Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FIREWALLS EN WINDOWS
FIREWALLS EN WINDOWS
Primera Edicin
COMPILACIN
ING. JESS RAMN JIMNEZ ROJAS
LUIS FERNANDO FUENTES SERRANO
ING. JUAN LPEZ MORALES
LUIS ALBERTO ARELLANO FIGUEROA
Rector
Juan Ramn de la Fuente
Secretario General
Enrique del Val Blanco
Director General de Servicios De Cmputo Acadmico
Dr. Alejandro Pisanty Baruch
Directora de Cmputo para la Investigacin
Dra. Genevieve Lucet Lagriffoul
Jefe del Departamento de Seguridad en Cmputo
Lic. Juan Carlos Guel Lpez
Firewalls en Windows
Jess Ramn Jimnez Rojas
Luis Fernando Fuentes Serrano
Juan Lpez Morales
Departamento de Seguridad en Cmputo UNAM-CERT
DGSCA-UNAM
jrojas@seguridad.unam.mx
lfuentes@correo.seguridad.unam.mx,
jlopez@correo.seguridad.unam.mx
Luis Arellano Figueroa
Instituto de Ingeniera
FI-UNAM
larellanof@iingen.unam.mx
ndice
1.
1.1.
1.2.
1.3.
1.4.
2.
2.1.
3.
3.1.
3.2.
3.3.
3.4.
4.
4.1.
4.2.
5.
5.1.
5.2.
5.3.
5.4.
5.5.
5.6.
5.7.
6.
7.
7.1.
Introduccin............................................................................................................................ 2
Proteccin Avanzada.......................................................................................................... 2
Facilidad de Uso................................................................................................................. 3
Mejoras en el funcionamiento. ........................................................................................... 3
Diferencias entre ISA Server 2000 y ISA Server 2004. ..................................................... 4
Requerimientos ....................................................................................................................... 4
Escalabilidad de ISA Server............................................................................................... 5
Instalacin de ISA 2004.......................................................................................................... 6
Verificar la instalacin de ISA Server 2004..................................................................... 17
Reforzando la seguridad del Servidor ISA Server 2004................................................... 18
Instalacin del SP1 de ISA Server 2004 Edicin Estndar .............................................. 18
Verificar la instalacin del SP1 de ISA Server 2004........................................................ 22
Determinacin de la pertenencia a dominios........................................................................ 22
Consolidacin de la seguridad de la infraestructura de Windows.................................... 23
Funciones de servidor del servidor ISA ........................................................................... 24
Asignando funciones administrativas. .................................................................................. 25
Funciones y actividades.................................................................................................... 26
Permisos ........................................................................................................................... 26
Privilegios mnimos.......................................................................................................... 26
Inicio de sesin y configuracin....................................................................................... 27
Listas de control de acceso discrecional........................................................................... 27
Reduccin de la superficie de ataque ............................................................................... 27
Deshabilitar caractersticas del servidor ISA ................................................................... 28
Antes de filtrar paquetes en la red ........................................................................................ 28
Ahora s hablemos un poco de reglas ................................................................................... 29
Elementos de una regla..................................................................................................... 30
1
______________________________________________________
1. Introduccin
Internet Security and Acceleration Server (ISA) 2004 ofrece una proteccin avanzada a las organizaciones
en dos aspectos crticos. Por un lado, se trata de un firewall que filtra no slo la entrada de contenidos si no
tambin examina a nivel de aplicacin evitando de esta forma los ataques enmascarados. Y por otro lado,
realiza las funciones de proxy y servidor Web cach, con lo que se optimiza el trfico y la conexin a
Internet logrando de esta forma una navegacin ms controlada y segura.
En esta nueva versin Microsoft ha mejorado considerablemente la interfaz del producto, mucho ms fcil
de usar y rpido de implementar. Asimismo, cabe destacar su mayor capacidad administrativa con un
sistema centralizado desde el que se gestiona el contenido de la VPN (red privada virtual) y de los accesos
remotos de los usuarios.
ISA server 2004 proporciona un avanzado firewall multicapas, VPNs y solucin Web proxy y cach que
puede ser usada para crear una conexin segura entre el Internet y la red de la compaa.
Caractersticas de ISA Server 2004
A continuacin se enumerar algunas de las caractersticas de ISA Server 2004 as como algunas diferencias
importantes con la versin anterior.
1.1.
Proteccin Avanzada.
Uno de los beneficios de implementar ISA Server 2004 es que promociona una proteccin avanzada para la
red. Estas son algunas de las caractersticas incluidas:
2
______________________________________________________
Inspeccin de paquetes por capas. ISA Server 2004 opera como un firewall que examina cada
flujo de paquetes. La inspeccin incluye el filtrado de paquetes en la cual solo se examinan
determinados paquetes, filtrado de todos los paquetes en la cual se examinan todos los paquetes y
filtrado de aplicaciones en la cual se examinan las aplicaciones. Esta inspeccin multicapas ayuda
a proteger servicios como Internet Information Server (IIS), Exchange Server, SharePoint y otros
recursos de la red interna contra intrusos, virus y uso no autorizado.
Unifica el firewall y el servidor de VPN. ISA Server 2004 promociona un nico punto de
administracin para configurar acceso a la VPN de la red interna e integra la administracin y
funcionalidad del firewall y la VPN. Como servidor de VPN, ISA Server 2004 es la VPN del
punto final lo que significa que esta puede inspeccionar los paquetes de la red y habilitar la
cuarentena para VPNs.
Multi-Redes. ISA Server 2004 soporta mltiples redes y habilita la configuracin de la red y las
reglas del firewall que filtran el flujo del trfico entre todas las redes.
1.2.
Facilidad de Uso
Plantilla de red. ISA Server proporciona platillas de red que hace la implementacin de estas
algo fcil dentro de ambientes IT como departamental o divisiones de oficinas. Mltiples reglas de
Firewall pueden ser configuradas para aplicar plantillas de red.
Facilidad de uso para los clientes. Para integrar ISA Server con la infraestructura de Acive
Directory o para usar el servicio RADIUS (Remote Authentication Dial-In User Service) para
proporcionar autentificacin, en los cuales se puede hacer transparente el uso de ISA Server 2004.
Para clientes externos, ISA Server proporciona una firma nica capaz de autentificar mltiples
estndares del Internet.
1.3.
Mejoras en el funcionamiento.
ISA Server 2004 proporciona un acceso rpido y seguro para aplicaciones corporativas y datos, tal como
Microsoft Exchange Server y servidores Web internos.
3
______________________________________________________
Optimizado para el funcionamiento. ISA Server esta diseado para proporcionar un alto
funcionamiento en la infraestructura para habilitar tanto entradas como salidas de acceso a
Internet.
Funcionalidad Integrada. ISA Server proporciona una nica solucin integrada de servidor que
pone solo los servicios necesarios en la frontera de la red, incluyendo seguridad en el firewall,
VPN y cach de Web.
Escalabilidad. Con el crecimiento de la red, ISA Server soporta escalabilidad con una
arquitectura flexible de multi-red y opciones para desarrollar mltiples ISA Server, tanto en la
misma locacin de la compaa o a travs de mltiples locaciones.
Cach Web. ISA Server 2004 mejora el funcionamiento de la red y reduce el uso del ancho de
banda para acceso a Internet con cach Web, por lo que la informacin accedida de Internet con
frecuencia es almacenada en el ISA Server.
1.4.
ISA Server 2004 proporciona numerosas mejoras en la funcionalidad en comparacin con ISA Server 2000,
a continuacin se mencionan algunas de estas:
2.
Soporte de mltiples redes. ISA Server 2004 soporta mltiples redes, cada una con distintas
relaciones que la otra red. ISA Server 2000 soporta solo tres redes, la red interna definida por la
tabla de direccin local (LAT), la red externa, y la red del permetro (mejor conocida como zona
desmilitarizada DMZ). ISA Server 2004 incluye una VPN y el colocar VPNs en cuarentena. Es
posible configurar un ilimitado nmero de redes en ISA Server 2004.
VPN e integracin de cuarentena. ISA Server 2004 extiende Routing and Remote Access para
proporcionar acceso a VPNs. ISA Sever 2004 tambin agrega a esta versin la cuarentena a
VPNS, la cual puede ser usada para proporcionar acceso limitado a la red para clientes VPN hasta
que estos pasen un examen de seguridad.
Requerimientos
Requisitos mnimos
Procesador
Pentium III a 500 MHz superior (ISA Server 2004 Standard Edition admite
hasta cuatro CPU en un servidor)
Memoria
Disco duro
4
______________________________________________________
Sistema Operativo
Otros dispositivos
http://www.microsoft.com/isaserver/evaluation/sysreqs/default.mspx
Versin de evaluacin de ISA Server en:
http://www.microsoft.com/isaserver/evaluation/trial/isaevaldl.mspx
http://www.microsoft.com/isaserver/evaluation/trial/default.mspx
Adems se requiere obtener el Internet Security and Acceleration (ISA) Server 2004 Standard Edition
Service Pack 1 (SP1)
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=69c5d85c-5c80-473c-9cb460dda75d568d#filelist
2.1.
ISA Server puede ser escalable para soportar cualquier organizacin, por incremento del nivel del hardware
en ISA Servers individuales o por implementacin de mltiples ISA Servers. Los siguientes factores deben
influir en una seleccin de la configuracin del hardware:
Ancho de Banda de la conexin de Internet. ISA Server esta diseado para proporcionar una
alta transmisin de datos, incluso si cada paquete es inspeccionado en las mltiples capas. En
5
______________________________________________________
3.
Requerimientos de bitcoras. El nivel de registro de bitcoras requerido afectar los recursos del
servidor, particularmente en el espacio en disco duro. Si se tienen cientos de clientes conectados a
travs del servidor, y se tiene configurado un alto nivel de registro de bitcoras, se requerir arriba
de 10 gigabytes de disco para mantener los registros. Durante la propagacin de ataques de virus y
gusanos, el espacio requerido para los registros incrementar significativamente.
El siguiente paso consiste en instalar el software de ISA Server 2004. La instalacin es un proceso
relativamente simple, pero iremos siguiendo en detalle cada paso para asegurarnos de que se entienda
adecuadamente todo cuanto sucede.
Siga estos pasos para instalar el software de ISA Server 2004 en una mquina Windows Server 2003 con
dos tarjetas de red:
1. Introduzca el CD de ISA Server Edicin Estndar, si no tiene configurado el Autorun
haga doble clic sobre el archivo isaautorun.exe. En caso de que se haya descargado el
software de evaluacin, haga doble clic sobre el archivo ejecutable. El proceso de
instalacin mostrar la siguiente pantalla, en la cual se debe hacer clic en YES (SI).
6
______________________________________________________
7
______________________________________________________
8
______________________________________________________
9
______________________________________________________
8.
En la pgina Red Interna, de clic en el botn Agregar. El concepto de red interna
es diferente a como ISA Server 2000 utilizaba la LAT. En el caso de ISA Server 2004, la
red interna contiene servicios de red de confianza con los cuales el firewall ISA Server
2004 debe comunicarse. Por ejemplo, los controladores de dominio del Active Directory,
DNS, DHCP, clientes de servicios de terminal y otros. La Poltica de Sistema del firewall
se aplica automticamente a la red interna.
10
______________________________________________________
9.
En la pgina de configuracin de Red Interna, de clic en el botn Seleccionar
adaptador de red.
11
______________________________________________________
11. De clic en Aceptar en el cuadro de dilogo que informa de que se ha definido una red
interna basndose en la tabla de rutas de Windows.
12
______________________________________________________
13
______________________________________________________
14
______________________________________________________
15
______________________________________________________
16
______________________________________________________
3.1.
Para verificar la correcta instalacin de instalacin de ISA Server 2004 hay diversas partes que se deben de
verificar.
Verificar que los servicios de ISA Server estn instalados e iniciados. Realizando una instalacin
por omisin de ISA Server, esta crea e inicia los siguientes servicios:
o Firewall de Microsoft
o Control de Microsoft ISA Server
o Programador de trabajos de Microsoft ISA Server
o Almacenamiento de Microsoft ISA Server
Verificar que el servicio Microsoft SQL Server 2000 Desktop Engine (MSDE) este instalado e
iniciado. ISA Server instala el MSDE y agrega los siguientes servicios:
o MSSQL$MSFW Este servicio es iniciado y configurado para iniciar automticamente.
o MSSQLServerADHelper Este servicio no es iniciado y es configurado para iniciar
manualmente.
Instalando el servicio MSDE tambin crea los archivos de registro para el ISA Server. Por omisin
estos archivos de registros estn localizados en %programfiles%\Microsoft ISA Server\ISALogs
La instalacin de ISA Server crea tres archivos de registros de instalacin. Estos tres archivos
estn localizados en el directorio %windir%\temp y son nombrados ISAWRAP_###,
ISAMSDE_### y ISAFWSV_### donde ### es un nmero. El archivo ISAWRAP contiene un
resumen de la instalacin, incluyendo si la instalacin fue exitosa o no. Los otros dos archivos
proporcionan informacin detallada acerca de la instalacin de MSDE e ISA Server.
Verifica el Visor de Sucesos. Si la instalacin falla en la bitcora de aplicacin se podrn
encontrar mensajes de error que proporcionen informacin para resolver el problema. Si por el
17
______________________________________________________
3.2.
contrario la instalacin fue exitosa en el visor de sucesos se encontraran eventos de que los
servicios de ISA Server fueron iniciados con xito.
Usando la consola de administracin de ISA Server, es posible verificar las alertas de ISA Server.
Si la instalacin se completo con xito, una alerta es creada mostrando que el Servicio del Firewall
fue creado.
Un paso importante en la proteccin de servidor ISA consiste en comprobar que el equipo servidor ISA est
seguro fsicamente y que ha aplicado las recomendaciones de configuracin de seguridad bsicas, entre las
que se incluyen:
Administracin de actualizaciones
Instalacin de Services Packs.
Proteccin fsica del equipo
Determinacin de la pertenencia a dominios
Consolidacin de la seguridad de la infraestructura de Windows
Administracin de funciones y permisos
Reduccin de la superficie de ataque posible
Como prctica recomendada de seguridad, se recomienda instalar siempre las actualizaciones ms recientes
del sistema operativo, el servidor ISA y otros componentes que instala el servidor ISA: Microsoft SQL
Server 2000 Desktop Engine (MSDE) y Office Web Components 2002 (OWC). Realice las siguientes
acciones:
Obtenga las actualizaciones del sistema operativo. Busque actualizaciones en el sitio de Windows
Update.
Obtenga las actualizaciones del servidor ISA. Consulte el Centro de descarga de ISA Server 2004
en http://go.microsoft.com/fwlink/?LinkId=28791 para obtener la informacin de actualizacin
ms reciente.
Busque las actualizaciones ms recientes de Microsoft SQL Server 2000 Desktop Engine (MSDE)
y Office Web Components 2002 (OWC), en los Boletines de seguridad de Microsoft en
http://www.microsoft.com/technet/security/current.aspx.
Tambin se recomienda analizar la seguridad del sistema peridicamente mediante Microsoft Baseline
Security Analyzer (MBSA).
3.3.
El SP1 de ISA Server 2004 fue liberado el 11 de marzo de 2005 y soluciona los siguientes problemas e
incluye las siguientes revisiones (hotfix):
Artculo 884569: Los servicios ISACTRL y WSPSRV no se inician al instalar ISA Server 2004 en
un equipo de multiprocesador
Artculo 884560: No puede usar RADIUS cuando utiliza la autenticacin basada en formularios de
Outlook Web Access (OWA) en una regla de publicacin de Web
Artculo 884580: Los programas de cliente FTP de modo activo no tienen acceso a un servidor
FTP tras Internet Security and Acceleration Server 2004
18
______________________________________________________
Artculo 888422: Error de CookieAuthFilter para credenciales de inicio de sesin que incluyen
una diresis
Artculo 891510: Error en la comprobacin de CRL en publicacin de Web cuando el certificado
ROOT carece de extensin CDP
Artculo 885683: Mensaje de error "401 No autorizado" al usar el Cliente Firewall de Internet
Security and Acceleration Server 2004 para tener acceso a una pgina Web
Artculo 893171: Problemas con el Cliente Firewall de ISA Server 2004 en Windows 98
a)
d) En la pgina Asistente para la instalacin de Microsoft ISA Server 2004 Service Pack 1. De
clic en Siguiente.
e)
En la pgina Contrato de Licencia seleccione Acepto los trminos del contrato de licencia y de
clic en Actualizar.
19
______________________________________________________
f)
20
______________________________________________________
Aparecer un cuadro de dialogo donde le pedir reiniciar el sistema para aplicar los cambios. De clic
en Si
21
______________________________________________________
3.4.
1. En la pgina Web de donde se obtuvo el SP1 para ISA Server 2004 apunt la versin del SP1.
2. Abra la consola de Administracin del servidor ISA a travs de Inicio, Todos los programas,
Microsoft ISA Server y Administrador del Servidor ISA. En esta consola en la parte de AYUDA
seleccionar Acerca de Microsoft ISA Server 2004. Aparecer la siguiente ventana donde buscaremos los
datos de la versin, si los ltimos nmeros de esta ventana son iguales a los de la pgina Web, habremos
realizado una instalacin correcta del SP1 de Microsoft ISA Server 2004.
4.
En muchos casos, puede configurar el equipo servidor ISA como miembro de un dominio. Por ejemplo, si
crea una directiva que se base en la autenticacin de usuarios de dominio, el servidor ISA debe pertenecer a
un dominio.
Si el equipo servidor ISA protege la frontera de la red, se recomienda instalarlo en un bosque independiente
(en vez de hacerlo en el bosque de la red corporativa). De esta forma, se contribuye a proteger el bosque
interno, aunque se organice un ataque en el bosque del equipo servidor ISA. Para apreciar las ventajas
administrativas y de seguridad del servidor ISA como miembro de dominio, se recomienda implementar el
equipo servidor ISA en un bosque independiente con una confianza de una sola direccin al bosque
corporativo. (La confianza de una sola direccin slo se admite en dominios de Windows Server 2003.)
22
______________________________________________________
4.1.
Tal como se ha mencionado anteriormente, en esta gua se supone que ha aplicado las configuraciones
recomendadas en la Gua de seguridad de Windows Server 2003, la cual puede ser consultada en:
http://www.microsoft.com/latam/technet/seguridad/articulos/ddmmyy_guia_seguridad_windows_server_20
03.asp.
En concreto, debe aplicar la plantilla de seguridad de directiva de seguridad de lnea de base de Microsoft
en el capitulo 3 de la gua. Sin embargo, no implemente los filtros de seguridad del protocolo Internet
(IPSec) ni ninguna de las directivas de funcin de servidor.
Asimismo, debe tener en cuenta la funcionalidad del servidor ISA y proteger el sistema operativo en
consecuencia.
En la siguiente tabla se enumeran los servicios principales que se deben habilitar para que el servidor ISA y
el equipo servidor ISA funcionen correctamente.
Nombre del servicio
Sistema de sucesos COM+
Servicios de cifrado
Registro de sucesos
Servicios IPSec
Administrador de discos lgicos
Razn principal
Sistema operativo principal
Sistema operativo principal (seguridad)
Sistema operativo principal
Sistema operativo principal (seguridad)
Sistema operativo principal (administracin de
discos)
Servicio del administrador de discos Sistema operativo principal (administracin de
lgicos
discos)
Firewall de Microsoft
Requerido para el funcionamiento normal del
servidor ISA
Control de Microsoft ISA Server
Requerido para el funcionamiento normal del
servidor ISA
Programador de trabajos de Microsoft Requerido para el funcionamiento normal del
ISA Server
servidor ISA
Almacenamiento de Microsoft ISA Requerido para el funcionamiento normal del
Server
servidor ISA
MSSQL$MSFW
Requerido cuando se utiliza el registro MSDE para
el servidor ISA
Conexiones de red
Sistema operativo principal (infraestructura de red)
Proveedor de compatibilidad con
Sistema operativo principal (seguridad)
seguridad LM de Windows NT
Plug and Play
Sistema operativo principal
Almacenamiento protegido
Sistema operativo principal (seguridad)
Administrador de conexin de acceso Requerido para el funcionamiento normal del
23
______________________________________________________
Modo de inicio
Manual
Automtico
Automtico
Automtico
Automtico
Manual
Automtico
Automtico
Automtico
Automtico
Automtico
Manual
Manual
Automtico
Automtico
Manual
4.2.
Razn principal
servidor ISA
Sistema operativo principal
Modo de inicio
Automtico
Automtico
Automtico
Automtico
Manual
Manual
Automtico
Manual
Manual
Automtico
Manual
El equipo servidor ISA puede funcionar en capacidades, o funciones adicionales segn el modo en que lo
utilice. En la tabla siguiente se enumeran las funciones de servidor posibles, se describe cundo se pueden
necesitar y se enumeran los servicios que se deben activar cuando se habilita la funcin.
Funcin de servidor Escenario de uso
Servidor de
Los usuarios y grupos asignados a
enrutamiento y acceso esta funcin pueden supervisar el
remoto
equipo servidor ISA y la actividad
de red, pero no pueden configurar
la funcionalidad de supervisin
especfica.
Servidor de
Los usuarios y grupos asignados a
enrutamiento y acceso esta funcin pueden supervisar el
remoto
equipo servidor ISA y la actividad
de red, pero no pueden configurar
la funcionalidad de supervisin
especfica.
Servidor de
Los usuarios y grupos asignados a
enrutamiento y acceso esta funcin pueden supervisar el
remoto
equipo servidor ISA y la actividad
de red, pero no pueden configurar
la funcionalidad de supervisin
especfica.
Servidor de
Los usuarios y grupos asignados a
enrutamiento y acceso esta funcin pueden supervisar el
remoto
equipo servidor ISA y la actividad
de red, pero no pueden configurar
la funcionalidad de supervisin
Servicios necesarios
Enrutamiento y acceso remoto
Modo de inicio
Manual
Administrador de conexin de
acceso remoto
Manual
Telefona
Manual
Estacin de trabajo
Automtico
24
______________________________________________________
Escenario de uso
especfica.
Servidor de
Los usuarios y grupos asignados a
enrutamiento y acceso esta funcin pueden supervisar el
remoto
equipo servidor ISA y la actividad
de red, pero no pueden configurar
la funcionalidad de supervisin
especfica.
Terminal Server para Seleccione esta funcin para
administracin de
habilitar la administracin remota
escritorios remotos del equipo servidor ISA.
Terminal Server para Seleccione esta funcin para
administracin de
habilitar la administracin remota
escritorios remotos del equipo servidor ISA.
5.
Servicios necesarios
Modo de inicio
Servidor
Automtico
Servidor
Automtico
Manual
Puedes asignar funciones administrativas en el servidor ISA Server con lo cual podras distribuir la carga
de trabajo, para realizarlo siga los siguientes pasos:
a)
Haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server y, a continuacin,
haga clic en Administracin del servidor ISA.
b) En el rbol de consola de Administracin del servidor ISA, haga clic en Microsoft ISA Server
2004 y a continuacin, en el nombre_de_servidor.
c)
25
______________________________________________________
En la pgina de bienvenida del Asistente para la delegacin de administracin del servidor ISA,
haga clic en Siguiente.
e)
f)
En Grupo (recomendado) o usuario, escriba el nombre del grupo o usuario al que se asignarn
los permisos administrativos especficos.
g)
5.1.
Funciones y actividades
Cada funcin del servidor ISA tiene asociada una lista especfica de tareas del servidor ISA. En la siguiente
lista se enumeran algunas tareas de administracin del servidor ISA junto con las funciones en que se
realizan.
Actividad
Ver escritorio digital, alertas,
conectividad, sesiones, servicios
Confirmar alertas
Ver informacin de registro
Crear definiciones de alerta
Crear informes
Detener e iniciar sesiones y servicios
Ver directiva de firewall
Configurar directiva de firewall
Configurar cach
Configurar VPN
5.2.
Permisos de
Supervisin bsica
X
X
Permisos de
Permisos de
Supervisin ampliada Administrador total
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Permisos
Aplique el principio de privilegios mnimos al configurar permisos para los administradores del servidor
ISA. Determine cuidadosamente los usuarios que tienen permiso para iniciar sesin en el equipo servidor
ISA y elimine el acceso de los que no resulten fundamentales para el funcionamiento del servidor.
5.3.
Privilegios mnimos
Aplique el principio de privilegios mnimos, segn el cual un usuario tiene los privilegios mnimos
necesarios para realizar una tarea especfica. De este modo se garantiza que si la cuenta de un usuario se
pone en peligro, el efecto se minimiza por los privilegios limitados que tiene dicho usuario.
Mantenga el grupo Administradores y otros grupos de usuarios lo ms pequeos posible. Por ejemplo, un
usuario que pertenezca al grupo Administradores del equipo servidor ISA puede realizar cualquier tarea en
dicho equipo.
Tenga en cuenta que a los usuarios del grupo Administradores se les asigna implcitamente la funcin de
administrador total del servidor ISA, lo que significa que tambin tienen derechos completos para
26
______________________________________________________
5.4.
Al iniciar sesin en el equipo servidor ISA, hgalo con la cuenta con los privilegios mnimos necesarios
para realizar la tarea. Por ejemplo, para configurar una regla, debe iniciar sesin como administrador del
servidor ISA. No obstante, si slo desea ver un informe, inicie sesin con menos privilegios.
En general, utilice una cuenta con permisos restrictivos para efectuar tareas rutinarias no administrativas y
utilice una cuenta con ms permisos nicamente cuando realice tareas administrativas especficas.
5.5.
Con una nueva instalacin, las listas de control de acceso discrecional (DACL) del servidor ISA estn
configuradas correctamente. Adems, el servidor ISA vuelve a configurar las DACL de forma apropiada
cuando se modifican las funciones administrativas (para obtener ms informacin, consulte la seccin
Funciones administrativas) y cuando se reinicia el servicio Control del servidor ISA (isactrl).
Debido a que el servidor ISA vuelve a configurar peridicamente las DACL, no debe utilizar la herramienta
Configuracin y anlisis de seguridad para configurar las DACL por archivo en los objetos del servidor
ISA. De lo contrario, puede haber conflictos entre las DACL configuradas por Directiva de grupo y las
DACL que el servidor ISA intenta configurar.
No modifique las DACL configuradas por el servidor ISA. Tenga en cuenta que el servidor ISA no
configura DACL para los objetos de la siguiente lista. Debe configurar cuidadosamente las DACL para los
objetos de la siguiente lista, asignando permisos nicamente a usuarios especficos de confianza:
Asegrese de configurar cuidadosamente las DACL, concediendo permisos nicamente a usuarios y grupos
de confianza. Asimismo, asegrese de crear DACL estrictas en los objetos que el servidor ISA utiliza
indirectamente. Por ejemplo, al crear una conexin ODBC que utilizar el servidor ISA, asegrese de
mantener el nombre de origen de datos (DSN) seguro.
Configure DACL estrictas para todas las aplicaciones que se ejecutan en el equipo servidor ISA. Asegrese
de configurar DACL estrictas para los datos asociados del sistema de archivos y del Registro.
5.6.
Para proteger todava ms el equipo servidor ISA, aplique el principio de superficie de ataque reducida.
Para reducir la cantidad de superficie de ataque, siga estas directrices:
27
______________________________________________________
5.7.
Segn sus necesidades de red especficas, es posible que no precise el amplio conjunto de caractersticas
incluidas en el servidor ISA. Debe analizar cuidadosamente sus necesidades especficas y determinar si
necesita lo siguiente:
6.
Antes de comenzar a elaborar reglas de acceso en nuestra red y realizar el filtrado de paquetes en nuestra
organizacin se deben tener en cuenta muchos aspectos importantes que muchas veces se dejan al final y
retrazan todo el procedimiento de la seguridad perimetral, como por ejemplo:
Polticas de la organizacin.
Cmo est organizada la red en la dependencia?
Organizacin de usuarios.
Servicios que requiere la organizacin.
Servicios que otorga la organizacin.
Planteamiento del nuevo esquema con los directivos (apoyo de los directivos al proyecto).
28
______________________________________________________
7.
Las reglas de acceso determinan la forma en que los clientes de una red de origen tienen acceso a los
recursos de una red de destino.
El servidor ISA incluye una lista de protocolos bien conocidos, incluyendo los protocolos Internet ms
frecuentes. Igualmente, puede agregar o modificar protocolos adicionales.
29
______________________________________________________
7.1.
Un elemento de regla del servidor ISA es un objeto utilizado para precisar las reglas del servidor ISA. Por
ejemplo, un elemento de regla de subred representa a una subred dentro de una red. Puede crear una regla
que se aplique nicamente a una subred o una regla que se aplique a toda una red, excepto a la subred.
Otro ejemplo de elemento de regla es un conjunto de usuarios, que representa a un grupo de usuarios. Si
crea un conjunto de usuarios y lo utiliza en una regla del servidor ISA, puede crear una regla que slo se
aplique a ese conjunto de usuarios.
Hay cinco tipos de elementos de regla:
Protocolos. Este elemento de regla contiene los protocolos utilizados para limitar la capacidad
de aplicacin de las reglas de acceso. Por ejemplo, puede permitir o denegar el acceso a uno o
varios protocolos, en lugar de a todos ellos.
Usuarios. Con este elemento de regla, puede crear un conjunto de usuarios al que aplicar de
forma explcita una regla o al que excluir de una.
Tipos de contenido. Este elemento de regla ofrece tipos de contenido comunes a los que es
posible aplicar una regla. Tambin puede definir nuevos tipos de contenido.
Programaciones. Este elemento de regla permite indicar las horas de la semana durante las que
se aplicar la regla.
Objetos de red. Este elemento de regla permite crear conjuntos de equipos o de direcciones IPs
a los que se les puede aplicar una regla o excluir de una.
30
______________________________________________________
7.3.
Conjunto de Redes
Un elemento de regla de conjunto de redes representa a un grupo de una o varias redes. Puede utilizar este
elemento de regla para aplicar reglas a una o varias redes.
7.4.
Para controlar el acceso a Internet, el equipo servidor ISA debe actuar como puerta de enlace
predeterminada a Internet para la red que se est ajustando. De no ser as, los equipos de la red pueden
tener acceso a Internet a travs de otra puerta de enlace sin necesidad de pasar por el equipo servidor ISA.
7.5.
Debe tener en cuenta siempre el orden de las reglas al crear reglas de acceso, ya que si por ejemplo se
quiere limitar a un conjunto de usuarios y se desea permitir todo a otro conjunto, la regla que deniega el
acceso al conjunto de usuarios limitados debe preceder a la regla que permite todo a los otros usuarios. Si
esta regla aparece despus en el orden, cuando llegue una peticin de un usuario de limitado, el servidor
ISA leer primero la regla de permiso y conceder acceso a todos los sitios de Internet (es mejor decir
Niego todo y luego doy permiso a ).
31
______________________________________________________
8.
El servidor ISA es un servidor de seguridad de capa de aplicaciones, que aplica un filtro de aplicacin al
trfico HTTP. Gracias a la capacidad del servidor ISA para examinar las peticiones HTTP, pueden
bloquearse las aplicaciones canalizadas a travs de HTTP en funcin de la configuracin del filtro de
aplicacin HTTP. El filtro de aplicacin HTTP ofrece control granular de las peticiones HTTP aceptadas
por la directiva de servidor de seguridad. Puede utilizar la directiva HTTP para bloquear aplicaciones.
La directiva HTTP incluye los siguientes valores:
9.
Mtodos denegados
Publicacin de Web
Microsoft Internet Security and Acceleration (ISA) Server 2004 utiliza reglas de publicacin de Web para
solucionar problemas relacionados con la publicacin de contenido Web en Internet sin poner en peligro la
seguridad de la red interna.
Las reglas de publicacin de Web determinan la interceptacin por parte del servidor ISA de las peticiones
entrantes para los objetos HTTP (protocolo de transferencia de hipertexto) en un servidor Web interno, y la
respuesta del servidor ISA en representacin del servidor Web. Las peticiones se reenvan en direccin
descendente al servidor Web interno, que se conecta a la red a travs del equipo servidor ISA. Si es posible,
la peticin se atiende desde la cach del servidor ISA.
Se puede utilizar la funcin de publicacin para poner el contenido a disposicin de los grupos de usuarios
o de todos los usuarios, normalmente, desde un servidor de red interna o de red perimetral (conocida
tambin como DMZ, zona desmilitarizada o subred filtrada).
Las reglas de publicacin de servidor se configuran para hacer accesible el contenido mediante otros
protocolos. Con la publicacin de servidor, se puede publicar todo un servidor mediante un protocolo y
restringir el acceso a determinados equipos o redes. No puede publicar contenido HTTP con reglas de
publicacin de servidor.
La publicacin de Web ofrece control detallado del acceso al contenido. Las reglas de publicacin de Web
presentan un gran nmero de caractersticas, incluidas las siguientes:
Asignar peticiones a rutas internas especficas. Puede limitar las partes de los servidores a las
que se puede tener acceso.
32
______________________________________________________
Ofrecer protocolo de puente SSL. Puede cifrar el trfico entre el equipo servidor ISA y el
servidor Web.
9.1.
Para publicar un servidor Web en una red interna, se necesita, como mnimo,:
Un equipo que acte como equipo servidor ISA. Los equipos servidor ISA deben tener, como
mnimo, dos tarjetas de red. Una tarjeta se conectar a la red externa (que representa a Internet)
y otra se conectar a la red interna.
Un equipo externo a la red con una conexin a Internet para probar la configuracin.
Se recomienda utilizar la funcin de copia de seguridad del servidor ISA para realizar una copia de
seguridad de la configuracin antes de efectuar cualquier modificacin. Si los cambios realizados provocan
un comportamiento inesperado, puede volver a la configuracin anterior, de la que se realiz una copia de
seguridad.
Al configurar la regla para redirigir las peticiones a un sitio alojado, el servidor ISA recupera el objeto a
partir de la ruta especificada en la peticin del equipo host. Por ejemplo, imagine que especifica que el
servidor ISA redirija las peticiones de example.microsoft.com/development a un equipo host llamado Dev.
33
______________________________________________________
9.2.
Protocolo de puente
Al crear una regla de publicacin de Web, puede proteger an ms la comunicacin HTTP. Aunque la
comunicacin inicial utilice HTTP, una vez que el servidor ISA reciba la peticin, puede redirigirse la
comunicacin utilizando SSL. Si la peticin se redirige como una peticin SSL, se cifrarn los paquetes. A
esta redireccin tambin se le conoce como protocolo de puente.
Puede establecer que las peticiones HTTP o SSL se procesen como peticiones FTP (protocolo de
transferencia de archivos) en el servidor Web. Si el cliente externo solicita un objeto mediante HTTP o
SSL, el servidor ISA puede redirigir la peticin al servidor Web interno mediante FTP. Si configura el
protocolo de puente de esta forma, podr especificar el puerto que debe utilizarse al enlazar las peticiones
de FTP.
El servidor Web que precede en la cadena puede requerir un certificado de cliente. En tal caso, configure el
servidor ISA para que se autentique con un certificado de cliente especfico.
Si configura la regla de publicacin de Web para que requiera un canal seguro, todas las peticiones de
clientes para los destinos especificados deben encontrarse en el puerto indicado para las conexiones SSL.
34
______________________________________________________
Los clientes identifican los sitios Web publicados por su nombre de dominio completo (FQDN), tal y como
los public el servidor ISA. Es decir, el nombre de dominio completo del sitio Web es el nombre
configurado en la regla de publicacin de Web. Si se publican varios servidores Web con el mismo nombre
de dominio completo, el cliente supone que los dos sitios publicados son realmente el mismo. En otras
palabras, el cliente Web puede enviar la informacin destinada a un servidor Web al otro servidor Web.
9.4.
Las reglas de publicacin de Web se procesan junto con las reglas de directiva de Firewall. Se procesan en
orden, para cada peticin de Web entrante. Cuando la regla coincide con una peticin, sta se enruta y se
almacena en cach de la forma especificada. Si no coincide ninguna regla con la peticin, el servidor ISA
procesa la regla predeterminada y descarta la peticin.
9.5.
Para impedir de forma rpida y sencilla que los usuarios se descarguen archivos ejecutables usando HTTP.
Conviene advertir que la poltica HTTP no puede examinar el interior de archivos .ZIP para saber si hay
algn ejecutable de Windows dentro de l.
35
______________________________________________________
10.
Acceso de cliente Web. Permite el acceso de los clientes a servidores Microsoft Outlook Web
Access, Outlook Mobile Access o Exchange Application Services. Si selecciona esta opcin, el
servidor ISA configurar las reglas de publicacin de Web correspondientes.
Acceso de cliente. Permite que los clientes usen la llamada a procedimiento remoto (RPC), el
Protocolo de acceso de mensajes de Internet, versin 4rev1 (IMAP4), el Protocolo de oficina de
correos, versin 3 (POP3) o el Protocolo simple de transferencia de correo (SMTP) para tener
acceso al correo. Al seleccionar esta opcin, se crea una regla de publicacin de servidor para cada
protocolo seleccionado.
Comunicacin de servidor a servidor. Permite el acceso a los servidores SMTP (correo) y a los
servidores NNTP (noticias).
36
______________________________________________________
10.1.
Filtrado SMTP
El servidor ISA utiliza la publicacin de servidor para procesar las peticiones entrantes en servidores
internos como, por ejemplo, servidores FTP (puerto 21), servidores SQL (puerto alto), etc. Las peticiones
se envan seguidamente al servidor interno que se ubica detrs del equipo servidor ISA.
La funcin de publicacin de servidor permite a casi todos los equipos de la red interna publicar en
Internet. La seguridad no se pone en peligro porque todas las peticiones entrantes y respuestas salientes se
transfieren a travs del servidor ISA. Cuando un servidor se publica mediante un equipo servidor ISA, las
direcciones IP publicadas coinciden con las direcciones IP del equipo servidor ISA. Los usuarios que
solicitan objetos creen que estn estableciendo una comunicacin con el servidor ISA (al solicitar el objeto,
ellos especifican el nombre o la direccin IP de dicho servidor). No obstante, en realidad, estn solicitando
la informacin del servidor de publicacin. Esto se produce cuando la red en la que se encuentra el servidor
publicado tiene una NAT (Network Address Traslation) desde la red en la que se encuentran los clientes
que tienen acceso al servidor publicado. Al configurar una relacin de redes enrutadas, los clientes utilizan
la direccin IP real del servidor publicado para obtener acceso a l.
Las reglas de publicacin de servidor determinan el funcionamiento de la publicacin del servidor, sobre
todo, el filtrado de todas las peticiones entrantes y salientes procesadas por el equipo servidor ISA.
37
______________________________________________________
Las reglas de publicacin de servidor asignan peticiones entrantes a los servidores adecuados detrs del
equipo servidor ISA.
Estas reglas proporcionan, de un modo dinmico, el acceso de los usuarios de Internet al servidor de
publicacin que se haya especificado.
El servidor publicado es un cliente de SecureNAT. Por lo tanto, no se requiere ninguna configuracin
especial del servidor publicado tras crear la regla de publicacin de servidor en el servidor ISA. Observe
que el servidor ISA debe configurarse como el Gateway predeterminado en el servidor publicado.
10.2.
El servidor ISA lleva a cabo los siguientes pasos durante la publicacin del servidor:
1.
2.
3.
Un equipo cliente de Internet solicita un objeto desde una direccin IP que corresponde a la del
servidor de publicacin. La direccin IP est asociada en realidad al equipo servidor ISA. Se trata
de la direccin IP de la tarjeta de red externa perteneciente al equipo servidor ISA.
El equipo servidor ISA procesa la peticin, asignando la direccin IP a una direccin IP interna de
un servidor interno.
El servidor interno devuelve el objeto al equipo servidor ISA, y ste lo transfiere al cliente que lo
solicit.
10.3.
En la mayora de los casos, puede utilizar una regla de acceso, en lugar de una regla de publicacin de
servidor, para poner el servidor a disposicin de los clientes. A continuacin se describen algunos puntos
que debe tener en cuenta:
Debe utilizar una regla de publicacin de servidor cuando exista una relacin de redes NAT entre
la red del servidor publicado y la red del cliente.
Una regla de publicacin de servidor slo puede publicar un nico servidor identificado. Para
publicar varios servidores, son necesarias varias reglas.
Con las reglas de publicacin de servidor, puede configurar las opciones para sobrescribir puertos.
10.4.
El servidor ISA no traduce la direccin IP de los servidores DNS. Para publicar un servidor DNS, configure
una relacin de redes enrutadas entre la red de host local y la red que incluye el servidor DNS. Asimismo,
el servidor ISA debe conocer la direccin IP del servidor DNS.
10.5.
Deshabilitar reglas
Al deshabilitar una regla de publicacin de servidor, cualquier intento de establecer conexin con el
servidor ser rechazado. Sin embargo, tenga en cuenta que el servidor ISA no cierra las conexiones activas.
Dichas conexiones pueden detenerse mediante la desconexin de las sesiones relacionadas.
38
______________________________________________________
11.
De forma predeterminada, al crear una regla de directiva de servidor de seguridad, el servidor ISA est
atento al puerto especificado, si bien acepta peticiones de clientes en cualquier puerto. Puede limitar la
regla para aceptar peticiones slo de puertos de origen especificados para las reglas de acceso y las reglas
de publicacin de servidor.
Adems, para las reglas de publicacin de servidor, puede especificar el puerto que utilizar el servidor ISA
para aceptar las peticiones de clientes entrantes destinadas al servidor publicado. Si decide publicar en un
puerto distinto al predeterminado, el servidor ISA recibir las peticiones de clientes para el servicio
publicado en el puerto no estndar y, a continuacin, reenviar las peticiones al puerto designado en el
servidor publicado. Por ejemplo, una regla de publicacin de servidor puede especificar que las peticiones
de clientes para los servicios del Protocolo de transferencia de archivos (FTP) se conecten a travs del
puerto 22 en el equipo servidor ISA antes de redireccionarlas al puerto 21 en el servidor publicado.
Adems, puede especificar, para las reglas de publicacin de servidor, que el servidor publicado acepte las
peticiones de clientes para el servicio publicado en un puerto distinto al predeterminado. Por ejemplo, si
desea publicar dos servidores FTP, puede publicar un servidor FTP en el puerto predeterminado para un
conjunto de usuarios y publicar el otro en otro puerto no estndar para un conjunto de usuarios diferente.
39
______________________________________________________
12.
Monitoreo de la red
La vista Escritorio digital del servidor ISA resume la informacin de supervisin de las sesiones, alertas,
servicios, informes y conectividad, as como el estado general del sistema. La vista predeterminada
Escritorio digital muestra la siguiente informacin:
Cada rea del escritorio digital cuenta con una indicacin visual de estado. Una X en un crculo rojo indica
un posible problema, un icono amarillo indica una advertencia y una marca de verificacin en un crculo
verde indica que no hay ningn problema.
Puede personalizar la vista Escritorio digital para ocultar cierta informacin.
40
______________________________________________________
13.
Referencias
41
______________________________________________________
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cmputo
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
42
______________________________________________________