TALLER DE FIREWALLS. CONFIGURANDO ISA SERVER 2006 EN WINDOWS 2003.

POR: Maicol Muoz.

INSTRUCTOR: Andres Mauricio Ortiz.

Tecnlogo en administracin de redes informticas. Gestin de la seguridad de la red. 35442.

Servicio nacional de aprendizaje (SENA) - Antioquia Centro de Servicios y Gestin Empresarial. (CESGE)

INTRODUCCION.
La seguridad es la principal defensa que puede tener una organizacin si desea conectarse a Internet, dado que expone su informacin privada y arquitectura de red a los intrusos de Internet . El Firewall ofrece esta seguridad, mediante:Polticas de seguridad, determinando que servicios de la red pueden ser accesados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados.

MARCO TEORICO. Que es un Firewall. Un Firewall se encarga de filtrar el trafico entre distintas redes, como mnimo dos. Puede ser un dispositivo fsico o un software que corre sobre un sistema operativo. En general, se puede ver como un sistema con dos o mas interfaces de red para las cuales se fijan reglas de filtrado que determinan si una conexin puede establecerse o no. Incluso puede realizar modificaciones sobre las comunicaciones como lo hace NAT. Dependiendo de las necesidades de cada red, puede ponerse uno o mas Firewall para establecer distintos permetros de seguridad en torno a un sistema. Es frecuente tambin que se necesite exponer algn servidor a internet (como es el caso de un servidor web, un servidor de correo, etc.), y en esos casos, en principio, se debe aceptar cualquier conexin a ellos. Lo que se recomienda en esa situacin es situar ese servidor en un lugar aparte de la red interna, el que denominamos DMZ o zona desmilitarizada. En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso la red local sigue protegida por el Firewall. En conclusin, cualquier Firewall generalmente no tiene mas que un conjunto de reglas que permiten examinar el origen y destino de los paquetes que viajan a travs de la red. Hay dos maneras de implementarlo: 1. Poltica por defecto ACEPTAR: todo lo que entra y sale por el Firewall se acepta y solo se denegara lo que se diga explcitamente. 2. Poltica por defecto DENEGAR: todo esta denegado, y solo se permitir pasar por el Firewall aquello que se permita explcitamente Es importante el orden en que se establecen las reglas, ya que ellas se leen en forma secuencial. Cuando se encuentra una regla para un paquete, no se mira el resto de las reglas para ese paquete, por lo que si se ponen reglas permisivas entre las primeras del Firewall, puede que las siguientes no se apliquen por lo que no servir de nada.

Requerimientos:
*ISA server (Windows 2006). *Red LAN.(maquinas Windows xp) *Red DMZ.(maquina Centos Linux) *Red WAN.

DESARROLLANDO . En mi red DMZ implementare una maquina virtual con sistema operativo Centos actuando como servidor WEB,FTP y DNS adems este servidor sera accesible mediante SSH. En mi red LAN tendr una maquina con Windows XP desde la cual har pruebas de accesos,a esta maquina podre acceder mediante Rdesktop. En mi maquina Windows server 2003 instalare ISA server el cual sera el que me actuara como mi Firewall.

Mi maquina Windows server 2003 tendr que llevar tres tarjetas de red: LAN: IP 192.168.80.1 Mascara 255.255.255.0 DMZ: IP 192.168.90.1 Mascara 255.255.255.0 WAN: IP dhcp (192.168.10.123)

Instalacin ISA server 2006. Para la instalacin de ISA server es muy sencillo simplemente es obtener una copia de ISA server 2006 he instalarlo como instalamos cualquier programa en Windows.

Elegimos la opcin que nos permite instalar ISA server y el servidor de almacenamiento de la configuracin.

Como es el nico y primer servidor que instalaremos le diremos que crearemos un servidor nuevo.

Ahora nos pedir que ingresemos la red interna es decir la LAN, le daremos en aadir, luego en aadir adaptador para definir cual es el de la LAN y por ultimo elegimos el adaptador que tenemos conectado a nuestra red LAN.

Y ya por ultimo siguiente siguiente.

Configuracin Topologa. Escogemos la topologa o infraestructura a utilizar,que es DMZ,red LAN y red WAN.

En esta parte nos pedir que indiquemos cual sera la LAN pero esto lo hicimos en la instalacin entonces continuamos.

En esta parte nos pide que definamos cual sera el adaptador del permetro o la DMZ.

Finalmente nos pregunta cual sera la poltica por defecto del Firewall, en mi caso sera denegar todo el trafico.

Y como nos muestra la anterior imagen ya hemos obtenido nuestra topologa con la cual trabajaremos ya solo bastara con aplicar los cambios. Configuracin NAT. Antes de iniciar con nuestras reglas de Firewall,deberemos configurar las reglas de NAT.

Como podemos ver entonces en la anterior imagen, hay 5 reglas de red inherentes a NAT y enrutamiento entre las diferentes redes, en mi caso lo nico que hice fue eliminar las reglas relacionadas con las redes en cuarentena y VPN. Para la regla de nuestro NAT solo deberemos modificar la regla de configuracin perimetral.

Eliminamos las redes que no necesitamos que son las de vpn.

Y agregamos la red DMZ o perimetral,esto con el fin de que haya NAT tanto para la LAN y DMZ y que salgan tanto por la DMZ y por la WAN.

Y por ultimo aplicamos la regla.

Configuracin reglas Firewall. Este es un Firewall Statefull capaz de analizar los paquetes IP en capas 3, 4 y 7 del modelo OSI, tambin funciona como VPN y proxy. Para mostrar el ejemplo de como crear las reglas de Firewall solo mostrare como crear una regla ya con esta se pueden guiar fcilmente para las dems reglas.

La regla que mostrare como ejemplo sera la regla de salida Http.

Seleccionamos allow que es para permitir.

Lo que realizamos en las anteriores imagen fue seleccionar los protocolos o servicios a las cuales tendremos acceso.

En las anteriores imgenes lo que realizamos fue seleccionar las redes de origen que tendrn acceso a Http y Https.

En las anteriores imgenes lo que realizamos fue seleccionar las redes de destino,seleccionamos la perimetral por que es para que la red LAN tambin tenga acceso a el Http de la DMZ.

Seleccionamos que tengan acceso a todos los usuarios y ya por ultimo finalizar.

Aqu vemos como nos queda nuestra regla aplicamos y listo.

Y mostrare todas la reglas que cree.

Estas me permiten: 1.Acceso a Http y Https de LAN y DMZ hacia WAN y DMZ. 2.Crear regla de dhcp para que nos arroje una direccin dinmica de internet para la tarjeta WAN. 3.Una regla para el dns publico de la perimetral hacia internet,esto con el fin de que el dns de la red perimetral (DMZ) ,sea la de internet. 4.Una regla de dns interno de la red LAN hacia la perimetral,esto con el fin de que el dns de la red LAN sea la DMZ. 5.Ping a la DMZ y la WAN desde la LAN y la perimetral (DMZ). 6.Acceso a ftp desde la LAN y DMZ hacia WAN y DMZ. 7.Acceso a ssh desde la LAN y DMZ hacia WAN y DMZ. 8.Acceso a imap y pop desde la LAN y DMZ hacia WAN y DMZ. 9.Acceso a smtp de la perimetral(DMZ), hacia WAN. Configuracin de DNAT. Ya para terminar con mi Firewall solo nos queda publicar nuestros servicios internos hacia internet. Lo mismo que con las reglas de Firewall solo mostrare un ejemplo como gua para las dems reglas.

Especificamos la ip del servidor de nuestro Http que es la direccin ip de nuestra DMZ que es donde configure mi apache.

Seleccionamos el servicio a publicar y tambin seleccionamos la opcin ports,aqu es donde especificamos los puertos de conexin de nuestro servicio.

Ahora elegimos la interfaz por la que se conectaran las personas, como los clientes son externos definimos la WAN.

Ya para terminar solo deberemos aplicar y listo terminamos nuestro DNAT. Aqu les mostrare las dems reglas de publicacin de servicios.

Aqu publicamos: 1.Nuestro servidor Http. 2.Nuestro ftp. 3.Conexion ssh desde cleintes de internet. 4.Conexion remota a escritorio remoto.

Nota: Deberemos tener muy claro cada uno de los puertos por los que trabaja cada servicio y tambin tener muy en cuanta la ubicacin interna de dodne estn instalados los servicios. Glosario: DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la lan y la wan. LAN: Una red de rea local. WAN: Las Redes de rea amplia. Router: Enrutador, encaminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red. SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio numero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayora de los routers nuevos de Cisco. SSH: SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si

tenemos un Servidor X (en sistemas Unix y Windows) corriendo. JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a sper equipos cientficos, de telfonos mviles a Internet, Java est en todas partes. NAT: En las redes de computadoras , NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP , mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP. DNS: es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin. UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en

redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial Stateless: Crear reglas de ida y de respuesta. Statefull: Crear reglas de ida y las reglas de respuestas son automticas no hay que crearlas. Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar probablemente a una mscara de subred. Salvo esa apariencia, no existe otra relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto:192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255 ISA server: ISA Server es un Gateway integrado de seguridad perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rpido y seguro a las aplicaciones y los datos.

Servidor: En informtica, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes.