Académique Documents
Professionnel Documents
Culture Documents
INDICE
Blog: http://jfherrera.wordpress.com 2
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Introducción
En este documento veremos cómo configurar un servidor que ejecuta ISA Server 2006, dicho
servidor esta optimizado para prestar el servicio de Proxy HTTP & HTTS, partiremos de una
infraestructura de red ya establecida, establecida significa que ya está operativa a nivel de capa 3
(Capa de red del modelo OSI), lo que quiere decir que ya tenemos conectividad entre todos los
dispositivos de red que conforman nuestro entorno y hacia internet. El servicio de DNS, DHCP y la
aplicación ISA Server ya se ha realizado.
Blog: http://jfherrera.wordpress.com 3
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Topología de red
Tabla de direccionamiento
Default
Device Name Interface Name IP Address Subnet Mask
Gateway
Fa0/0 10.10.10.130 255.255.255.252 N/A
FW01
Fa0/1 10.10.10.62 255.255.255.192 N/A
SVR-DNS-DHCP-
NIC 10.10.10.60 255.255.255.192 10.10.10.62
01
SVR-PROXY-01 NIC 10.10.10.61 255.255.255.192 10.10.10.62
Winxp1 NIC DHCP DHCP DHCP
Blog: http://jfherrera.wordpress.com 4
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
WINS High
Device
Operating Default DNS Serve Network Bandwidt
Name IP Address
System/Ver Gateway Server r Applicati h
(Purpose / Suffix
sion Address Address Addre ons Applicati
)
ss ons
SVR-DNS- N/A N/A
Windows
DHCP-01 10.10.10.60 10.10.10 DNS
Server 2003 10.10.10.62
(DNS/DH /26 .60 DHCP
SP2
CP)
SVR- 10.10.10.62 10.10.10 N/A Proxy N/A
Windows
PROXY- 10.10.10.61 /26 .60 (HTTP
Server 2003
01 (ISA /26 and
SP2
Server) HTTPS)
Blog: http://jfherrera.wordpress.com 5
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
SVR-DNS-DHCP-01
El equipo etiquetado como SVR-DNS-DHCP-01 tendrá los servicios de DNS y DCHP, a continuación
encontraremos una serie de Screenshot en los cuales se describen rápidamente la configuración
para dichos servicios.
Observamos el hostname y direccionamiento del STACK TCP/IP utilizado para este host.
Blog: http://jfherrera.wordpress.com 6
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 7
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Y finalmente esta es la configuración que se aplicó al servicio DNS, permitiendo las actualizaciones
dinámicas en la zona directa e inversa por parte de los clientes de la LAN1 y LAN2.
SVR-FW-01
En nuestro servidor SVR-PROXY-01 esta con las actualizaciones al dia e instalado ya el ISA Server
(solo la instalación), este tiene la dirección IP 10.10.10.61/26.
Iniciada la consola de administración damos clic sobre la opción Network, y como podemos
observar está configurado como Edge Firewall, como nuestro Servidor esta optimizado para servir
como proxy en nuestra red, lo que haremos será seleccionar la plantilla Single Network Adapter.
Del panel derecho, pestaña Templates.
Blog: http://jfherrera.wordpress.com 8
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Seleccionamos el tipo de política que se aplicara por defecto, en nuestro caso la única existente, y
posteriormente iremos abriendo comunicaciones necesarias.
Al momento de dar clic en Finish nos genera un aviso y en el cual especifica que: “Cuando ISA
Server está configurado con un solo adaptador de red, la red Externa no tiene asociada una
dirección IP. Como resultado de dicha configuración, especificar la red Externa en reglas de acceso,
o especificar dicha red para solicitudes web en una regla, el resultado será que no se tendrá ningún
efecto por parte de dichas reglas o políticas”.
Blog: http://jfherrera.wordpress.com 10
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
3-Leg perímetro
Esta es una topología de red estándar para medianas y grandes organizaciones. Hay otra red que
es la red perimetral añadida al servidor ISA en comparación con el borde del cortafuego. La red
perimetral o DMZ (zona desmilitarizada) es una red que es menos seguro para servir de servidor
Blog: http://jfherrera.wordpress.com 11
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Web, servidor de correo electrónico, servidor DNS, etc, para que los usuarios de Internet pueden
acceder a estos servicios sin acceso a la red interna. El Servidor ISA Server necesita 3 interfaces de
red.
Firewall frontal
Se trata de una topología de red en la que la seguridad es imprescindible para la organización. En
este caso, hay más de un servidor de seguridad. Cuando el servidor es atacado por hakers no solo
deben traspasar ese sino que todavía hay un nuevo firewall para proteger su red interna. Esta
plantilla, el servidor ISA será actuar como servidor de seguridad frente entre la red de Internet y el
perímetro y las necesidades de dos interfaces de red.
Firewall trasero
Se trata de una topología de red en la que la seguridad es imprescindible para la organización. La
configuración es la misma que en el Frente de plantilla, excepto que el servidor de seguridad ISA
Server que se está configurando el servidor de seguridad de nuevo esa plantilla red. Este separa la
red interna y perimetral, ISA Server necesita dos interfaces de red.
Blog: http://jfherrera.wordpress.com 12
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En este punto debemos tener presente que para las plantillas Firewall frontal y Firewall trasero se
debe utilizar más de un servidor ISA.
Firewall Policy
Ok, esta es la sección en la consola de administración del ISA Server en la que se trabajara
prácticamente siempre. El ISA Server trae ya por defecto unas reglas predefinidas, las cuales están
ocultas. Para ver dichas reglas seguimos la siguiente ruta en la consola de administración del ISA
Server menú View > Show System Policy Rules.
Blog: http://jfherrera.wordpress.com 13
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En esta captura observamos que la mayoría de reglas se permiten solo a el trafico que tiene origen
Local Host (ISA Server), en otras palabras solo se permite comunicaciones originadas desde el
servidor de ISA Server en resto se deniega ya que hay una política por defecto Deny.
Blog: http://jfherrera.wordpress.com 14
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Pulsando clic derecho sobre Firewal Policy > Edit System Policy…, podemos habilitar o deshabilitar
las reglas de default que incorpora el ISA Server.
Lo siguiente consiste en crear una nueva regla que permita el tráfico de los protocolos HTTP (80) y
HTTPS (443) para todos los usuarios de la red LAN1.
Clic derecho sobre la option Firewall Policy > New > Access Rule…
Blog: http://jfherrera.wordpress.com 15
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Nos levanta el asistente para crear la regla, ingresamos el nombre que tendrá la nueva regla y
pulsamos en Next >.
La acción que configuraremos para esta regla será permitir, entonces seleccionamos Allow y
damos clic en Next.
Blog: http://jfherrera.wordpress.com 16
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Como esta regla se aplicara a todo el origen generado desde la LAN1 entonces seleccionamos la
red Interna y pulsamos en Next.
La regla se aplicara a cualquier destino, entonces agregamos la red Externa que en nuestro caso
sería la interface (NIC) Bridge, pulsamos en Add > Close y Next para continuar.
Blog: http://jfherrera.wordpress.com 17
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Como la regla se aplicara a todos los usuarios que estén en la red Interna (LAN1) dejamos la
opción por defecto y para terminar seleccionamos Next y Finish.
Blog: http://jfherrera.wordpress.com 18
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Bien en este punto del documente vamos a explicar la configuración de FW01, la función de FW01
es enrutar el tráfico de la red LAN1 hacia internet, igualmente está prestando los servicios de NAT
(PAT) con el fin de permitir conexiones hacia internet de más de un cliente simultáneamente ya
que se dispone solo de una dirección pública.
Actualmente el FW01 está permitiendo cualquier servicio hacia internet, cualquier cliente puede
navegar en la WWW sin configurar ningún tipo de proxy en el Web browser. Explicado esto vamos
a configurar unas ACLs en FW01 para que solamente permita las solicitudes de HTTP y HTTPS
iniciadas por el SVR-PROXY-01, con el objetivo de obligar a los usuarios que deseen navegar por la
WWW a configurar el proxy en el Web browser y filtrando así comunicaciones HTTP y HTTPS.
interface fa0/1
ip access-group ALLOW_WEB_ACCESS_FROM_PROXY_ONLY in
Blog: http://jfherrera.wordpress.com 19
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En estas capturas vemos que no tenemos configurado el proxy en el navegado y que no podemos
navegar por la WWW.
Igualmente si observamos las coincidencias de las reglas creadas podemos ver que se han
permitido comunicaciones para los servicios HTTP y HTTPS solo desde el SVR-PROXY-01,
Blog: http://jfherrera.wordpress.com 20
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
igualmente se han denegado comunicaciones HTTP y HTTPS que no son originadas por SVR-
PROXY-01.
Si deseamos cambiar el número de puerto para el proxy a utilizar, nos vamos a la siguiente ruta de
la consola de administración del ISA Server Networks > Internal > clic derecho properties >
seleccionamos la pestaña Web Proxy.
Blog: http://jfherrera.wordpress.com 21
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Configurado nuestro web browser con el proxy ya podemos acceder a los servicios HTTP & HTTPS.
En esta imagen observamos que tenemos varios navegadores web, y vamos a utilizarlos para
comprobar reglas de prohibir la operatividad de un web browser específico.
Blog: http://jfherrera.wordpress.com 22
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En esta imagen observamos la estructura de un paquete que se capturo, la parte resaltada con el
recuadro rojo es la que nos interesa.
Crearemos una firma para denegar las solicitudes que contengan la palabra Firefox.
Damos clic derecho sobre la regla Allow web acces y seleccionamos la opción Configure HTTP.
Blog: http://jfherrera.wordpress.com 23
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Y en la ventana que nos levanta llenamos los campos con los valores que se muestran en la
imagen.
Verificamos que la nueva Signature este comprobada y damos clic en Apply > OK.
Blog: http://jfherrera.wordpress.com 24
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Aplicamos los cambios y comprobamos la configuración intentando acceder a la WWW por medio
del web browser Mozilla Firefox.
Blog: http://jfherrera.wordpress.com 25
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Como podemos comprobar no está permitido la navegación para el web browser Mozilla Firefox,
pero para IE sí.
Blog: http://jfherrera.wordpress.com 26
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 27
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Al momento del ISA cargar los cambios podemos ver que la Signature ahora está operando como
lo deseamos.
Si probamos navegar con Chrome no se va a permitir ya que como en las solicitudes del web
browser Chrome hay valores como Safari en la directiva User-Agent:.
Blog: http://jfherrera.wordpress.com 28
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Pero igualmente podemos crear una Signature para el web browser Google Chrome, esto si no
deseamos bloquear el web browser Apple Safari.
Blog: http://jfherrera.wordpress.com 29
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 30
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 31
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Aplicados los cambios vemos que las Signatures se están filtrando correctamente.
Blog: http://jfherrera.wordpress.com 32
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 33
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Salvada la configuración y aplicados los cambios vemos que nos bloquea el web browser Internet
Explorer.
Bloquear MSN
En esta sección veremos cómo bloquear MSN.
Blog: http://jfherrera.wordpress.com 34
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 35
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Aplicada la configuración podemos observar que nuestra política está funcionando como lo
deseamos.
Blog: http://jfherrera.wordpress.com 36
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 37
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 38
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 39
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Ya observamos que el ISA nos está filtrando y cerrando ese tipo de solicitud.
Blog: http://jfherrera.wordpress.com 40
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Con la configuración de la Signature, aplicados los cambios en el FW01, todavía el cliente Yahoo
Messenger puede conectarse correctamente, analizamos el tráfico con el siguiente resultado:
Blog: http://jfherrera.wordpress.com 41
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Primero el cliente yahoo Messenger realiza la petición de GET hacia la URL vcs2.msg.yahoo.com.
Segundo el FW01 deniega dicha petición ya que creamos la Signature para msg.yahoo.
Tercero después de varios intentos por parte del cliente yahoo Messenger fructuosos, este opta
por realizar la petición GET hacia la IP, en este punto encontramos un patrón y el cual fue
/capacity.
Blog: http://jfherrera.wordpress.com 42
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Finalmente con la aplicación de esta Signature nos bloquea correctamente el cliente Yahoo
Messenger.
Blog: http://jfherrera.wordpress.com 43
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 44
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Este es otro método de bloquear para el cliente Yahoo Messenger y es el que más me agrada ya
que puede ser más concreto.
Blog: http://jfherrera.wordpress.com 45
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Como podemos observar el proxy nos filtra esta URL, debemos tener presente que solo nos
bloquea si el campo de URL se encuentra el string gmail.com como http://gmail.com,
http://www.gmail.com, https://gmail.com, https://www.gmail.com.
Debemos tener claro que los usuarios pueden usar las siguientes URL:
mail.google.com
gmail.com
gmail.google.com
Blog: http://jfherrera.wordpress.com 46
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Con esta configuración ya podemos bloquear correctamente gmal ya que al momento de digitar
gmal.com automáticamente lo redirección a mail.google.
Blog: http://jfherrera.wordpress.com 47
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 48
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Bloquear hotmail
Blog: http://jfherrera.wordpress.com 49
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 50
Proxy HTTP & HTTPS- ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En esta captura observamos que no nos carga la web para realizar login.
Thanks,
Good Luck!
Blog: http://jfherrera.wordpress.com 51