regla para que los administradores tengan
acceso a Internet.

PERMITIR A LOS ADMINISTRADORES ACCESO A

INTERNET DESDE LA RED LAN

Culminada la creación de las reglas para los usuarios de la

red WAN y la red LAN, continuaremos desarrollando los
requisitos del ejercicio planteado al principio de este
artículo, el cual nos menciona permitir que los dos usuarios
administradores tengan acceso a Internet desde la red
LAN.

Nos ubicamos en directivas de firewall, posteriormente

elegimos la opción tareas, y crear nueva regla de acceso.

83
En el cuadro de dialogo que nos aparece, especificaremos
el nombre que queremos ponerle a nuestra regla. Clic en
siguiente para continuar.

Ahora especificamos la acción que el firewall va a ejecutar

para dicha regla, la cual será permitir, clic en siguiente para
continuar.

84
Ahora nos pregunta que protocolos vamos a permitir en
esta regla, seleccionamos agregar y siguiente.

Nos deberá aparecer el siguiente cuadro de dialogo, en el

cual seleccionaremos el o los protocolos para la regla que
estamos creando. Nos ubicamos en la carpeta que

85
corresponda al protocolo que estamos buscando y la
desplegamos.

Al seleccionar la carpeta se despliega los protocolos que

están relacionados con la misma, como esta es una regla
para acceso a la Web, escogeremos los protocolos
correspondientes, los cuales son DNS y http.

Posteriormente daremos clic en Agregar.

86
Ahora ya nos aparece los protocolos que se cumplirán en
dicha regla, daremos clic en siguiente para continuar.

NOTA: Hubiésemos podido especificar todo el tráfico

saliente, pero nos referimos al punto del ejercicio para
desarrollar dicha regla, aunque la regla aplicara a usuarios
administradores.

87
Ahora escogeremos el origen de la petición, damos clic en
agregar para continuar.

Nuevamente nos ubicaremos en la carpeta la cual contenga

el origen de la comunicación, en este caso serán los dos
equipos administradores, los cuales serán en la carpeta
equipos, la desplegamos y nos aparecerán los equipos de
nuestra LAN.

88
Como podemos ver, están los equipos de la LAN,
escogeremos a los equipos de los administradores.
Posteriormente le damos clic en Agregar.

NOTA; Los equipos se deben agregar manualmente,

dándole clic en nuevo, equipo, y especificamos la IP del
equipo y el nombre.

Ya agregamos los equipos administradores, desde donde se

generaran las peticiones Web, damos clic en siguiente para
continuar.

89
Ahora especificamos hacia donde estará orientado el trafico
de los dos administradores de la LAN, el cual los
agregaremos dando clic en el icono Agregar.

90
Nuevamente ubicamos la carpeta que contenga el destino
que estemos buscando y la desplegaremos desde el icono
+.

Nos aparecen posibles destinos, el cual agregaremos la red

externa, ya que es la red de Internet, damos clic en
Agregar.

91
Listo quedo ya especificado el destino al que tendrán
acceso nuestros administradores, daremos clic en siguiente
para continuar.

92
Ahora especificamos a que usuarios aplicara dicha regla,
como es el equipo administrador nos podíamos imaginar
fácilmente que el único que tendrá acceso a la maquina es
el respectivo administrador, lo cual podría ingresar desde
cualquier usuario de ese equipo, por eso dejamos la opción
que el ISA Server nos arroja por defecto. Y damos clic en
siguiente.

Ahora daremos clic en finalizar, para culminar de crear

nuestra nueva regla. Posteriormente clic en Aplicar y
Aceptar para que nuestro servidor Firewall coja los cambios
y cargue nuestra nueva regla.

93
 CONFIGURANDO PROXY WEB EN ISA SERVER

Ahora empezaremos a configurar un servidor Proxy Web

con el fin de ahorrar recursos de ancho de banda con
respecto a peticiones http y por supuesto a filtrar paquetes
de acuerdo a sus extensiones y las urls. Para ello nos
ubicaremos en nuestro admón. De ISA Server y en la opción
cache nos deberá aparecer algo similar a lo siguiente:

Aquí nos muestra el nombre de nuestra partición en disco,

su espacio total, para poder asignar un tamaño para la
cache daremos clic derecho la opción propiedades:

94
Como podemos observar el espacio que se le asigno a la
cache fue de 100 MB y estará guardada en la unidad C: de
nuestro disco. Daremos clic en aceptar para continuar.

Ahora en red, seleccionamos la red interna, clic derecho y

propiedades.

95
En la opción Proxy Web le configuraremos el puerto por
donde los usuarios se van a conectar al Proxy, el cual será
por donde estará corriendo dicho servicio en nuestro caso
será el puerto 3128. Aplicar aceptar.

Ahora nos ubicamos en la matriz de nuestro servidor, en la

regla que le esta permitiendo dar salida a todos nuestros
usuarios de la red al exterior, daremos clic derecho
escogeremos la opción configurar http y nos deberá
aparecer el siguiente cuadro de dialogo:

Ahora nos ubicaremos en la pestaña extensiones,

seleccionamos la opción de denegar extensiones, si lo que
queremos es denegar las extensiones que se mencionaran
en este cuadro, de lo contrario la opción que mas le sea de
utilidad.

Damos clic en agregar y nos debe aparecer el siguiente

cuadro de dialogo:

96
Escribiremos las extensiones que queremos que nuestro
Proxy filtre a los usuarios, daremos clic en aceptar. Nos
deberá quedar algo similar a lo siguiente:

Ya teniendo definidas las extensiones a filtrar daremos clic

en aplicar y aceptar.

97
Ahora especificaremos las url que queremos que filtre
nuestro Proxy, para ello nos ubicamos donde nos menciona
el recuadro y damos clic en agregar.

Escribiremos el nombre que le queremos poner al conjunto

de reglas y posteriormente las url a denegar. Ahora
daremos clic en aplicar y aceptar,

98
Como en nuestra red hay un Proxy padre, configuraremos a
nuestro Proxy para que se redireccione y pueda reenviar las
peticiones al Proxy global de nuestra compañía, como nos
muestra la imagen anterior nos ubicamos en esa ruta y
daremos clic derecho propiedades.

99
Daremos clic en la pestaña acción y escogeremos la que
menciones redirigiéndolas a un servidor…. Y
configuración:

Ahora especificamos la IP del Proxy padre, el puerto por

donde escucha y aceptar. Para hacer las respectivas

100
pruebas, desde un equipo de nuestra LAN, configuraremos
en el navegador por la opción herramientas, opciones de
Internet, avanzado, red, servidor Proxy, y daremos la IP de
nuestra maquina que esta sirviendo como Proxy, con el
puerto por donde el servicio este escuchando.

CONCLUCIONES

• Se nos facilito el uso de la herramienta por ser entorno

grafico la configuración.

• Buena documentación pese a estar en ingles la gran

mayoría de esta.

• Se contó con los recursos necesarios para montar y

poder simular una red como la del escenario.

• Se alcanzaron los objetivos propuestos en el

escenario.

• Se logro implementar Proxy como contramedida o

refuerzo para el firewall.

• Se obtuvo conocimiento de la herramienta mas

utilizada en Microsoft como firewall.

101