Académique Documents
Professionnel Documents
Culture Documents
POR:
INSTRUCTOR
FERNANDO QUINTERO
1
CONTENIDO
1. Licencia………………………………………………………………………………4
2. introducción………………………………………………………………………….5
3. justificación…………………………………………………………………………..6
4. Objetivo general…………………………………………………………………….7
5. Objetivos específicos……………………………………………..........................7
• Características……………………………………........................................8
• Hardware..................................................................................................10
• Software...................................................................................................10
• Generando reglas.....................................................................................32
• Recursos..................................................................................................45
• Requisitos................................................................................................45
2
14. Aceptando ping desde la red LAN hacia el Firewall.......................................46
• Haciendo pruebas.....................................................................................53
• Haciendo pruebas.....................................................................................62
• Haciendo pruebas......................................................................................68
16. Accediendo a nuestro servidor Web Mail seguro desde la red WAN...............70
19. Conclusiones....................................................................................................90
3
LICENCIA
INTRODUCCION
4
El siguiente manual estará orientado a la implementación de una herramienta bajo
licenciamiento privado de Microsoft, con el fin de proveer seguridad a una red
interna de x o y empresa.
JUSTIFICACION
5
El presente manual se realizo con el fin de tener documentado el proceso de
implementación de una herramienta Firewall de Microsoft en un escenario muy
común, así lograr familiarizarnos con herramientas de un coste elevado de
implementación y poder reconocer sus desventajas y ventajas ante los demás
productos con fines similares a la de Microsoft y otras compañías en el mercado.
Hay que tener en cuenta que no todo en la vida es gratis y por ende las soluciones
a nuestros problemas no siempre llegaran desde el camino de lo no licenciado,
para ello debemos estar con capacidad de tomar una buena decisión a la hora de
escoger un producto e implementarlo en nuestra red, teniendo en cuenta nuestras
necesidades básicas.
OBJECTIVO GENERAL:
6
La implementación de herramientas de Firewall a nivel de licenciamiento privado,
que cubran las necesidades básicas de nuestra red local.
OBJETIVOS ESPECIFICOS:
• Permitir conexiones seguras entre la red LAN hacia la red WAN y viceversa.
7
Es un Gateway integrado de seguridad perimetral que contribuye a la protección de
amenazas procedentes de Internet, y además ofrece a sus usuarios un acceso
remoto rápido y seguro a sus aplicaciones y datos corporativos.
Internet Acceleration and Security (ISA) Server 2006 se basa en la anterior versión
de ISA Server, así como en la tecnología Microsoft Windows Server para ofrecer
un firewall potente, robusto y eficiente, y de gran facilidad de uso. Hay dos
ediciones de ISA Server 2006 disponibles: la Edición Estándar y la Enterprise.
Características:
8
Múltiples redes Mediante plantillas Mediante plantillas
9
PRECIOS DE LICENCIA DE SOFTWARE.
10
INSTALACION DE ISA SERVER
Después de haber repasado un poco de lo que era ISA Server, sus características,
precios, ediciones, etc. Procederemos a hacer la respectiva instalación, para esto
descargaremos la versión de prueba de 180 días desde la siguiente URL:
11
http://www.microsoft.com/downloadS/details.aspx?familyid=95AC1610-C232-4644-
B828-C55EEC605D55&displaylang=es
12
Aquí nos están recomendando hacer backup de nuestro sistema como tal, para
mayor seguridad. Le damos siguiente.
Nos especifican la licencia del producto el cual deberemos estar de acuerdo para
poder proseguir con nuestra actualización del sistema. Después de aceptar la
licencia damos siguiente.
13
En este cuadro de dialogo, nos muestra la ruta donde quedaran guardados los
archivos del SP2 después de instalados, si queremos lo dejamos por defecto, de lo
contrario le podemos cambiar la ruta y especificarle la que nosotros queramos.
14
Esperamos a que el asistente compruebe la configuración actual de nuestro
sistema, e instale los archivos nuevos. Terminada la actualización damos clic en
finalizar y esperamos a que se reinicie nuestro equipo para que los cambios
hechos hagan efecto.
15
Instalación ISA Server:
http://www.microsoft.com/downloads/details.aspx?
familyid=84504cad-893b-4212-9ab2-999ad1d8fe68&displaylang=es&Hash=ODLJi
WmcFsEXPxvOdPC1gstrCQweGgVA%2bqFg8aXyeI%2bq
%2b3GRi9Kd5hEBJMX7kN29aJPMWbWP4HwAd%2fB%2bV06YgQ%3d%3d
16
Después de terminado de extraer todos los archivos necesarios para la instalación,
nos deberá aparecer el siguiente cuadro de dialogo:
17
Empezaremos por instalar los componentes principales, después los componente
adicionales y finalmente iniciamos el asistente de administración del servidor.
18
En este pantallazo nos da a conocer el producto que vamos a instalar en nuestro
equipo, damos clic en siguiente para continuar.
19
En el siguiente cuadro de dialogo nos pedirá información básica del cliente como lo
es el respectivo nombre y la organización a la que esta vinculado.
20
Como podemos observar, se instalara las características de servidor, administrador
de ISA Server y servidor de almacenamiento de configuración. También
especificaremos la ruta en donde quedaran guardados los archivos de nuestro ISA
Server. En este caso se deja por defecto, clic en siguiente para continuar.
21
En el cuadro de dialogo especificamos si deseamos crear un nuevo servidor de
almacenamiento, o si ya tenemos uno podemos replicarlo y crear una copia.
22
Especificamos ahora la red interna (LAN) la cual va a estar asociada a una interfaz
física de nuestro equipo.
NOTA: Como se menciono anteriormente nuestro equipo debe estar dotado con
dos interfaces físicas, una para asociar la red interna (LAN) y la otra para asociar
la red externa (WAN).
23
Como vemos, nos el asistente nos permite, agregar de una vez el adaptador físico
de nuestra interfaz, o un direccionamiento privado ya especificado por el asistente,
o por ultimo agregar nosotros manualmente el intervalo de red a utilizar. Por
comodidad decidimos agregar el intervalo de red manualmente, para esto le damos
clic en Agregar intervalo.
24
Nos deberá quedar así, damos clic en aceptar para continuar.
25
En este cuadro de dialogo nos permite decidir si queremos que nuestro firewall
utilice cifrado para las conexiones de nuestros clientes, es opcional el marcar o
dejar desmarcado el cuadrito blanco. Damos clic en siguiente para continuar,
Aquí nos están advirtiendo los servicios que se reiniciaran y los que se
deshabilitaran durante la instalación del ISA Server. Clic en siguiente para
continuar.
26
Listo damos clic en instalar para proceder a tener el servidor ISA Server corriendo
en nuestra maquina.
27
Esperamos a que se termine de instalar todos los archivos y componentes
adicionales.
28
Si todo salio bien nos deberá aparecer el asistente de configuración como se
muestra en el pantallazo.
29
POLITICA POR DEFECTO DENEGAR (DROP)
Entendiendo como host local, al equipo donde estará corriendo nuestro Firewall.
Aquí nos dice que el firewall instalado en la maquina, en este caso el ISA Server,
esta bloqueando toda petición que se haga desde el host hasta el Proxy (se hace
petición al Proxy, por motivo de que en la red en la que estamos montando el
laboratorio, tiene configurado un Proxy) por el cual tenemos acceso a Internet, la
30
esta rechazando, esto se debe a la política por defecto que es denegar todo el
trafico de paquetes desde y hacia Internet.
Generando reglas:
Como podemos ver, la única regla que se esta aplicando en nuestro servidor es
de denegar todo, procederemos a generar una nueva regla la cual permitirá que el
host local tenga acceso a Internet. Para esto damos clic en tareas y seguidamente
en crear regla de acceso.
31
Damos clic en siguiente para continuar.
32
Ahora especificaremos la acción a cumplir con dicha regla la cual será permitir. Clic
en siguiente para continuar.
33
Están son algunas carpetas que vienen establecidas por defecto, las cuales
contienen los protocolos mas comunes en una red de datos. Nos ubicaremos en la
carpeta de protocolos más comunes y damos clic.
34
El asistente nos desplegara una lista de protocolos más comunes, en la cual
elegiremos el protocolo de Internet que es el http y damos clic en agregar.
Nos deberá quedar algo similar a esta imagen. Si es así damos clic en siguiente
para continuar.
35
En este cuadro de dialogo nos piden especificar el origen de la comunicación, o
desde donde se originara, para ello damos clic en Agregar.
Nos aparecerá para escoger si es una red en específico, un host, una subred….
En este caso será una red (Interfaz de la WAN), para esto damos clic en la
carpeta redes.
36
Esta carpeta desplegara un listado de redes asociadas al equipo, como la regla es
permitir que nuestro servidor tenga acceso a Internet, escogeremos la opción que
dice host local. Y damos clic en aceptar.
37
Ahora el asistente nos pide especificar el destino a que le permitiremos que el host
local se pueda comunicar, en este caso es la red WAN o Internet. Para esto damos
clic en agregar.
38
Damos clic en siguiente para continuar.
39
Aquí el asistente nos pide especificar a los usuarios que permitirá dar acceso a
Internet.
NOTA: Teniendo en cuanta que el origen va a hacer el host local, los usuarios que
permitiremos salir a Internet son los que están creados en el host local.
En este cuadro de dialogo nos muestra los detalles de la nueva regla acabada de
crear por nosotros. Damos clic en finalizar.
40
Listo, ahora la nueva regla se puede visualizar en la directiva de Firewall, para
poder que se cumpla debemos dar clic en aplicar.
41
Antes de intentar salir a Internet verificamos que nuestra interfaz WAN este
correctamente configurada con la IP publica que nos provee el proveedor de
Internet.
Como podemos ver todos los parámetros están correctamente configurados, ahora
si procederemos a abrir nuestro navegador favorito y tratar de navegar, para
verificar que la regla anteriormente creada esta correcta.
42
Perfecto, ahora ya podemos navegar desde nuestro host local. Gracias a la regla
anteriormente creada.
43
Escenario a Desarrollar:
Recursos:
Switch
5 servidores en la LAN.
Equipos de la LAN.
Requisitos a cumplir:
Dar acceso desde Internet a nuestros 5 servidores: SSH, Correo, Web mail seguro,
Acceso a planta telefónica, Web.
44
Desarrollando escenario:
NOTA: Cabe acordar que nuestro servidor ISA Server, ya le hemos configurado la
primera regla, que es dejar salir a Internet nuestro servidor ISA Server, la cual va a
aplicar al equipo host (servidor ISA),
Empezaremos creando reglas básicas, las cuales nos van a ir dando confianza con
nuestro servidor ISA Server.
Le daremos un nombre a la nueva regla, la cual será Ping desde LAN a HOST
(que es el equipo donde estará instalado nuestro ISA Server).
45
Seguidamente especificaremos la acción que va a cumplir dicha regla, como0
queremos que los equipos de la LAN puedan dar ping a nuestro ISA Server, la
acción es permitir. Clic en siguiente.
46
En la opción agregar especificaremos el protocolo que queremos permitir en dicha
regla en nuestro caso será el de ping:
47
Damos clic en siguiente para continuar.
Daremos clic en agregar para escoger desde que red se generara la petición ping.
48
Ahora especificamos el origen del paquete ping, en este caso será desde la propia
LAN, por lo que escogeremos la opción de red interna, damos clic en Agregar y
cerrar, por lo que quedara como se muestra a continuación:
49
Daremos clic en siguiente para continuar.
El cuadro de dialogo nos pedirá que especifiquemos el destino que tendrá nuestra
petición ping, para ello daremos clic en agregar.
50
Escogeremos que el destino sea nuestra maquina host local (servidor ISA Server),
Agregar y cerrar.
Pantallazo
Como se puede observar, nos muestra las características con la que se genero la
nueva regla en nuestro ISA Server, daremos clic en finalizar para terminar con la
creación de la regla.
51
HACIENDO PRUEBAS.
Bien, esta en el rango de la LAN del servidor ISA Server. Ahora procederemos a
ejecutar el comando ping.
52
A la interfaz WAN de nuestro servidor ISA Server.
53
ACCEDIENDO A NUESTRO SERVIDOR SSH DESDE LA RED WAN.
Como uno de los requisitos del escenario es permitir el acceso desde la WAN al
servidor SSH que tenemos corriendo en un equipo dentro de la red LAN,
procederemos a crear una regla en ISA Server para poder cumplir con este punto.
Especificaremos el nombre con el que vamos a llamar a la nueva regla. Damos clic
en siguiente.
54
En este cuadro de dialogo, especificaremos la dirección IP que tendrá nuestro
equipo de la red LAN, el cual será la IP del servidor SSH. Clic en siguiente.
55
Ahora seleccionaremos el puerto que vamos a redireccionar, como el puerto del
SSH no esta especificado en la lista de protocolos, nos tocara asignar uno nuevo
por la opción nuevo.
Especificamos el nombre del nuevo protocolo, el cual lo llamaremos open ssh. Clic
en siguiente.
56
Ahora daremos clic en nueva para definir el puerto y tipo de protocolo a utilizar.
En dirección es entrada por que todos los paquetes vendrán desde la WAN hacia
la red LAN, y pel puerto que especificaremos será 22. Clic en aceptar para
continuar
57
Ahora daremos clic en siguiente.
58
Finalizado la creación de nuestro protocolo SSH, nos muestra las características
con la que quedo nuestro protocolo en el ISA Server. Clic en finalizar.
59
Ahora especificaremos desde donde se generara las peticiones SSH, las cuales
vendrán desde la red WAN. Clic en siguiente para continuar.
60
HACIENDO PRUEBAS:
61
Después de conectarnos remotamente, el servidor SSH nos pedirá que nos
loguemos, con un usuario y contraseña que deberá existir en el equipo donde esta
corriendo nuestro servidor SSH.
62
ACCEDIENDO A NUESTRO SERVIDOR DE CORREO DESDE LA RED WAN.
Ahora permitiremos que desde la red WAN se pueda acceder a nuestro servidor de
correo, que esta ubicado en el interior de nuestra LAN.
En el cual nos pedirá el nombre de la nueva regla que se regirá desde nuestro
firewall. Como es de permitir conexiones desde el exterior hasta nuestro servidor
de correo en el interior de la LAN, le dimos el nombre de acceso servidor….
63
Ahora nos pedirá el tipo de acceso a nuestro servidor de correo. Escogeremos la
primera opción si lo que queremos es que sean clientes que tengan acceso a
nuestro servidor, pero si lo que queremos es una comunicación de servidor a
servidor, escogeremos la segunda opción. En nuestro caso será la primera y
daremos clic en siguiente para continuar.
64
Ahora seleccionaremos el servicio que publicaremos, escogeremos el de SMTP, ya
que lo que publicaremos será un servidor de correo, daremos clic en siguiente para
continuar.
65
Ahora nos pedirá especificar la IP con la que estará configurado nuestro servidor
de correo, recordemos que el servidor esta dentro de la LAN lo que esta en el
rango de IP privado de nuestra corporación.
66
Listo, daremos clic en finalizar, aplicare y aceptar.
HACIENDO PRUEBAS:
67
Como podemos observar, haremos un telnet a nuestro servidor de correo, que esta
Escuchando por el puerto 25.
68
ACCEDIENDO A NUESTRO SERVIDOR WEB MAIL SEGURO DESDE LA RED
WAN
Ahora necesitamos que desde la red WAN accedan a nuestro Web mail seguro,
para lograr esta hazaña, procederemos a crear una nueva regla de acceso, para
esto nos ubicaremos en directivas de firewall, tareas y publicar servidor de correo.
Como siempre al momento de crear una nueva regla en nuestro firewall, nos pedirá
que la nombremos, esta la llamaremos acceso a webmail seguro, ya que la
comunicación se hará de manera cifrada. Clic en siguiente.
69
Ahora seleccionaremos el tipo de acceso que permitiremos, el cual será acceso de
clientes, como el anterior y clic en siguiente.
70
Ahora seleccionaremos el servicio a publicar el cual será el SMTP de manera
segura, ya que será el webmail seguro. Clic en siguiente.
71
Ahora especificamos la red que tendrá acceso a nuestro Web mail seguro la cual
será la externa, clic en siguiente.
Daremos clic en finalizar para culminar con la creación de nuestra nueva regla de
acceso, posteriormente daremos clic en aplicar y aceptar.
72
necesitando que los usuarios se comuniquen por un servicio en especifico, vamos
creando las respectivas reglas para que no hayan ningún tipo de inconvenientes,
por lo que nos quedaría faltando crear la regla para que los administradores tengan
acceso a Internet.
Culminada la creación de las reglas para los usuarios de la red WAN y la red LAN,
continuaremos desarrollando los requisitos del ejercicio planteado al principio de
este artículo, el cual nos menciona permitir que los dos usuarios administradores
tengan acceso a Internet desde la red LAN.
73
Ahora especificamos la acción que el firewall va a ejecutar para dicha regla, la cual
será permitir, clic en siguiente para continuar.
Ahora nos pregunta que protocolos vamos a permitir en esta regla, seleccionamos
agregar y siguiente.
74
Nos deberá aparecer el siguiente cuadro de dialogo, en el cual seleccionaremos el
o los protocolos para la regla que estamos creando. Nos ubicamos en la carpeta
que corresponda al protocolo que estamos buscando y la desplegamos.
75
Posteriormente daremos clic en Agregar.
Ahora ya nos aparece los protocolos que se cumplirán en dicha regla, daremos clic
en siguiente para continuar.
NOTA: Hubiésemos podido especificar todo el tráfico saliente, pero nos referimos
al punto del ejercicio para desarrollar dicha regla, aunque la regla aplicara a
usuarios administradores.
76
Ahora escogeremos el origen de la petición, damos clic en agregar para continuar.
Como podemos ver, están los equipos de la LAN, escogeremos a los equipos de
los administradores. Posteriormente le damos clic en Agregar.
77
NOTA; Los equipos se deben agregar manualmente, dándole clic en nuevo,
equipo, y especificamos la IP del equipo y el nombre.
78
Ahora especificamos hacia donde estará orientado el trafico de los dos
administradores de la LAN, el cual los agregaremos dando clic en el icono Agregar.
79
Nos aparecen posibles destinos, el cual agregaremos la red externa, ya que es la
red de Internet, damos clic en Agregar.
80
Ahora especificamos a que usuarios aplicara dicha regla, como es el equipo
administrador nos podíamos imaginar fácilmente que el único que tendrá acceso a
la maquina es el respectivo administrador, lo cual podría ingresar desde cualquier
usuario de ese equipo, por eso dejamos la opción que el ISA Server nos arroja por
defecto. Y damos clic en siguiente.
Ahora daremos clic en finalizar, para culminar de crear nuestra nueva regla.
Posteriormente clic en Aplicar y Aceptar para que nuestro servidor Firewall coja los
cambios y cargue nuestra nueva regla.
81
CONFIGURANDO PROXY WEB EN ISA SERVER
Aquí nos muestra el nombre de nuestra partición en disco, su espacio total, para
poder asignar un tamaño para la cache daremos clic derecho la opción
propiedades:
82
Como podemos observar el espacio que se le asigno a la cache fue de 100 MB y
estará guardada en la unidad C: de nuestro disco. Daremos clic en aceptar para
continuar.
83
En la opción Proxy Web le configuraremos el puerto por donde los usuarios se van
a conectar al Proxy, el cual será por donde estará corriendo dicho servicio en
nuestro caso será el puerto 3128. Aplicar aceptar.
84
Escribiremos las extensiones que queremos que nuestro Proxy filtre a los usuarios,
daremos clic en aceptar. Nos deberá quedar algo similar a lo siguiente:
85
Ahora especificaremos las url que queremos que filtre nuestro Proxy, para ello nos
ubicamos donde nos menciona el recuadro y damos clic en agregar.
86
Como en nuestra red hay un Proxy padre, configuraremos a nuestro Proxy para
que se redireccione y pueda reenviar las peticiones al Proxy global de nuestra
compañía, como nos muestra la imagen anterior nos ubicamos en esa ruta y
daremos clic derecho propiedades.
87
Daremos clic en la pestaña acción y escogeremos la que menciones
redirigiéndolas a un servidor…. Y configuración:
Ahora especificamos la IP del Proxy padre, el puerto por donde escucha y aceptar.
Para hacer las respectivas pruebas, desde un equipo de nuestra LAN,
configuraremos en el navegador por la opción herramientas, opciones de Internet,
avanzado, red, servidor Proxy, y daremos la IP de nuestra maquina que esta
sirviendo como Proxy, con el puerto por donde el servicio este escuchando.
88
CONCLUCIONES
• Se contó con los recursos necesarios para montar y poder simular una red
como la del escenario.
89