Isa 1 2

Seguridad en la
infraestructura de red
ISA Server 2006(B)
Seguridad en la infraestructura de red - ISA Server 2006 (B)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
INDICE
Tabla de direccionamiento .................................................................................................... 3

Documentacion de dispositivos finales .................................................................................. 4
SVR-SAV-01 ................................................................................................................................................ 5
Reglas de diagnostico ................................................................................................................................ 6
Implementando Symantec Antivirus ....................................................................................................... 13
Instalación y configuración de Symantec AntiVirus Client ....................................................................... 31
Implementación basada en Web ............................................................................................................. 37
Personalizar los archivos de implementación ..................................................................................... 45
Personalizando el archivo Files.ini .................................................................................................. 48
Personalizando el archivo start.htm ............................................................................................... 49
Client user considerations............................................................................................................... 51
Blog: http://jfherrera.wordpress.com 2
Topología de red
Tabla de direccionamiento
Default
Device Name Interface Name IP Address Subnet Mask
Gateway
SVR-DNS-DHCP-
NIC 10.10.10.60 255.255.255.192 10.10.10.62
01
SVR-SAV -01 NIC 10.10.10.125 255.255.255.192 10.10.10.126
NIC (LAN1 >
10.10.10.62 255.255.255.192 N/A
Interna)
NIC (LAN2 >
SVR-FW-01 10.10.10.126 255.255.255.192 N/A
DMZ)
NIC (Bridge >
10.10.10.130 255.255.255.252 10.10.10.129
Externa)
Winxp1 NIC (LAN1) DHCP DHCP DHCP
Documentacion de dispositivos finales
WINS High
Device
Operating Default DNS Serve Network Bandwid
Name IP Address /
System/Ver Gateway Server r Applicati th
(Purpose Suffix
sion Address Address Addre ons Applicati
)
ss ons
SVR- N/A N/A
DNS- Windows
10.10.10.60 10.10.10 DNS
DHCP-01 Server 2003 10.10.10.62
/26 .60 DHCP
(DNS/DH SP2
CP)
Windows N/A N/A
SVR-SAV- 10.10.10.12 10.10.10.12
Server 2003 8.8.8.8 SAV
01 (SAV) 5/26 6
SP2
10.10.10.62 N/A 10.10.10 N/A ISA Sever N/A
/26 .60 2006
SVR-FW- Windows
10.10.10.12 N/A 10.10.10 N/A N/A N/A
01 (ISA Server 2003
6/26 .60
Server) SP2
10.10.10.13 10.10.10.12 8.8.8.8 N/A N/A N/A
0/30 9/30 8.8.4.4
SVR-SAV-01
Continuamos con la documentación y vamos a agregar el servidor SVR-SAV-01 en la DMZ, este

será un servidor que almacenara las actualizaciones del Antivirus Symantec, con el objetivo de
optimizar el ancho de banda.
En esta captura observamos que el servidor svr-sav-01 pertenece a la DMZ cuyo segmento IP es
10.10.10.64/26.
Reglas de diagnostico
En esta sección veremos cómo crear las reglas que nos permitirá realizar diagnostico de red como
el Ping.
La regla resaltada en azul nos permite el ping desde Internal hacia Perimeter y External.
Igualmente debemos analizar que se modifico la regla de DNS ya que la red Perimeter realizara las
consultas DNS hacia internet, estas se deben permitir. También se agrego la regla llamada
Allow_Ping_DMZ, la cual permite el pin desde la Perimeter hacia External (Internet).
Prueba de pings
En esta captura observamos que el host (10.10.10.1/26) realiza una solicitud de ping hacia los
hosts 8.8.8.8 y 10.10.10.125/26 (svr-sav-01), obteniendo respuesta satisfactoria.
En la captura se observa que al realizar el ping desde el host 10.10.10.125/26 hacia 8.8.8.8 genera
un Request time out.
Dicha respuesta se obtiene ya que al configurar la plantilla 3-Log Perimeter se crean varias reglas
de red que causan dicho comportamiento, observemos la regla de red llamada Perimeter Access.
Dicha regla se crea para enrutar el trafico de la DMZ hacia internet, esta configuración existe ya
que se asume que agregaremos direccionamiento publico a la DMZ, como este no es nuestro caso
porque utilizaremos el segmento 10.10.10.64/26 para la DMZ entonces realizaremos algunas
modificaciones en la pestaña Networks Rules de la sección Networks.
Observemos la regla Perimeter Configuration resaltada en azul, esta regla establece que si la red
interna (entre otras redes) requieren acceso a la red Perimeter el ISA debe realizar un NAT
(Traducción de direcciones de red), dicha traducción la realizara sobre la dirección IP que este
asignada a la interface Perimeter (NIC > LAN2 > 10.10.10.126/26) con el objetivo de ocultar el
direccionamiento real de la red Internal (LAN1).
Para comprobar realizamos un ping desde 10.10.10.60 (Servidor DNS) hacia una estación con la
dirección IP de host 10.10.10.100. Podemos ratificar que el origen de dicha solicitud es
10.10.10.126 (NAT realizada por ISA).
Como para nuestro entorno no utilizaremos direccionamiento público en la DMZ eliminamos dos
reglas llamadas Perimeter Configuracion y Perimeter Access.
Si probamos nuevamente el ping observamos que ya es exitoso y las consultas de DNS igualmente.
A continuación agregamos una regla llamada Allow_Windows_Update, la cual permitirá las

actualizaciones desde Windows Update. La regla se aplico a el origen Internal y Perimeter, es
destino fue una asignación de nombres de dominio que es creada por default al momento de
instalar el ISA Server llamada Microsoft Update Domain Name Set, que se encuentra en la carpeta
Domain Name Set de la sección Network Objects, lo único que se agrego a dicha lista fue
update.microsoft.com/*.
Implementando Symantec Antivirus
En esta sección veremos cómo implementar Symantec Antivirus Server y Symantec System Center,
los cuales nos permitirán la centralización de las actualizaciones para los clientes Symantec
Antivirus.
Anexo links de los manuales utilizados:
http://www.symantec.com/docs/DOC2208
Iniciamos la suite de SAV.
Damos click sobre Install Symantec Antivirus > Install Symantec System Center.
Nos inicia el asistente de instalación pulsamos en Next.
Aceptamos los términos de licenciamiento y seleccionamos los componentes a instalar, AMS es

opcional, pulsamos en Next.
Seleccionamos la ruta en donde se instalara SSC, pulsamos en Next e Install.
Finalizada la instalación nos pide reiniciar, lo hacemos.
Reiniciado el servidor instalaremos el Symantec AntiVirus Server, nuevamente levantamos el

asistente de instalación de Symantec AntiVirus y seleccionamos Install Symantec AntiVirus > Install
Symantec AntiVirus Server.
Seleccionamos Install Syantec AntiVirus server y pulsamos en Next.
Aceptaos los términos de licencia, Seleccionamos las opciones Server program y Reporting Agent
pulsando asi en Next.
Como podemos observar en el panel derecho nos lista el servidor SVR-SAV-01, seleccionamos el
servidor y pulsamos en el botón Add y pulsamos en Next.
Realizaremos la instalación en el directorio por default y pulsamos en Next.
En este apartado debemos especificar el nombre que tenga el grupo de servidores, y pulsamos en
Next.
Al momento de crear el nuevo grupo nos pide ingresar un nombre de usuario y clave para dicho
grupo.
Nota: Si tenemos un grupo ya creado el asistente nos cargara dicho grupo.
Seleccionamos la opción Automatic startup y pulsamos en Next.
En esta ventana nos indica que debe estar instalado el SSC, igualmente nos especifica en que
ubicación podemos ejecutarlo, pulsamos en Next.
Ahora nos presenta el progreso de la instalación.
Finalizada la instalación el programa nos indica que la firma de definición de archivos esa obsoleta
y que lleva más de 30 días sin actualizarse, finalmente pulsamos en Close y reiniciamos el servidor.
Después de reiniciado el servidor necesitamos configurara la máquina para que sea el servidor de
distribución de actualizaciones primario.
Iniciamos la SSC.
Expandimos la jerarquía de la consola y seleccionamos el grupo SAV_SERVERS creado durante la

instalación.
Damos clic derecho sobre el nombre del grupo y seleccionamos View > Symantec AntiVirus.
Nuevamente damos clic derecho sobre el nombre del grupo SAV_SERVERS y seleccionamos la
opción Unlock Server Group, ingresando las credenciales de dicho Grupo.
Desplegamos la lista y seleccionamos el servidor que será principal para el grupo, clic derecho
sobre el mismo y seleccionamos la opción Make Server a Primary Server.
Ahora que tenemos configurado a SVR-SAV-01 como servidor primario configuraremos el origen
de las definiciones de Virus, damos clic derecho sobre el servidor (SVR.SAV-01) y seleccionamos All
tasks > Symantec AntiVirus > Virus Definition Manager...
En la ventana que nos levanta seleccionamos la opción Update only the primary server of this
server group y pulsamos en Configure.
En la ventana emergente que nos inicia seleccionamos en el botón Source…
Nos aseguramos que la opción Live Update (Win32)/FTP (Netware) este seleccionada y damos clic
en Ok.
Lo siguiente será dar clic en Schedule, dicha sección nos permite configurar en qué momento se
realizaran las actualizaciones, seleccionamos la opción Daily del recuadro Frequency, igualmente a
las 7:00 AM del recuadro When.
Damos clic en Advanced y verificamos que la casilla Perform update within plus or minus: este
desactivada, presionamos en el botón OK.
Damos clic nuevamente en OK para regresar a la ventana Virus Definition Manager.
Regresando a la ventana Virus Definition Manager, debemos asegurarnos que la opción Update
virus definitions from parent server este seleccionada, y que la opción Schedule client for
automatic updates using LiveUpdate no esté seleccionada del recuadro How Clients Retrieve Virus
Definitions Updates, pulsamos en OK.
Ahora como no tenemos la definición de virus actualizada entonces lo realizamos dando clic
derecho sobre el servidor y seleccionamos All Tasks > Symantec AntiVirus > Update Virus
Definitions Now…
Observamos que ya el servidor esta actualizado correctamente la definición de virus.
Instalación y configuración de Symantec AntiVirus Client
Seleccionamos la opción Install Symantec AntiVirus, seguida de Install Symantec AntiVirus Client.
Seleccionamos Next.
Aceptamos los términos de licencia y seleccionamos la opción Complete, pulsamos en Next.
A continuación seleccionamos la opción Managed y pulsamos en Next.
Digitamos el nombre del servidor y pulsamos en el botón Find.
Encontrado el servidor pulsamos en Ok.
Nota: si se requiere pasar por un firewall para poder contactar con el servidor necesitaremos abrir
el puerto 38293 de UDP (Utilizado para Descubrir el servidor Symantec) y el puerto 2967 de TCP
(Utilizado para la Configuración y Actualización de los clientes).
Finalizada la instalación el cliente se contacta con el servidor para realizar la actualización

respectiva.
Otras configuraciones, seleccionamos All Tasks > Symantec AntiVirus > Client Administrator Only
Options…
Seleccionamos la opción Show Symantec AntiVirus icono on desktop de la pestaña General.
En la pestaña Security podemos configurar el password que se debe asignar al momento de

desinstalar el antivirus en los clientes y presionamos en el botón OK.
Igualmente en la pestaña Scans podemos definir algunas características con respecto el escaneo
para los clientes.
En SSC podemos observar los clientes que están asociados al servidor SVR-SAV-01, datos
importantes como nombre, usuario, ultima vez en la que se realizo un escaneo, dirección IP, entre
otros.
Implementación basada en Web
Requerimientos
Conocidos los requerimientos realizaremos lo siguiente.
Crear una carpeta llamada Deploy en el directorio raíz del sitio creado.
Podemos observar que el directorio raíz del sito que utilizaremos es savsite.
Lo siguiente será copiar el directorio llamado WebInst y su contenido el cual se encuentra en el CD

de Symantec Antivirus en el directorio Deploy.
Observemos la estructura de los directorios.
Lo siguiente será copiar toda la carpeta llamada WIN32, la cual se encuentra en C:\Program
Files\SAV\CLT-INST en el servidor donde se instalo Symantec Antivirus Server / Symantec System
Center. Esta carpeta se debe copiar en \Root Directory\Deploy\WebInst\webinst
Root Directory es el directorio raíz que se utilizo para el sitio web.
Debemos asegurarnos que el documento a buscar en el sitio primero sea Default.htm.
Terminada la operación la estructura de directorios debería quedar de la siguiente manera.
 Deploy\Webinst
o brnotsup.htm
o default.htm
o intro.htm
o logo.jpg
o oscheck.htm
o plnotsup.htm
o readme.htm
o start.htm
o webinst.cab
o Deploy\Webinst\Webinst
 files.ini
 [PAQUETE DE INSTALACION]
Nota: Para tener actualizado el Symantec Live Update descargamos de la pagina web
http://www.symantec.com/techsupp/home_homeoffice/products/lu/lu/files.html el LiveUpdate
3.5 y lo remplazamos por el que se encuentra en la carpeta WIN32.
A continuación debemos crear un directorio virtual en el sitio web, damos clic derecho New >
virtual Directory…
En el alias digitamos un nombre que deseemos y clic en Next.
Especificamos el directorio donde se encuentra el directorio primario llamado WebInst y damos

clic en Next.
Solo lectura damos clic en Next y finalmente en Finish.
Nota: en este apartado quiero resaltar algo, nosotros podemos hacer que el directorio WebInst
sea el directorio raíz del sitio, pero realmente esto no es una buena práctica ya que podemos
realizar y configurar diferentes tipos de implementación ya sea para instalaciones tipo cliente o
servidores. Podemos agregar más directorios virtuales como por ejemplo para implementar
servidores, un directorio virtual llamado “ServerInstall” y así sucesivamente.
Lo siguiente será dar clic derecho sobre el sitio web, seleccionamos Properties.
Seleccionamos la pestaña HTTP Headers y pulsamos en el botón MIME Types… del recuadro MIME
Types en la parte inferior.
En esta ventana agregaremos todas las extensiones de los archivos que utilizaremos para la
implementación.
Observemos la forma para agregar dichas extensiones.
Reiniciamos el sitio web pulsando en los botones del sitio web.
Personalizar los archivos de implementación

A continuación veremos unas tablas que describen los modificadores que nos permitirán
personalizar la instalación de Symantec Antivirus.
Básicamente se pueden personalizar dos archivos llamados Files.ini y Start.htm.
El archivo Files.ini se encuentra en el subdirectorio llamado webinst.
Hay dos secciones que nos interesan y las cuales se deben configurar que son [General] y [Files].
[General]
FileCount=: esta directiva define el número de archivos que se utilizaran para la implementación.
LaunchApplication= esta directiva especifica el nombre del archivo que se ejecutara en el

momento que se descarguen todos los archivos en el cliente.
InstallOptions= esta directiva especifica el modo de instalación en el cliente.
Los parámetros en el archivo Start.htm contiene información acerca del servidor Web y la
ubicación de los archivos necesarios para la instalación. Los parámetros de instalación se listan en
la siguiente tabla y estos están ubicados dentro de las etiquetas <object>.
Personalizando el archivo Files.ini
En la sección [General] agregaremos lo siguiente.
FileCount=11
LaunchApplication=setup.exe
InstallOptions= /s /v"/qb /l*v c:\install.log NETWORKTYPE=1
SERVERNAME=sav01 INSTALLDIR=C:\SAV10C"
En la sección [Files] agregaremos lo siguiente.
File1=WIN32/0x0409.ini
File2=WIN32/Data1.cab
File3=WIN32/GRC.DAT
File4=WIN32/LUSETUP.EXE
File5=WIN32/instmsiw.exe
File6=WIN32/Setup.exe
File7=WIN32/Setup.ini
File8=WIN32/Symantec AntiVirus.msi
File9=WIN32/VDefHub.zip
File10=WIN32/vpremote.dat
File11=WIN32/VPREMOTE.exe
Personalizando el archivo start.htm
Nota: el valor sace.dominio.local se agrega ya que se creó un alias para el servidor donde se
encuentra el servidor web en el que se realizara la implementación, ClientInstall es el nombre que
se creó en el campo Alias al momento de crear el directorio virtual.
Implementando Symantec Antivirus en los clientes.
Para realizar la instalación en los clientes debemos iniciar el navegador Internet Explorer versión 6
o superior, y en la barra de direcciones ingresamos lo siguiente:
http://sace.dominio.loca/clientinstall
Si se presentan problemas con la descarga verifica que los permisos esten correctamente sobre los
archivos.
Client user considerations
 To download the client installation program, users must have Internet Explorer 5.5 SP2 or
later on their computers. The Internet Explorer security level for the local intranet must be
set to Medium so that Symantec ActiveX controls can be downloaded to the client. When
the installation is complete, the security level can be restored to its original setting.
 Ensure that the users have the necessary rights for the products that they are installing.
For example, to install the Symantec AntiVirus Corporate Edition 9.x client, users who are
installing to Windows NT/2000/XP must be logged on with local administrator rights.
Thanks,
Good Luck! Jhon Fredy Herrera

Isa 1 2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Isa 1 2

Transféré par

Droits d'auteur :

Formats disponibles

Seguridad en la

Tabla de direccionamiento .................................................................................................... 3

Documentacion de dispositivos finales

Continuamos con la documentación y vamos a agregar el servidor SVR-SAV-01 en la DMZ, este

A continuación agregamos una regla llamada Allow_Windows_Update, la cual permitirá las

Implementando Symantec Antivirus

Anexo links de los manuales utilizados:

Iniciamos la suite de SAV.

Nos inicia el asistente de instalación pulsamos en Next.

Aceptamos los términos de licenciamiento y seleccionamos los componentes a instalar, AMS es

Seleccionamos la ruta en donde se instalara SSC, pulsamos en Next e Install.

Finalizada la instalación nos pide reiniciar, lo hacemos.

Reiniciado el servidor instalaremos el Symantec AntiVirus Server, nuevamente levantamos el

Seleccionamos Install Syantec AntiVirus server y pulsamos en Next.

Realizaremos la instalación en el directorio por default y pulsamos en Next.

Nota: Si tenemos un grupo ya creado el asistente nos cargara dicho grupo.

Seleccionamos la opción Automatic startup y pulsamos en Next.

Ahora nos presenta el progreso de la instalación.

Expandimos la jerarquía de la consola y seleccionamos el grupo SAV_SERVERS creado durante la

En la ventana emergente que nos inicia seleccionamos en el botón Source…

Damos clic nuevamente en OK para regresar a la ventana Virus Definition Manager.

Observamos que ya el servidor esta actualizado correctamente la definición de virus.

Instalación y configuración de Symantec AntiVirus Client

Aceptamos los términos de licencia y seleccionamos la opción Complete, pulsamos en Next.

A continuación seleccionamos la opción Managed y pulsamos en Next.

Digitamos el nombre del servidor y pulsamos en el botón Find.

Encontrado el servidor pulsamos en Ok.

Finalizada la instalación el cliente se contacta con el servidor para realizar la actualización

Seleccionamos la opción Show Symantec AntiVirus icono on desktop de la pestaña General.

En la pestaña Security podemos configurar el password que se debe asignar al momento de

Implementación basada en Web

Conocidos los requerimientos realizaremos lo siguiente.

Lo siguiente será copiar el directorio llamado WebInst y su contenido el cual se encuentra en el CD

Observemos la estructura de los directorios.

Root Directory es el directorio raíz que se utilizo para el sitio web.

Debemos asegurarnos que el documento a buscar en el sitio primero sea Default.htm.

Terminada la operación la estructura de directorios debería quedar de la siguiente manera.

En el alias digitamos un nombre que deseemos y clic en Next.

Especificamos el directorio donde se encuentra el directorio primario llamado WebInst y damos

Solo lectura damos clic en Next y finalmente en Finish.

Observemos la forma para agregar dichas extensiones.

Reiniciamos el sitio web pulsando en los botones del sitio web.

Personalizar los archivos de implementación

Básicamente se pueden personalizar dos archivos llamados Files.ini y Start.htm.

El archivo Files.ini se encuentra en el subdirectorio llamado webinst.

LaunchApplication= esta directiva especifica el nombre del archivo que se ejecutara en el

InstallOptions= esta directiva especifica el modo de instalación en el cliente.

Personalizando el archivo Files.ini

En la sección [General] agregaremos lo siguiente.

En la sección [Files] agregaremos lo siguiente.

Personalizando el archivo start.htm

Implementando Symantec Antivirus en los clientes.

Client user considerations

Vous aimerez peut-être aussi