Implementacion Isa Server 2006

Transcript

Implementación de Firewall y Proxy en Windows server 2006 Jonathan Ramírez Osorio Esteban Calle Pérez Jeison Fernández Ibarra JoséArley Bran Jonhatan Alejandro Isaza Juan Sebastián Castro Grupo: SHURF Tutor: Fernando Quintero Tutor: Juan Camilo López Administración de Redes y Computadores SENA Centro de Servicios y Gestión Empresarial 2010 Página 1 Índice Introducción Objetivos Implementación de un FIREWALL Implementación de un Proxy Conclusiones . 3 .4 . 5 Página 2 INTRODUCCIÓN A continuación se va a explicar cómo es el funcionamiento de un Firewall y un proxy y lo importante que es para las empresas implementar una solución de seguridad basada en ISA server 2006. Página 3 Objetivos Mostar como es la implementación de un Firewall y un proxy por medio de la aplicación ISA server 2003. Dar a conocer la importancia que tiene para la seguridad de las empresas implementar un Firewall y un proxy. Página 4 Implementación de un FIREWALL ¿Qué es un Firewall? Un firewall o también llamado cortafuegos es un software el cual es el encargado de bloquear o permitir el acceso a los usuarios, los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos, se utilizan con frecuencia para e vitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. ISA server 2003 ISA Server es un Gateway integrado de seguridadperimetral que protege su entorno de IT frente aamenazas basadas en Internet y permite a los usuariosun acceso remoto rápido y seguro a las aplicaciones ylos datos . Características: y y Publicación segura de aplicaciones Acceso remoto seguro a las aplicaciones, datos y documentos desde cualquier ordenador o dispositivo. Pre-autentica al usuario antes de que tenga acceso a cualquier servidor, autenticación avanzada (smartcards). Capacidad para generar logs y emisión de reportes, de esta manera los intrusos son más fáciles de detectar. Gateway de interconexión para redes locales. Protección del acceso a Internet. y y y y Página 5 Página 6 2. Configuración de las tarjetas de red Agregamos en la maquina virtual donde vallamos a instalar el ISA server 2003 le instalamos tres tarjetas de red como se muestra a continuación Eth0 - red externa - Bridged Eth1 - red DMZ - Custom Vmnet3 Eth2 - red interna- Custom Vmnet3 si tienes virtual Box los colocas la externa en modo puente, la DMZ y la interna en modo interno y escoges un nombre para tu red interna Seleccionamos Network Adapter Adaptador de red y le damos Next. Esta opción nos permite escoger en qué modo queremos que quede las interfaces de red y las configuramos como explique en el punto anterior. Página 7 Y repetimos este mismo paso hasta tener las 3 interfaces configuradas. La configuración de la tarjeta de red de internet debe ser especial como se muestra a continuación. En esta tarjeta de red deshabilitamos la opción Clientes para redes Microsoft y compartir impresoras y archivos para redes Microsoft, ya que esta interface va a estar pegada a la red externa. Página 8 Y deshabilitamos el NetBIOS sobre TCP/IP Las otras interfaces se dejan con su configuración por defecto. 3. Actualización de Microsoft Windows server 2003 Abrimos el internetExplorer-->herramientas-->Windows Update Esperamos a que cargue la página de Microsoft y descargamos las actualizaciones. Después de descargar las actualizaciones nos aparecerá el siguiente cuadro que el asistente para la instalación del service pack 2 y damos clic en siguiente. Página 9 Aceptamos la licencia de instalación del service pack 2 y le damos siguiente. En este cuadro de dialogo, nos muestra la ruta donde quedaran guardados los archivos del SP2 después de instalados, si queremos lo dejamos por defecto, de lo contrario le podemos cambiar la ruta y especificarle la que nosotros queramos. Esperamos a que compruebe todo el sistema y en esta parte también se comprueba de que el serial del Windows server 2003 sea válida de lo contrario no les va permitir la actualización. Página 10 Terminada la actualización damos clic en finalizar. 4. Instalación de ISA server 2003 Descargamos el software desde la página oficial de Windows el cual nos deja utilizar por 180 Días. http://www.microsoft.com/downloads/details.aspx?familyid=84504cad -893b-4212-9ab2999ad1d8fe68&displaylang=es&Hash=ODLJiWmcFsEXPxvOdPC1gstrCQweGgVA%2bqFg8aXyeI%2bq%2b3GRi9Kd5 hEBJMX7kN29aJPMWbWP4HwAd%2fB%2bV06YgQ%3d%3d Ejecutamos el instalador y nos abre esta pantalla en la cual vamos a seleccionar instalar ISA server 2006 Página 11 Esperamos a que se preparen los componentes principales para continuar con la instalación. Empezamos con la instalación damos clic en siguiente. Aceptamos la licencia del ISA server 2003 y le damos siguiente. Página 12 En es opc n coloc os el nombre de usuario, la organización y el número de serie del produc o y le damos siguiente © ¨¥ §¦ ¤ ¥ Escogemos la opción de instalación típica para que instale las características principales, si escogemos personalizada nos la opción de ver lo que se va instalar y le damos siguiente © P i 13 £¢ ¡   ¤ Ahora lo que vamos hacer es escoger el adaptador de nuestra red interna. Seleccionamos el adaptador que en nuestro caso se llama LAN y el automáticamente nos coloca el direccionamiento desde la primera dirección hasta la última. Página 14 Para que haya una mayor seguridad en el firewall es recomendable que todos los firewall de los equipos de los clientes estén actualizados, si tenemos firewall de equipos con versiones viejas de Windows es recomendable activar esta opción permitir conexiones de clientes firewall sin usar cifrado. Y damos siguiente. Esta opción nos dice que estos servicios se van a reiniciar y cuales se van a deshabilitar durante la instalación. Página 15 Ahora vamos a continuar con la instalación para ello damos clic en instalar. Esperamos a que termine la instalación del Isa server 2006. Terminada la instalación el ISA server 2006 nos instala 2 aplicaciones Administración del servidor ISA y el monitor de rendimiento del servidor ISA. Página 16 Esta aplicación del monitor de rendimiento del servidor ISA nos sirve para ver cuántas conexiones se están haciendo, que conexiones están activas cuantas han sido rechazadas entre muchas otras. La aplicación de Administración del servidor ISA es donde vamos a configurar las reglas del servidor de firewall. Ahora lo que vamos hacer es agregar la red de la DMZ. Vamos a la opción de configuración y damos clic derecho en Redes>nuevo>Red Página 17 Nos abre este asistente en el cual vamos a colocar el nombre de la red que es DMZ, y le damos siguiente. Escogemos que tipo de red es en nuestro caso es una Red perimetral, la seleccionamos y le damos siguiente. Damos clic en Agregar nuevo adaptador. Página 18 Y seleccionamos el adaptador de red que escogimos para la DMZ y le damos aceptar. El nos coloca el direccionamiento automáticamente, y le damos siguiente para continuar. Este es resumen del asistente para la nueva red y nos da el nombre de la red el tipo y el direccionamiento que va a llevar. Y le damos finalizar. Página 19 Ahora vamos a empezar a configurar las Reglas del firewall. Ahora vamos a crear nuestra primera regla de acceso para permitir la navegación desde la LAN hacia internet. Ahora colocamos un nombre el cual va a identificar la regla que estamos configurando. En esta opción vamos a escoger permitimos o denegamos en nuestro caso seleccionamos permitir y le damos siguiente. Página 20 Ahora lo que vamos hacer es agregar el protocolo que vamos a permitir en este caso vamos a permitir que el servidor DNS Y damos clic en aceptar y después en cerrar. Y damos siguiente. Página 21 Ahora vamos a escoger cual va hacer el origen de la regla de acceso, le damos clic en agregar. Damos clic en nuevo y seleccionamos equipo. La selección de la regla la podemos crear partir de una red, desde un host especifico. O desde un rango IP determinado en nuestro caso como tenemos un servidor DNS vamos a permitir que ese servidor DNS pueda tener acceso a al externa Página 22 Ahora colocamos el nombre del servidor y automáticamente nos muestra la dirección IP, Y damos clic en aceptar. Y volvemos a dar clic en aceptar. Página 23 todos los equipos que agreguemos se muestran en la carpeta equipos Damos clic en aceptar y después en cerrar. El origen es donde esta el servidor DNS ya que es el que nos va resolver los nombres desde la interna hacia la externa, y le damos siguiente. Ahora vamos a escoger el destino para ello damos clic en agregar. Página 24 Vamos a redes y seleccionamos la red externa y damos clic en aceptar y después en cerrar. Damos clic en siguiente. Esta opción nos va permitir si la regla aplica a todos los usuarios o solo a personal autorizado. Página 25 esto nos sirve al momento que vamos a denegar la navegación y solo se lo vamos a permitir a los encargados o los administradores . Damos clic en siguiente. Esta pantalla nos muestra el resumen de la regla y de cómo va a quedar aplicada y nos dice que todo el trafico DNS de origen DX-DC-01 nombre del servidor conjunto de usuarios aceptados que son todos hacia la red externa que la permita, y damos clic en finalizar para la creación de la regla. Nota: Después de la creación de cada regla es indispensable que apliques los cambios porque si no los aplicasaunque tengas las reglas creadas no va a servir . Después de aplicada la regla damos clic en aceptar. Página 26 Lo que vamos hacer ahora es configurar en el servidor DNS los reenviadores en mi caso yo utilice los reenviadores de OPENDNS. Al momento de hacer la prueba del DNS nos saco error porque no se había aplicado las reglas por eso es muy importante aplicar los cambios por cada regla que se hace . Página 27 Ahora hacemos las prueba con nslookup y haciendo ping como se muestra en la imagen. Ahora vamos a permitir la navegación a todos los usuarios Para ello vamos a las directivas de seguridad le damos clic derecho>nuevo>regla de acceso Le damos el nombre que va a distinguir o identificar nuestra regla y le damos siguiente. Página 28 Ahora le damos clic en permitir y damos clic en siguiente. Ahora vamos a escoger los protocolos para la navegación. Escogemos los protocolos HTTP,HTTPS y FTP damos aceptar después damos clic en cerrar. Página 29 Después de seleccionados los protocolos damos clic en siguiente. Ahora escogemos el origen de la regla que va hacer la interna, damos clic en agregar. Seleccionamos la red Interna y damos clic en aceptar y después en cerrar. Página 30 Damos clic en siguiente. Ahora escogemos los orígenes de destino que es la externa, damos clic en agregar. Ahora escogemos la red externa y le damos aceptar y después clic en cerrar. Página 31 Damos clic en siguiente. Esta opción nos va permitir si la regla aplica a todos los usuarios o solo a personal autorizado. Este es el resumen de la regla que se configuro damos clic en finalizar. Página 32 Damos clic en aplicar. Después de aplicada la regla damos clic en aceptar. Nota: para las otras redes tato la DMZ y el server Firewall repetimos los mismos pasos Comprobamos y como vemos ya hay navegación en la red interna Probamos la pagina web interna y como vemos la regla esta bien configurada. Página 33 El servidor FTP podemos ver como responde a nuestra solicitud. Vamos permitir el DHCP en todas las redes Para ello vamos a Directiva de seguridad>clic derecho>Nuevo>regla de acceso. Página 34 Le colocamos el nombre a la regla y le damos siguiente. Damos clic en agregar. Seleccionamos los protocolos del DHCP de petición y respuesta y damos clic en agregar y después clic en cerrar. Página 35 Seleccionados los protocolos vamos a dar clic en siguiente. Damos clic en agregar a para seleccionar el origen. Seleccionamos la red externa la cual nos va a dar internet a la interface de la externa del servidor de ISA server 2006. Ahora escogemos el destino y damos clic en agregar. Página 36 Escogemos en la carpeta redes Host local que es la maquina local y demos clic en agregar y después en cerrar. Nos muestra el resumen de la regla. para darle DHCP a las otras redes repetimos los mismos pasos anteriores lo único que cambia es el origen y el destino Página 37 Implementación de un proxy. Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en lugar de otro ordenador. Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo. Cuando navegamos a través de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es éste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud. Empezamos dando clic en configuración cache>clic derecho propiedades. Ahora escogemos el tamaño de la cache en nuestro caso escogimos 100 MB y damos clic e n Establecer. Página 38 Aplicamos los cambios y después damos clic en aceptar. Ahora vamos a redes y escogemos la regla que le da acceso a internet al servidor y damos clic derecho>propiedades. Vamos a la pestaña de Proxy cache y colocamos el puerto por defecto del proxy que es el 3128 y damos clic en aceptar. Página 39 Damos clic en aplicar y después de que apliquen todos los cambios le damos aceptar. Ahora vamos a directivas de firewall y donde tenemos las reglas de navegación damos clic derecho>configurar HTTP. Vamos a la pestaña de extensiones la cual nos permite denegar que aplicaciones o que extensiones de aplicaciones pueden descargar en la red, damos clic en agregar. Página 40 Ahora escogemos que extensiones queremos permitir o bloquear. Y damos clic en aceptar. Nos dirigimos a Directiva de FIREWALL a la regla de conjunto de direcciones URL>damos clic derecho>nuevo conjunto de direcciones URL. En esta opción colocamos el nombre del conjunto>damos clic en agregar>y colocamos las dirección que queremos denegar y damos clic en aceptar. Página 41 Ahora vamos a redes Encadenamiento de web>damos clic derecho propiedades. Escogemos la opción Redirigiéndolas a un servidor especificado que procede en la cadena>damos clic en configuración. Colocamos la dirección del servidor principal de proxy y el puerto y damos clic en aceptar. Página 42 NOTA: Según la configuración del Proxy, esta denegado la descarga de archivos mp3 y la vista en tamaño completo de imágenes .jpg , y dependiendo del usuario están denegadas o permitidas las direcciones URL especificadas. Página 43 Conclusiones  Se logró hacer una buena implementación debido a la documentación tan completa que se encontró en internet.  Hubieron varios problemas los cuales con dedicación se lograron arreglar.  Se obtuvo conocimiento con la herramienta ISA server 2006. Página 44