Isa 1

Seguridad en la
infraestructura de red
ISA Server 2006(A)
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
INDICE
Tabla de direccionamiento .................................................................................................... 4

Documentación de dispositivos finales .................................................................................. 5
Maquinas Virtuales ............................................................................................................... 6
SVR-DNS-DHCP-01 ................................................................................................................................... 10
SVR-FW-01 ............................................................................................................................................... 12
Firewall Policy .......................................................................................................................................... 23
Blog: http://jfherrera.wordpress.com 2
Topología de red
Tabla de direccionamiento
Default
Device Name Interface Name IP Address Subnet Mask
Gateway
SVR-DNS-DHCP-
NIC 10.10.10.60 255.255.255.192 10.10.10.62
01
NIC (LAN1 >
10.10.10.62 255.255.255.192 N/A
Interna)
NIC (LAN2 >
SVR-FW-01 10.10.10.126 255.255.255.192 N/A
DMZ)
NIC (Bridge >
10.10.10.130 255.255.255.252 10.10.10.129
Externa)
Winxp1 NIC DHCP DHCP DHCP
Documentación de dispositivos finales
WINS High
Device
Operating Default DNS Serve Network Bandwid
Name IP Address /
System/Ver Gateway Server r Applicati th
(Purpose Suffix
sion Address Address Addre ons Applicati
)
ss ons
SVR- N/A N/A
DNS- Windows
10.10.10.60 10.10.10 DNS
DHCP-01 Server 2003 10.10.10.62
/26 .60 DHCP
(DNS/DH SP2
CP)
10.10.10.62 N/A 10.10.10 N/A ISA Sever N/A
/26 .60 2006
SVR-FW- Windows
10.10.10.12 N/A 10.10.10 N/A N/A N/A
01 (ISA Server 2003
6/26 .60
Server) SP2
10.10.10.13 10.10.10.12 8.8.8.8 N/A N/A N/A
0/30 9/30 8.8.4.4
Maquinas Virtuales
Iniciamos el asistente para crear un Nuevo Team siguiendo la ruta File > New > Team…
En este punto hemos agregado las tres máquinas virtuales, las cuales están con los OS instalados y
con las actualizaciones al día (SOLAMENTE), a acepción del servidor SVR-DNS-DHCP-01 que está
configurado con el servicio DNS (dominio.local) y DHCP (pool 10.10.10.0/26 para la LAN1).
En este punto agregamos los Segmentos de red LAN1, LAN2 y Bridge, la LAN2, Bridge se creó solo
para el ISA Server ya que va a tener tres NIC (Tarjetas de red), los demás host pertenecerán a la
LAN1.
Como podemos observar en estos momentos ningún OS está en un segmento especifico, para
hacerlos miembros de un segmento especifico damos clic sobre el lik Edit team settings y el cual se
encuentra en el recuadro Commands.
En la ventana que nos levanta seleccionamos la pestaña LAN Segments y configuramos el ancho de
que se desee para cada segmento, presionamos en OK.
En esta captura de imagen vemos que en nuestro caso ninguna máquina virtual tiene un
adaptador de red, entonces damos clic sobre cada una de las máquinas virtuales y le asignamos un
adaptador de red con la acepción que el SVR-FW-01 (ISA) va a tener tres adaptadores uno en cada
segmento (LAN1 , LAN2 y Bridge).
Entonces la configuración final de nuestros adaptadores quedara así, finalmente pulsamos en el

botón Ok.
Nota: Debemos tener presentes y correctamente configurada la interface Bridge ya que esta
interface debe estar correctamente asociada con la interface que se utilizara del equipo físico,
para comprobarlo pulsamos en el menú Edit > Virtual Network Editor…
SVR-DNS-DHCP-01
Como se menciono anteriormente el equipo etiquetado como SVR-DNS-DHCP-01 tendrá los

servicios de DNS y DCHP, a continuación encontraremos una serie de Screenshot en los cuales se
describen rápidamente la configuración para dichos servicios.
Observamos el hostname y direccionamiento del STACK TCP/IP utilizado para este host.
Esta es la configuración aplicada al servicio de DHCP.
Y finalmente esta es la configuración que se aplicó al servicio DNS, permitiendo las actualizaciones
dinámicas en la zona directa e inversa por parte de los clientes de la LAN1 y LAN2.
SVR-FW-01
Muy bien ahora continuaremos con el firewall, el cual tendrá las redes Interna (LAN1), DMZ
(LAN2) y Externa (Bridge).
Es una buena práctica etiquetar los adaptadores de red, para así poder identificarlos rápidamente
y poder configurarlos correctamente.
Si se nos dificulta identificar que NIC pertenece a que segmento de red o a la red externa podemos
desactivar los adaptadores por medio de VMware pulsando clic derecho sobre el icono de
conexión de red, seleccionando la opción Disconnect y así identificar los adaptadores fácilmente.
ISA Server 2006

Muy bien en este apartado instalaremos y configuraremos ISA Server 2006 en SVR-FW-01, para
ello debemos ya tener a nuestra disposición el instalador del ISA.
Levantamos el asistente de instalación de ISA Server pulsando en Install ISA Server 2006.
Seguimos el asistente de instalación.

Seleccionando el tipo de escenario que se utilizara, en nuestro caso seleccionamos Install both ISA
Server services and Configuration Storageserver pulsamos en Next para continuar, aceptando el
licenciamiento y validando los componentes a instalar.
Seleccionamos create a new ISAServer entrerprise.
Seleccionamos el adaptador de red que se va a destinar para la red Interna en nuestro caso LAN1.
Seleccionamos Next para las siguientes ventanas del asistente y pulsamos en Install.
Finalizada la instalación seleccionamos la ficha de comprobación Invoke ISA Server Management

when the wizard closes.
Iniciada la consola de administración damos clic sobre la opción Network, y como podemos
observar está configurado como Edge Firewall, como nuestro Servidor esta optimizado para tres
redes lo que haremos será seleccionar la plantilla 3-Leg Perimeter.
Seguimos el asistente para la crear el nuevo entorno.
En la configuración de la red interna lo dejaremos tal cual y presionamos en Next.
Seleccionamos la LAN2 en la configuración Perimetral y pulsamos en Next.
Seleccionamos el tipo de política que se aplicara por defecto, en nuestro caso Block all, y
posteriormente iremos abriendo comunicaciones necesarias.
Finalmente damos clic en Apply para así cargar el nuevo entorno.
Plantillas ISA Server

ISA Server 2006 viene con muchas plantillas definidas. A continuación veremos algunos de los
detalles de cada plantilla. Podemos seleccionar uno de ellos que se acople más con el entorno de
red corporativo.
Servidor de seguridad perimetral

Esta es una topología de red estándar para pequeñas y medianas organizaciones. El ISA Server es
una puerta principal que controla el tráfico entre la intranet e Internet. El Servidor ISA Server
necesita 2 interfaces de red.
3-Leg perímetro
Esta es una topología de red estándar para medianas y grandes organizaciones. Hay otra red que
es la red perimetral añadida al servidor ISA en comparación con el borde del cortafuego. La red
perimetral o DMZ (zona desmilitarizada) es una red que es menos seguro para servir de servidor
Web, servidor de correo electrónico, servidor DNS, etc. Para que los usuarios de Internet pueden
acceder a estos servicios sin acceso a la red interna. El Servidor ISA Server necesita 3 interfaces de
red.
Firewall frontal
Se trata de una topología de red en la que la seguridad es imprescindible para la organización. En
este caso, hay más de un servidor de seguridad. Cuando el servidor es atacado por hakers no solo
deben traspasar ese sino que todavía hay un nuevo firewall para proteger su red interna. Esta
plantilla, el servidor ISA será actuar como servidor de seguridad frente entre la red de Internet y el
perímetro y las necesidades de dos interfaces de red.
Firewall trasero
Se trata de una topología de red en la que la seguridad es imprescindible para la organización. La
configuración es la misma que en el Frente de plantilla, excepto que el servidor de seguridad ISA
Server que se está configurando el servidor de seguridad de nuevo esa plantilla red. Este separa la
red interna y perimetral, ISA Server necesita dos interfaces de red.
Único adaptador de red

Se trata de una topología de la red de ISA Server y en la cual actúa como servidor proxy solamente.
ISA Server puede hacer el almacenamiento en caché para mejorar el rendimiento para los usuarios
el uso de Internet en la organización. Esta plantilla, ISA Server requiere sólo una única interfaz de
red como el nombre de la plantilla.
En este punto debemos tener presente que para las plantillas Firewall frontal y Firewall trasero se
debe utilizar más de un servidor ISA.
Es importante darle un vistazo a la tabla de enrutamiento local, podemos ver que todo en tráfico
desconocido se envía por el Gateway 10.10.10.129, a su vez se mandan los paquetes por la
interface Externa (10.10.10.130), esta tabla la podemos visualizar emitiendo el comando route
print o netstat -r en Command Prompt (CMD).
Firewall Policy
Ok, esta es la sección en la consola de administración del ISA Server en la que se trabajara
prácticamente siempre. El ISA Server trae ya por defecto unas reglas predefinidas, las cuales están
ocultas. Para ver dichas reglas seguimos la siguiente ruta en la consola de administración del ISA
Server menú View > Show System Policy Rules.
En esta captura observamos que la mayoría de reglas se permiten solo a el tráfico que tiene origen
Local Host (ISA Server), en otras palabras solo se permite comunicaciones originadas desde el
servidor de ISA Server en resto se deniega ya que hay una política por defecto Deny.
La primera regla que crearemos será la que nos permita todo el tráfico del servicio DNS solo desde
el servidor SVR-DNS-DHCP-01, para que dicho servidor pueda realizar las consultas DNS hacia los
servidores forwarders o roots (Consultas recursivas).
Para ello damos clic derecho sobre Firewall Policy y seguimos la ruta New > Access Rule…
Ingresamos en el campo de texto el nombre para la nueva regla Allow Query DNS SVR-DNS-DHCP-
01 y pulsamos en Next.
Permitimos este servicio seleccionando la opción Allow y pulsamos en Next.

Seleccionamos el servicio DNS y pulsamos en Next.
Seleccionamos Add > New > Computer.
Llenamos los campos con los datos apropiados, la IP 10.10.10.60 es la dirección IP asignada al
servidor SVR-DNS-DHCP-01 que está prestando los servicios DNS para la red local (LAN1).
Nuestro servidor ya se encuentra en la carpeta Computer, lo seleccionamos y pulsamos Add y

Next.
En la opción destino seleccionamos la red Externa y pulsamos en Next nuevamente en Next y

Finish.
Damos clic en Apply para que cargue la nueva política y ya nos debe permitir las consultas DNS
desde nuestro servidor corporativo (SVR-DNS-DHCP-01).
Thanks, Continue…
Good Luck!
Last update 24-02-2011

Isa 1

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Isa 1

Caricato da

Copyright:

Formati disponibili

Seguridad en la

Tabla de direccionamiento .................................................................................................... 4

Documentación de dispositivos finales

Entonces la configuración final de nuestros adaptadores quedara así, finalmente pulsamos en el

Como se menciono anteriormente el equipo etiquetado como SVR-DNS-DHCP-01 tendrá los

Esta es la configuración aplicada al servicio de DHCP.

ISA Server 2006

Seguimos el asistente de instalación.

Seleccionamos create a new ISAServer entrerprise.

Finalizada la instalación seleccionamos la ficha de comprobación Invoke ISA Server Management

Seguimos el asistente para la crear el nuevo entorno.

En la configuración de la red interna lo dejaremos tal cual y presionamos en Next.

Seleccionamos la LAN2 en la configuración Perimetral y pulsamos en Next.

Finalmente damos clic en Apply para así cargar el nuevo entorno.

Plantillas ISA Server

Servidor de seguridad perimetral

Único adaptador de red

Permitimos este servicio seleccionando la opción Allow y pulsamos en Next.

Seleccionamos el servicio DNS y pulsamos en Next.

Seleccionamos Add > New > Computer.

Nuestro servidor ya se encuentra en la carpeta Computer, lo seleccionamos y pulsamos Add y

En la opción destino seleccionamos la red Externa y pulsamos en Next nuevamente en Next y

Potrebbero piacerti anche