Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
infraestructura de red
ISA Server 2006(A)
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
INDICE
Blog: http://jfherrera.wordpress.com 2
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Topología de red
Blog: http://jfherrera.wordpress.com 3
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Tabla de direccionamiento
Default
Device Name Interface Name IP Address Subnet Mask
Gateway
SVR-DNS-DHCP-
NIC 10.10.10.60 255.255.255.192 10.10.10.62
01
NIC (LAN1 >
10.10.10.62 255.255.255.192 N/A
Interna)
NIC (LAN2 >
SVR-FW-01 10.10.10.126 255.255.255.192 N/A
DMZ)
NIC (Bridge >
10.10.10.130 255.255.255.252 10.10.10.129
Externa)
Winxp1 NIC DHCP DHCP DHCP
Blog: http://jfherrera.wordpress.com 4
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
WINS High
Device
Operating Default DNS Serve Network Bandwid
Name IP Address /
System/Ver Gateway Server r Applicati th
(Purpose Suffix
sion Address Address Addre ons Applicati
)
ss ons
SVR- N/A N/A
DNS- Windows
10.10.10.60 10.10.10 DNS
DHCP-01 Server 2003 10.10.10.62
/26 .60 DHCP
(DNS/DH SP2
CP)
10.10.10.62 N/A 10.10.10 N/A ISA Sever N/A
/26 .60 2006
SVR-FW- Windows
10.10.10.12 N/A 10.10.10 N/A N/A N/A
01 (ISA Server 2003
6/26 .60
Server) SP2
10.10.10.13 10.10.10.12 8.8.8.8 N/A N/A N/A
0/30 9/30 8.8.4.4
Blog: http://jfherrera.wordpress.com 5
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Maquinas Virtuales
Iniciamos el asistente para crear un Nuevo Team siguiendo la ruta File > New > Team…
Blog: http://jfherrera.wordpress.com 6
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En este punto hemos agregado las tres máquinas virtuales, las cuales están con los OS instalados y
con las actualizaciones al día (SOLAMENTE), a acepción del servidor SVR-DNS-DHCP-01 que está
configurado con el servicio DNS (dominio.local) y DHCP (pool 10.10.10.0/26 para la LAN1).
En este punto agregamos los Segmentos de red LAN1, LAN2 y Bridge, la LAN2, Bridge se creó solo
para el ISA Server ya que va a tener tres NIC (Tarjetas de red), los demás host pertenecerán a la
LAN1.
Como podemos observar en estos momentos ningún OS está en un segmento especifico, para
hacerlos miembros de un segmento especifico damos clic sobre el lik Edit team settings y el cual se
encuentra en el recuadro Commands.
Blog: http://jfherrera.wordpress.com 7
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En la ventana que nos levanta seleccionamos la pestaña LAN Segments y configuramos el ancho de
que se desee para cada segmento, presionamos en OK.
En esta captura de imagen vemos que en nuestro caso ninguna máquina virtual tiene un
adaptador de red, entonces damos clic sobre cada una de las máquinas virtuales y le asignamos un
adaptador de red con la acepción que el SVR-FW-01 (ISA) va a tener tres adaptadores uno en cada
segmento (LAN1 , LAN2 y Bridge).
Blog: http://jfherrera.wordpress.com 8
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 9
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Nota: Debemos tener presentes y correctamente configurada la interface Bridge ya que esta
interface debe estar correctamente asociada con la interface que se utilizara del equipo físico,
para comprobarlo pulsamos en el menú Edit > Virtual Network Editor…
SVR-DNS-DHCP-01
Observamos el hostname y direccionamiento del STACK TCP/IP utilizado para este host.
Blog: http://jfherrera.wordpress.com 10
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 11
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Y finalmente esta es la configuración que se aplicó al servicio DNS, permitiendo las actualizaciones
dinámicas en la zona directa e inversa por parte de los clientes de la LAN1 y LAN2.
SVR-FW-01
Muy bien ahora continuaremos con el firewall, el cual tendrá las redes Interna (LAN1), DMZ
(LAN2) y Externa (Bridge).
Es una buena práctica etiquetar los adaptadores de red, para así poder identificarlos rápidamente
y poder configurarlos correctamente.
Blog: http://jfherrera.wordpress.com 12
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Si se nos dificulta identificar que NIC pertenece a que segmento de red o a la red externa podemos
desactivar los adaptadores por medio de VMware pulsando clic derecho sobre el icono de
conexión de red, seleccionando la opción Disconnect y así identificar los adaptadores fácilmente.
Blog: http://jfherrera.wordpress.com 13
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Levantamos el asistente de instalación de ISA Server pulsando en Install ISA Server 2006.
Seleccionando el tipo de escenario que se utilizara, en nuestro caso seleccionamos Install both ISA
Server services and Configuration Storageserver pulsamos en Next para continuar, aceptando el
licenciamiento y validando los componentes a instalar.
Blog: http://jfherrera.wordpress.com 15
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Seleccionamos el adaptador de red que se va a destinar para la red Interna en nuestro caso LAN1.
Seleccionamos Next para las siguientes ventanas del asistente y pulsamos en Install.
Blog: http://jfherrera.wordpress.com 16
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Iniciada la consola de administración damos clic sobre la opción Network, y como podemos
observar está configurado como Edge Firewall, como nuestro Servidor esta optimizado para tres
redes lo que haremos será seleccionar la plantilla 3-Leg Perimeter.
Blog: http://jfherrera.wordpress.com 17
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Blog: http://jfherrera.wordpress.com 18
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Seleccionamos el tipo de política que se aplicara por defecto, en nuestro caso Block all, y
posteriormente iremos abriendo comunicaciones necesarias.
Blog: http://jfherrera.wordpress.com 19
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
3-Leg perímetro
Esta es una topología de red estándar para medianas y grandes organizaciones. Hay otra red que
es la red perimetral añadida al servidor ISA en comparación con el borde del cortafuego. La red
perimetral o DMZ (zona desmilitarizada) es una red que es menos seguro para servir de servidor
Web, servidor de correo electrónico, servidor DNS, etc. Para que los usuarios de Internet pueden
acceder a estos servicios sin acceso a la red interna. El Servidor ISA Server necesita 3 interfaces de
red.
Firewall frontal
Se trata de una topología de red en la que la seguridad es imprescindible para la organización. En
este caso, hay más de un servidor de seguridad. Cuando el servidor es atacado por hakers no solo
deben traspasar ese sino que todavía hay un nuevo firewall para proteger su red interna. Esta
plantilla, el servidor ISA será actuar como servidor de seguridad frente entre la red de Internet y el
perímetro y las necesidades de dos interfaces de red.
Blog: http://jfherrera.wordpress.com 20
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Firewall trasero
Se trata de una topología de red en la que la seguridad es imprescindible para la organización. La
configuración es la misma que en el Frente de plantilla, excepto que el servidor de seguridad ISA
Server que se está configurando el servidor de seguridad de nuevo esa plantilla red. Este separa la
red interna y perimetral, ISA Server necesita dos interfaces de red.
Blog: http://jfherrera.wordpress.com 21
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
En este punto debemos tener presente que para las plantillas Firewall frontal y Firewall trasero se
debe utilizar más de un servidor ISA.
Es importante darle un vistazo a la tabla de enrutamiento local, podemos ver que todo en tráfico
desconocido se envía por el Gateway 10.10.10.129, a su vez se mandan los paquetes por la
interface Externa (10.10.10.130), esta tabla la podemos visualizar emitiendo el comando route
print o netstat -r en Command Prompt (CMD).
Blog: http://jfherrera.wordpress.com 22
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Firewall Policy
Ok, esta es la sección en la consola de administración del ISA Server en la que se trabajara
prácticamente siempre. El ISA Server trae ya por defecto unas reglas predefinidas, las cuales están
ocultas. Para ver dichas reglas seguimos la siguiente ruta en la consola de administración del ISA
Server menú View > Show System Policy Rules.
En esta captura observamos que la mayoría de reglas se permiten solo a el tráfico que tiene origen
Local Host (ISA Server), en otras palabras solo se permite comunicaciones originadas desde el
servidor de ISA Server en resto se deniega ya que hay una política por defecto Deny.
Blog: http://jfherrera.wordpress.com 23
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
La primera regla que crearemos será la que nos permita todo el tráfico del servicio DNS solo desde
el servidor SVR-DNS-DHCP-01, para que dicho servidor pueda realizar las consultas DNS hacia los
servidores forwarders o roots (Consultas recursivas).
Para ello damos clic derecho sobre Firewall Policy y seguimos la ruta New > Access Rule…
Ingresamos en el campo de texto el nombre para la nueva regla Allow Query DNS SVR-DNS-DHCP-
01 y pulsamos en Next.
Blog: http://jfherrera.wordpress.com 25
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Llenamos los campos con los datos apropiados, la IP 10.10.10.60 es la dirección IP asignada al
servidor SVR-DNS-DHCP-01 que está prestando los servicios DNS para la red local (LAN1).
Damos clic en Apply para que cargue la nueva política y ya nos debe permitir las consultas DNS
desde nuestro servidor corporativo (SVR-DNS-DHCP-01).
Blog: http://jfherrera.wordpress.com 26
Seguridad en la infraestructura de red - ISA Server 2006 (A)
Blog– http://jfherrera.wordpress.com
Microsoft ISA Server 2006
Thanks, Continue…
Good Luck!
Last update 24-02-2011
Blog: http://jfherrera.wordpress.com 27