2. 2
ISA SERVER
Es un firewall de stateful packet inspection (analiza el
encabezado de los paquetes IP) y de application layer
(analiza la trama de datos en busca de tráfico sospechoso)
También es un firewall de red, VPN y web cache.
ISA Server 2006 es la última versión, manteniendo
siempre el esquema de ediciones estándar y enterprise, y
los appliances de distintos fabricantes de hardware.
3. 3
ISA SERVER
A partir de febrero de 2007, Microsoft liberó una
edición especial de ISA Server llamada Intelligent
Application Gateway 2007.
IAG 2007 es un servicio de VPN por medio de SSL,
además de incorporar políticas de seguridad como zonas
de cuarentena, chequeos de seguridad en las conexiones
entrantes, y definición de perfiles de uso de las
aplicaciones publicadas.
IAG 2007 es el producto de la adquisición que realizó
Microsoft de la empresa Whale Communications en Junio
de 2006. Microsoft IAG 2007 solamente está disponible
por medio de appliances.
4. 4
VERSIONES ISA SERVER
Proxy Server 1.01996
Proxy Server 2.01999
ISA Server 20002000
ISA Server 20042004
ISA Server 2006 (liberado el 6/9/2006)2006
Intelligent Application Gateway 2007 (liberado en
Febrero de 2007)
2007
5. 5
LICENCIAS DEL PRODUCTO
ISA Server 2006 Ediciones Estándar y Enterprise
requieren el sistema operativo Microsoft Windows Server
2003 con Service Pack 1 (SP1) o Microsoft Windows
Server 2003 R2.
Microsoft Windows
Server 2003
El paquete de licencias para 25 procesadores de ISA
Server 2006 Enterprise se ofrece con un descuento del
50% para clientes que necesitan ISA Server en
escenarios de grandes despliegues, como son las redes de
oficinas.
ISA Server 2006
Ed. Enterprise,
paquete de 25
procesadores
Diseñado para grandes organizaciones que necesitan
opciones de instalación flexibles con los máximos niveles
de disponibilidad, escalabilidad y capacidad de gestión.
ISA Server 2006
Ed. Enterprise
Gateway perimetral integrado que protege el entorno de
IT frente a amenazas basadas en Internet y ofrece a los
usuarios remotos un acceso rápido y seguro a las
aplicaciones y datos
ISA Server 2006
Ed. Estándar
6. 6
PUBLICACIÓN SEGURA DE
APLICACIONES
La publicación segura de aplicaciones con ISA Server
2006 permite el acceso de forma protegida a
aplicaciones Exchange, SharePoint y otros servidores de
aplicaciones Web. Los usuarios remotos pueden acceder
a ellas desde fuera de la red corporativa con el mismo
nivel de seguridad y privacidad que desde dentro.
7. 7
PUBLICACIÓN SEGURA DE
APLICACIONES
Bridging basado en SSLBloqueo para ataques con paquetes
cifrados
Integración de cuarentena para VPNsProtección frente a ataques desde sistemas
externos
Administración de certificados mejoradaUna gestión más sencilla de SSL
Soporte para LDAPIntegración flexible con el Active Directory
Balanceo de carga para la publicación WebPublicar un número elevado de servidores
Logon único (SSO, Single Sign-on), y traducción
automática de enlace
Experiencias de usuario transparentes
Autenticación multifactorial mejorada (con
soporte para tarjetas inteligentes, RADIUS
OTP), y delegación (NTLM, Kerberos)
Control riguroso de la identidad
Autenticación basada en formularios Web
personalizable
Acceso seguro para cualquier aplicación Web y
desde cualquier dispositivo de cliente
Herramientas para la publicación automática de
Exchange y SharePoint
Publicación rápida de correo electrónico y
otros contenidos
ISA Server 2006 le ofreceSu organización necesita…
8. 8
GATEWAY PARA REDES DE
OFICINAS
ISA Server 2006 puede utilizarse como Gateway para
redes de oficinas. Permite conectar y proteger los
enlaces entre oficinas remotas y departamentos
centrales y optimizar el uso del ancho de banda.
9. 9
GATEWAY PARA REDES DE
OFICINA
Herramientas de gestión sencillas y fáciles
de aprender y utilizar.
Gestión rápida y sencilla de políticas complejas
SDK Flexible para crear complementos de
protección, como filtros antivirus y Web
Adaptabilidad ante cambios en las modalidades de
amenaza
Inspección de contenidos multinivel y en
profundidad.
Detección de ataques sofisticados
Integración con Microsoft Operations
Manager (MOM) 2005
Control e informes de actividad de los gateways
remotos
Sistema de alertas, condiciones de disparo y
respuestas completo y totalmente
automatizado
Detección de ataques más rápida
Registro y control del consumo de memoria y
peticiones DNS pendientes.
Medidas de mitigación del impacto en caso de
ataque.
Mayor resistencia ante ataques de gusanosProtección contra gusanos que se propagan
internamente
Mayor resistencia a ataques por inundación.Mínima exposición a ataques externos de
Denegación de Servicio (DoS) y DDOS
ISA Server 2006 le ofreceSu organización necesita…
10. 10
PROTECCIÓN DEL ACCESO
A LA WEB
La protección del acceso a la Web que proporciona ISA
Server 2006 aumenta la seguridad a los entornos de IT
corporativos frente a amenazas internas y externas
basadas en Internet.
11. 11
PROTECCIÓN DEL ACCESO
A LA WEB
Arquitectura multirred con plantillas de
administración de redes.
Aprovechar al máximo la infraestructura
existente
Funcionalidades de gestión central y remotaGestión centralizado y seguro de las
oficinas remotas
Cache distribuido jerárquicamente cache
para contenidos Web
Acceso rápido con enlaces de ancho de
banda mínimo
Soporte para DiffServUna mejor gestión de prioridades del
tráfico de red
Propagación más rápida de políticas y
optimización de conexiones de escaso ancho
de banda
Reducir los costes de soporte de las
infraestructuras remotas
Compresión y cache de HTTPUso eficiente de un ancho de banda
limitado
Cache basada en BITS para la distribución de
actualizaciones de software
Actualización rápida de los sistemas de las
oficinas remotas
Herramientas automatizadas y soporte para
instalaciones desatendidas
Configuración sencilla de las conexiones
de oficinas remotas
ISA Server 2006 le ofreceSu organización necesita…
12. 12
CONFIGURACIÓN MÍNIMA
PARA ISA SERVER 2006
Adaptador de red para la conexión a la red interna.
Otro adaptador de red adicional, modem o adaptador
RDSI para cada una de las redes a las que se conecta el
equipo. Otra tarjeta de red adicional para
comunicaciones internas si el servidor pertenece a un
array con balanceo de carga (NLB) de ISA Server
2006 Enterprise Edition.
Adaptador de
red
Partición en disco duro local con formato NTFS con
150 Mb de espacio de disco disponible; puede
necesitarse más espacio para cache Web
Disco duro
Se recomienda 512 megabytes (MB) de RAM o másMemoria
ISA Server 2004 Microsoft Windows Server 2003 con
Service Pack 1 (SP1) o Microsoft Windows Server
2003 R2.
Sistema
Operativo
PC con procesador Pentium III a 733 MHz o superior.Procesador
13. 13
Paso 1. Instalar la versión de Windows Server 2003 Enterprise en
Castellano que os proporcionará el profesor. Se trata de una versión
con licencia correcta bajada del MSDN. Durante el proceso de
instalación poner como nombre del equipo el vuestro propio.
Paso 2. Para utilizar las ediciones Estándar o Enterprise de ISA
Server 2006 es necesario instalar el paquete SP1 de Windows
Server 2003 Enterprise que también os proporcionará el profesor.
Copiar el paquete en el escritorio y realizar la instalación.
Paso 3. Copiar en el escritorio el programa ISA Server. Realizar la
instalación.
Paso 4. Arrancar ISA Server y desplegar las opciones de
administración para realizar una captura (recuerda que la máquina
Windows Server ha de tener tu nombre).
Paso 5. Ir a la opción de “Directiva de Firewall”. ¿Que se observa?
¿Qué regla hay y que crees que hace realmente?
PRACTICA 12. CONFIGURACIÓN
DEL ISA SERVER 2006
14. 14
PRACTICA 12. CONFIGURACIÓN
DEL ISA SERVER 2006
Paso 6. Abrir un navegador (p.e. Internet Explorer) y dirigirse a la
página web de google. Indica el mensaje que se obtiene. ¿Qué código
de error http ocurre y quien lo provoca?
Paso 7. Debemos habilitar el tráfico añadiendo una nueva regla.
Hacer click botón derecho del ratón sobre “Directivas de Firewall”.
Seleccionar Nuevo/Regla de acceso. Indicar el nombre de la regla
como “Habilitar Navegación”.
Paso 8. Indicar regla de tipo Permitir.
Paso 9. En la pantalla protocolos, debemos agregar los protocolos
HTTP y HTTPS, buscándolos en protocolos comunes o en todos los
protocolos.
Paso 10. En la pantalla “Orígenes de regla de acceso”, debemos
indicar las redes que originan el tráfico que queremos permitir. Ir a
Agregar/Conjunto de redes y seleccionar “Todas las redes (y host
local)”.
15. 15
PRACTICA 12. CONFIGURACIÓN
DEL ISA SERVER 2006
Paso 11. En la pantalla “Destinos de regla de acceso”, debemos
indicar las redes que son destino del tráfico que queremos permitir.
Ir a Agregar/Conjunto de redes y seleccionar “Todas las redes (y
host local)”.
Paso 12. En la pantalla “Conjunto de usuarios”, dejaremos la opción
por defecto “Todos los usuarios” y finalizamos la regla (obtener 2
capturas, la primera de la pantalla de usuarios y la segunda con el
resumen de la regla diseñada).
Paso 13. Indica el número que el sistema aplica a la nueva regla
¿está antes o después de la regla por defecto? Aplica la regla
creada para que el sistema la incorpore a su operativa.
Paso 14. Abrir un navegador y dirigirse a la página web de google.
¿Funciona ahora?
16. 16
PRACTICA 12. CONFIGURACIÓN
DEL ISA SERVER 2006
Paso 15. Crear una regla de acceso que impide el acceso a youtube
y facebook. Sobre la opción de “Directiva de Firewall” hacer click
botón derecho del ratón y seleccionar Nuevo/Regla de acceso.
- Nombre regla: Deniega sitios.
- Denegar
- Protocolos seleccionados: HTTP y HTTPS.
- Orígenes de regla de acceso: Todas las redes (y host local)
Paso 16. En el pantalla “Destino de regla de acceso”, pulsar Agregar
y hacer click en el botón superior “Nuevo”. Seleccionar “Conjuntos
de direcciones URL”. En la nueva pantalla que obtenemos, poner el
nombre “Bloqueo de ciertas páginas”
Paso 17. Haciendo click en el botón “Agregar”, añadir URL’s de
páginas que queramos bloquear www.youtube.com y
www.facebook.com. Al acabar, hacer click en Aceptar.
17. 17
PRACTICA 12. CONFIGURACIÓN
DEL ISA SERVER 2006
Paso 18. Nuestra opción de “Bloqueo de ciertas páginas” nos
aparece en el menú de posibles destinos de regla de acceso.
Seleccionarla y pasar a la siguiente pantalla.
Paso 19. Aceptar “Todos los usuarios” y finalmente se observa el
resumen de la regla.
Paso 20. Aplicar la regla al sistema, en el mismo orden de entrada.
Paso 21. Probar que se puede ir a cualquier web, menos a las webs
bloqueadas explícitamente por ISA.
Paso 22. Bajar la última regla anteriormente definida. Sobre la
regla hacer click botón derecho del ratón y seleccionar “Bajar”.
Aplicar el cambio en la configuración del firewall.
Paso 23. Desde un navegador ir a las webs anteriormente
bloqueadas. ¿Se pueden ver? ¿Qué crees que ha pasado? ¿A que
dispositivo te recuerda este funcionamiento?