Unidad 1: Introduccin a ISA 2004

Cap 1. Nuevas funcionalidades

a. Asistentes para configuraciones
b. Asistentes de topologa de red
c. Mejoras en VPN
d. Bloqueo de contenido
e. Mejoras en caching
f. Redireccin de puertos en publicacin de Serer
g. Mejoras en Reportes ! "onitoreo
Cap 2. Requeriientos
a. #aluando entorno
b. Requisitos de $ard%are
c. Requisitos de Soft%are
Cap !. "eplo# de ISA 2004.
a. &nstalar &SA Serer '(()
b. *aboratorio Pr+actico ,eplo! &SA '(()
Cap 4. Confi$uracin de acceso a internet para la red corporativa.
a. Reisar la poltica de Siste"a
b. -onfiguracin de Access Polic!
c. *aboratorio Practico -onfigurando Access Polic!







&SA Serer '(() S# per"ite au"entar los nieles de seguridad de las aplicaciones
Microsoft "ediante una arquitectura de seguridad "ejorada. con filtrado de niel de
aplicacin. funcionalidades VPN total"ente integradas con la platafor"a. ! siste"as
de autentificacin co"pletos ! fle/ibles. co"o RSA Secur&, ! RA,&0S.
#ntre las nueas caractersticas se encuentran1 soporte para arquitecturas de red
"u! diersas. plantillas de red "ejoradas ! asistentes auto"ati2ados3 un editor de
polticas con interfa2 gr+fica robusto ! un entorno a"igable de funciones para la
solucin de proble"as. &SA Serer '(() S# ta"bi4n aporta notables aances en el
captulo del rendi"iento ! per"ite una "ejora sensible de elocidad en el uso de
filtros de niel de aplicacin. para aquellos casos en que se pueda necesitar
proteccin de niel de aplicacin adicional para Microsoft #/change Serer. &&S.
SharePoint u otras aplicaciones.
&SA Serer '(() est+ opti"i2ado para un a"plio sector de clientes. desde peque5as
e"presas que sola"ente requieren un producto sencillo pero integrado de seguridad
peri"etral. a grandes corporaciones que necesitan los "+/i"os nieles de
proteccin.

Antes de co"en2ar. hare"os algunas precisiones i"portantes1

Se trata de una ersin Beta. no debe instalarse en un entorno de produccin.
&SA Serer '(() se puede instalar sobre 6indo%s '((( ! 6indo%s Serer
'((7
&SA Serer '(() aplica polticas de fire%all sobre todos los interfaces. por lo
que su "odo de trabajo es distinto a co"o era con &SA Serer '(((
8ras instalar &SA Serer '((). coniene dedicar un rato a conocer la nuea
interfa2 de usuario.
1. Nuevas funcionalidades


&SA Serer '(() inclu!e nu"erosas caractersticas ! "ejoras. particular"ente
cuando se instala en un siste"a donde se ejecuta 6indo%s Serer '((7. Por
eje"plo1
0na interfa2 de usuario nuea ! si"plificada
-o"patibilidad con arias redes
-o"patibilidad "ejorada con VPN
-apacidades de cuarentena VPN
-apacidad para crear grupos de usuarios personali2ados de seridor de seguridad
0na "a!or co"patibilidad con protocolos
,efiniciones personali2adas de protocolos
96A Publishing 6i2ard
-o"patibilidad "ejorada con la directia para cargar ! descargar en :8P
0na publicacin en 6eb "ejorada
Redireccin de puertos con reglas de publicacin en seridores
Reglas de cach4 "ejoradas para el al"acena"iento centrali2ado de objetos
Asignacin de rutas para las reglas de publicacin en 6eb
-o"patibilidad con RA,&0S para la autenticacin de clientes pro/! 6eb
,elegacin de la autenticacin b+sica
Autenticacin de identificadores seguros
:or"ularios generados por los seridores de seguridad ;autenticacin basada en
for"ularios<
0n filtro de "ensajes SM8P "ejorado
0n filtrado $88P "ejorado
8raduccin de nculos
Ma!ores capacidades de superisin ! elaboracin de infor"es
a. Asistentes para confi$uraciones





&SA Serer '(() incorpora un nueo conjunto de asistentes que hacen "+s f+cil que
nunca la creacin de polticas de acceso. *as polticas de acceso saliente antes. en
&SA Serer '(((. necesitaban :iltros de paquetes &P. reglas asociadas a sitios.
contenidos ! protocolos. *as polticas de acceso de &SA Serer '(() pueden crearse
"ediante un asistente de creacin de reglas de fire%all aan2ado que per"ite
configurar cualquier ele"ento de poltica necesario sobre la "archa. No necesita salir
del asistente de creacin de reglas para crear un objeto de red. ! cualquier objeto de
red o relacin puede crearse dentro del nueo asistente.
%. Asistentes de topolo$&a de red


&SA Serer '(() proporciona cinco plantillas de red correspondientes a topologas de
red co"unes. *os ad"inistradores las pueden utili2ar para configurar f+cil !
auto"+tica"ente las relaciones de enruta"iento ! las polticas de fire%all para el
tr+fico entre redes e/ternas. internas. de VPN ! de ,M=.
c. 'e(oras en )*N




Ad"inistracin VPN1
&SA Serer inclu!e "ecanis"os "ucho "+s integrados de red priada irtual.
basados en la funcionalidad de 6indo%s Serer '((7.

&nspeccin din+"ica del contenido en VPN1
*os clientes de redes priadas irtuales ;VPN< se configuran co"o una red
independiente. Por consiguiente. se pueden crear polticas diferentes para ellos. #l
"otor de reglas alida de for"a distinta las peticiones de clientes VPN.
inspeccionando el contenido de estas peticiones ! abriendo din+"ica"ente las
cone/iones. a partir de la aplicacin de las polticas de acceso.

Soporte de cliente SecureNA8 para clientes VPN conectados al seridor VPN de &SA
Serer '(()1
#n &SA Serer '(((. >nica"ente los clientes VPN configurados co"o clientes de
fire%all podan acceder a &nternet a tra4s del seridor VPN &SA Serer '(((. &SA
Serer '(() a"pla el soporte de cliente VPN per"itiendo a clientes SecureNA8 el
acceso a &nternet sin tener el cliente de fire%all instalado en la "+quina. Ade"+s se
puede "ejorar la seguridad de la red corporatia aplicando la poltica de fire%all
basada en usuarios?grupos a los clientes VPN SecureNA8.

:iltrado e inspeccin din+"ica de contenido para co"unicaciones a tra4s de un
t>nel VPN intersite1
&SA Serer '(() introduce la inspeccin ! filtrado de contenido para todas las
co"unicaciones que se establecen a tra4s de una cone/in VPN entre redes. #sto
per"ite controlar a qu4 recursos pueden acceder qu4 "+quinas o redes en el
e/tre"o opuesto del enlace. *as polticas de acceso basadas en usuario?grupo se
pueden aplicar para obtener un control granular sobre el uso de recursos a tra4s del
enlace.

-uarentena VPN1
&SA Serer '(() potencia la funcionalidad de cuarentena VPN de 6indo%s Serer
'((7. *a cuarentena VPN per"ite ubicar los clientes VPN en una red separada hasta
co"probar que cu"plen una serie de requisitos de seguridad. *os clientes VPN que
superan los test de seguridad quedan ad"itidos para acceder a la red de acuerdo
con las polticas de cliente de fire%all VPN. *os clientes VPN que no superan los test
de seguridad sola"ente disponen de acceso li"itado a los seridores que les
per"itir+n cu"plir con los requisitos de seguridad.
d. +loqueo de contenido





:iltro $88P basado en reglas1
*a poltica $88P de &SA Serer '(() per"ite al fire%all reali2ar una inspeccin
profunda del contenido $88P ;filtro de niel de aplicacin<. *a a"plitud de esta
inspeccin se configura "ediante reglas. #sto posibilita configurar restricciones
especficas para el acceso $88P entrante ! saliente.

Bloqueo de acceso a todo contenido ejecutable1
Se puede configurar una poltica $88P en &SA Serer '(() para bloquear todo
intento de cone/in para transferir contenido ejecutable bajo 6indo%s.
independiente"ente de la e/tensin del archio utili2ado en el recurso.

-ontrol de descargas $88P "ediante e/tensin de archio1
*a poltica $88P de &SA Serer '(() posibilita per"itir todas las e/tensiones de
archio e/cepto un grupo concreto de e/tensiones. o bloquear todas las e/tensiones
e/cepto un grupo deter"inado.
#l filtro $88P se aplica a todas las cone/iones cliente de &SA Serer '(()1
&SA Serer '((( poda bloquear el contenido para cone/iones $88P ! :8P a sus
clientes 6eb Pro/! "ediante M&M# #nter ;para $88P< o por e/tensin de archio
;para :8P<. *a poltica de $88P de &SA Serer '(() per"ite el control de acceso
$88P para todas las cone/iones de cliente de &SA Serer '(().
-ontrol de acceso $88P basado en @fir"as $88PA *a inspeccin en profundidad de
$88P de &SA Serer '(() per"ite crear @fir"as $88PA que se pueden co"parar
contra la 0R* Solicitada. cabeceras solicitadas. cuerpo solicitado. cabeceras de
respuestas ! cuerpo de respuesta. #sto per"ite un control "u! preciso de a qu4
contenido pueden acceder los usuarios internos ! e/ternos a tra4s del fire%all &SA
Serer '(().

-ontrol de "4todos $88P per"itidos1
Se puede controlar cu+les "4todos $88P est+n per"itidos a tra4s del fire%all
"ediante la aplicacin de controles de acceso para restringir el acceso a usuarios a
diersos "4todos. Por eje"plo. se puede li"itar el uso del "4todo $88P P9S8 para
i"pedir a los usuarios el eno de datos a sitios 6eb.

-one/iones #/change RP- seguras obligatorias desde clientes 9utlooB MAP&1
*as reglas de publicacin de Seridor #/change Seguro que inclu!e &SA Serer '(()
per"iten a los usuarios re"otos conectarse a #/change utili2ando plena"ente las
funcionalidades del cliente MAP& 9utlooB sobre &nternet. Sin e"bargo. el cliente
9utlooB debe configurarse para utili2ar RP- seguro. ! for2ar el cifrado de la
cone/in. *a poltica RP- de &SA Serer '(() per"ite bloquear todas las cone/iones
no cifradas de cliente MAP& 9utlooB.

Poltica :8P1
*a poltica :8P de &SA Serer '(() se puede configurar para ad"itir descargas desde
o hacia la red corporatia utili2ando :8P. o bien li"itando el acceso de los usuarios a
descargas :8P en sentido entrante.

8raductor de enlaces1
Algunos sitios 6eb publicados pueden incluir referencias a no"bres de "+quina
internos. Puesto que sola"ente se ad"iten que el fire%all &SA Serer '(() ! el
espacio de no"bres e/terno. ! nunca el espacio de no"bres interno. queden
disponibles para clientes e/ternos. estas referencias aparecer+n co"o enlaces rotos.
&SA Serer '(() incorpora un traductor de nculos que per"ite crear un diccionario
de definiciones de no"bres de "+quinas internas "apeados a no"bres p>blicos
disponibles desde el e/terior.

-ontrol granular sobre opciones &P1
#l siste"a de preencin de ataques de &SA Serer '((( per"ita el bloqueo de
todas las opciones &P. Sin e"bargo. en algunas ocasiones puede ser necesario
habilitar algunas opciones &P para tareas de gestin de la red ! resolucin de
proble"as. &SA Serer '(() per"ite configurar opciones &P de for"a "+s granular !
per"itir >nica"ente aquellas opciones &P que se necesitan. bloqueando las de"+s.
e. 'e(oras en cac,in$



-ache de 6eb de alto rendi"iento1
Para los clientes internos que acceden a seridores 6eb de &nternet. se acelera el
rendi"iento. as co"o el de los usuarios e/ternos que acceden a contenidos de
seridores 6eb corporatios. &SA Serer '(() reali2a un cache en RAM r+pido ! un
cache a disco opti"i2ado para proporcionar el "ejor rendi"iento posible en la
naegacin 6eb.

-ache inteligente1
*os usuarios reciben el contenido 6eb "+s reciente gracias al proceso de cache
proactio de los objetos "+s frecuente"ente accedidos. &SA Serer '(() deter"ina
de for"a auto"+tica qu4 sitios 6eb son los "+s utili2ados ! con qu4 frecuencia debe
refrescarse su contenido bas+ndose en el tie"po que el objeto ha per"anecido en la
cache o el "o"ento en el que el objeto se carg por >lti"a e2. &SA Serer '(()
puede precargar contenido 6eb en la cache en "o"entos de baja actiidad. sin
interencin del ad"inistrador de la red. Aparte esto. el cache 6eb de &SA Serer
'(() puede precargar contenido offline al"acenado en -, o ,V,.

-ache planificado1
*a cache se puede precargar con contenidos de sitios 6eb co"pletos siguiendo una
planificacin te"poral. *as descargas planificadas garanti2an el acceso al contenido
"+s actual para todos los usuarios. ! les per"ite el acceso a contenido 6eb en
siste"as fuera de sericio.

-ache jer+rquico1
&SA Serer '(() a"pla a>n "+s los beneficios del cache 6eb per"itiendo
configurar una jerarqua de cache. encadenando "atrices de "+quinas basadas en
&SA Serer '((). de "odo que los clientes pueden acceder al cache "+s pr/i"o.
#ste es un escenario bien conocido de configuracin de redes de oficinas.
f. Redireccin de puertos en pu%licacin de Server




Redireccin de puertos para reglas de publicacin de seridores1

*as reglas de publicacin de seridores de &SA Serer '((( redirigan las cone/iones
entrantes a un seridor de publicacin en el "is"o puerto que el indicado en la
peticin original. &SA Serer '(() per"ite recibir una cone/in en un n>"ero de
puerto ! redirigir la peticin a un n>"ero de puerto distinto en el seridor publicado.
#sta caracterstica conocida ta"bi4n co"o PA8 ;Port Address Redirection< per"ite
publicar arios sericios internos en diferentes puertos e/ternos sin necesidad de
"odificar el puerto interno del seicio. Por #je"plo usted podria publicar dos
8er"inal Serices en su puerto por defecto 77CD a la "is"a &P publica en dos
puertos diferentes ej1 77CD ! 77D(.

$. 'e(oras en Reportes # onitoreo


Monitori2acin e infor"es en tie"po real1
&SA Serer '(() per"ite er logs de fire%all. Pro/! 6eb ! ,eli"itador de Mensajes
SM8P en tie"po real. *a consola de "onitori2acin "uestra las entradas del log a
"edida que se an grabando en el archio de log del fire%all.

:acilidades de consulta al log incorporadas1
#s posible lan2ar consultas a los archios de log utili2ando las facilidades de
consultas a log incorporadas. Pueden consultarse los logs para obtener infor"acin
de cualquiera de los ca"pos que contienen. Se puede li"itar el alcance de las
consultas a un "arco te"poral concreto. *os resultados aparecen en la consola de
&SA Serer '(() ! pueden copiarse al portapapeles ! pegarse en otra aplicacin para
reali2ar an+lisis "+s detallados.

Monitori2acin ! filtrado en tie"po real de las sesiones de fire%all1
&SA Serer '(() per"ite er todas las cone/iones actias en el fire%all. #n la ista
de una sesin se pueden ordenar o desconectar sesiones indiiduales o grupos de
ellas. Ade"+s se pueden filtrar las entradas en la interfa2 de sesin para centrarse
en las sesiones de inter4s utili2ando la facilidad de filtrado de sesiones incorporada.

Verificadores de cone/in1
Se puede erificar la conectiidad "onitori2ando regular"ente las cone/iones a
"+quinas o 0R* concretas desde una "+quina &SA Serer '(() usando los
Verificadores de -one/in. Se puede seleccionar el "4todo a e"plear para
co"probar la conectiidad1 ping. 8-P. cone/in a un puerto o $88P E#8. Se puede
seleccionar la cone/in a "onitori2ar especificando una direccin &P. un no"bre de
"+quina o 0R*.

Personali2acin de infor"es de &SA Serer '(()1
&SA Serer '((( per"ita una personali2acin li"itada de los infor"es generados por
el fire%all. &SA Serer '(() incorpora una funcionalidad "ejorada de personali2acin
de infor"es que per"ite incluir "+s infor"acin en los reports del fire%all.

Publicacin de infor"es1
*os trabajos de infor"es de &SA Serer '(() se pueden configurar para guardar
auto"+tica"ente una copia del report en una carpeta local o co"partida en otra
"+quina. #sta carpeta o recurso co"partido se puede "apear a un directorio irtual
de un sitio 6eb. de "odo que otros usuarios pueden leer el infor"e. Se pueden
publicar "anual"ente los infor"es que no se han configurado para su publicacin
auto"+tica despu4s de generarse.

Notificacin por eF"ail tras la creacin de un infor"e1
Se puede configurar un trabajo de infor"e para que ene un "ensaje por correo
electrnico una e2 co"pletado el trabajo de generacin del infor"e.
Ventana de tie"po personali2able para la creacin de res>"enes del log &SA
Serer '((( inclua en su progra"acin la creacin de res>"enes de log a las G'17(
AM. *os infor"es se basaban en la infor"acin contenida en los res>"enes de log.
&SA Serer '(() per"ite "odificar f+cil"ente el "o"ento de creacin de estos
res>"enes de log. ofreciendo una gran fle/ibilidad a la hora de definir el "o"ento
de creacin de los infor"es.

*og "ejorado en SH*1
Se pueden olcar los logs a una base de datos SH* e"pla2ada en otra "+quina
dentro de la red interna. #l log de &SA Serer '(() sobre SH* ha sido opti"i2ado
para obtener un rendi"iento "u! superior en co"paracin con el log a SH* que
ofreca &SA Serer '(((.

*og en una base de datos MS,#1
*os logs se pueden al"acenar ahora ta"bi4n en for"ato MS,#. *a grabacin de
registros de log en una base de datos local "ejora la elocidad de respuesta en las
consultas ! la fle/ibilidad.

2. Requeriientos
a. -valuando entorno




&SA Serer '(() resulta "u! alioso para los ad"inistradores de tecnologas de la
infor"acin. ad"inistradores de red ! profesionales de seguridad de la infor"acin
preocupados por la seguridad. el rendi"iento. la facilidad de ad"inistracin ! los
costos operatios de las redes de las que se ocupan. Resulta igual"ente entajoso
para las organi2aciones de ta"a5o peque5o. "ediano o grande. #n las secciones
siguientes se describen algunos de los escenarios de red en los que se puede
e"plear &SA Serer '(().
Consi$a de fora se$ura # sencilla que el correo electrnico est. a
disposicin de los usuarios que tra%a(an fuera de la red
&SA Serer '(() ofrece un grado >nico de proteccin para los sitios 6eb 96A.
Eracias a la interfa2 de &SA Serer '((). f+cil de utili2ar. las organi2aciones pueden
configurar con rapide2 una regla de publicacin en 6eb que e/ija una autenticacin
segura basada en for"ularios. &SA Serer '(() ta"bi4n i"pide los ataques contra
seridores de correo electrnico. !a sea a tra4s del descifrado Secure SocBets *a!er
;SS*<. que per"ite que el tr+fico SS* sea inspeccionado en busca de cdigo
peligroso. o gracias al filtrado $88P. que hace posible la inspeccin "inuciosa del
contenido de las aplicaciones. Ade"+s. &SA Serer '(() usa una autenticacin preia
para i"pedir los inicios de sesin de usuarios anni"os. que constitu!en un "4todo
de ataque clae en seridores internos.
&SA Serer '(() aproecha la autenticacin e/istente. en la que interienen arios
factores. ! proporciona un siste"a de autenticacin tanto en el caso de que el correo
re"oto e"plee RA,&0S ;Remote Authentication Dial-In User Service< co"o si utili2a
RSA Secur&,. ,e este "odo. &SA Serer '(() le a!uda a i"pedir que las solicitudes
anni"as. potencial"ente peligrosas. lleguen a Microsoft #/change Serer. 0na
proteccin adicional se deria de las capacidades de tie"po de espera de sesin !
bloqueo de archios adjuntos que &SA Serer '(() proporciona. con lo que se i"pide
que las sesiones de correo electrnico de los usuarios se queden abiertas
indefinida"ente para que otros las usen.
*a figura G ilustra el "odo en que &SA Serer '(() contribu!e a proteger el acceso al
correo electrnico para los usuarios que trabajan fuera de la red corporatia.
/i$ura 1. &SA Serer '(() per"ite poner el correo
electrnico a disposicin de usuarios fuera de la red
corporatia de for"a f+cil ! segura

*roporcione la inforacin de la intranet a trav.s de Internet de un odo
sencillo # se$uro
Eracias a la publicacin en 6eb ! en los seridores. &SA Serer '(() hace posible
que las aplicaciones de una intranet publiquen infor"acin a tra4s de &nternet de
una for"a segura. *os asistentes integrados para publicacin en seridores ! en 6eb
auto"ati2an las operaciones co"unes ! reducen el riesgo de que se produ2can
errores en la configuracin. Ade"+s. la funcionalidad de traduccin de nculos de
&SA Serer '(() per"ite la traduccin inteligente de nculos internos en sitios
accesibles p>blica"ente. &SA Serer '(() ta"bi4n puede inspeccionar el tr+fico para
co"probar su legiti"idad. e/igir el uso de direcciones 0R* +lidas ! reali2ar una
autenticacin preia de los usuarios a tra4s de las estructuras de autenticacin
e/istentes. de "odo que pueda i"pedir que las solicitudes anni"as potencial"ente
peligrosas lleguen a los seridores de publicacin. *a figura ' ilustra el "odo en que
&SA Serer '(() puede a!udarle a proteger la red corporatia al tie"po que
consigue que la infor"acin de la intranet est4 disponible a tra4s de &nternet.
/i$ura 2. &SA Serer '(() per"ite publicar la
infor"acin de la intranet de for"a segura ! sencilla
a tra4s de &nternet



*erita que sus partners ten$an acceso a la inforacin relevante de la red
corporativa de un odo se$uro
Eracias a la capacidad de VPN integrada en &SA Serer '((). puede conectar con
seguridad a sus asociados co"erciales ;partners< a la red corporatia "ientras li"ita
su acceso a seridores ! aplicaciones especficos. &SA Serer '(() cifra todo el
tr+fico entre el partner ! la red corporatia. garanti2ando la confidencialidad e
i"pidiendo que los datos sean "odificados. Ade"+s. los seridores del e/tre"o de la
red priada irtual se autentican entre s !. una e2 autenticados. &SA Serer '(()
aplica directias de enruta"iento ! acceso que li"itan el "odo en que los partners
pueden recorrer la red corporatia. 8a"bi4n puede usar &SA Serer '(() para
aplicar reglas estrictas de filtrado de aplicaciones que a!udar+n a proteger la red
corporatia frente a ataques aan2ados del niel de aplicacin. *a figura 7 "uestra la
for"a en que &SA Serer puede proteger la red corporatia al tie"po que per"ite
que la infor"acin releante siga estando disponible para sus partners.
/i$ura !. -on &SA Serer '((). puede proporcionar
a sus partners un acceso seguro a la infor"acin
corporatia releante

*roporcione un acceso reoto se$uro # fle0i%le a los usuarios ientras
contri%u#e a prote$er la red corporativa del tr1fico per(udicial
A tra4s del filtrado aan2ado del niel de aplicacin. que per"ite inspeccionar !
anali2ar el tr+fico con el fin de i"pedir el paso de gusanos ! irus. &SA Serer '(()
puede a!udar a proteger una red corporatia de los equipos re"otos no
ad"inistrados que tienen acceso a ella a tra4s de una VPN. 8a"bi4n puede utili2ar
&SA Serer para asignar directias fle/ibles de red a los grupos ! usuarios de VPN.
per"iti4ndoles tener acceso >nica"ente a seridores ! aplicaciones especficos. Para
conseguir una seguridad aan2ada. &SA Serer '(() puede poner en cuarentena a
los clientes que no cu"plan las directias corporatias preconfiguradas en relacin a
la instalacin de actuali2aciones de soft%are. soft%are antiirus u otras
configuraciones especficas para los equipos. *a figura ) "uestra el "odo en que &SA
Serer a!uda a proteger la red corporatia al tie"po que proporciona acceso re"oto
a los usuarios de la e"presa.

/i$ura 4. &SA Serer '(() per"ite proporcionar a
los usuarios un acceso re"oto seguro ! fle/ible a la
red corporatia "ientras contribu!e a proteger la red
del tr+fico peligroso


*erita que las sucursales se couniquen con la oficina principal a trav.s
de Internet con se$uridad
0na puerta de enlace VPN de &SA Serer '(() se usa para que los ad"inistradores
unan redes enteras a tra4s de nculos entre sitios VPN. por eje"plo. conectando
las sucursales ! la oficina principal entre s. *a caracterstica de enrutador VPN en el
"odo de t>nel de Seguridad de Protocolo &nternet ;&PSec< incluida en &SA Serer
'(() per"ite que los ad"inistradores del seridor de seguridad estable2can
controles estrictos de acceso. por eje"plo. especficos del niel de aplicacin.
usuario. grupo. sitio. equipo ! protocolo sobre el tr+fico que pasa por el nculo entre
los sitios. -on estos controles i"plantados. los usuarios de la red local pueden tener
acceso >nica"ente al contenido per"itido en la red re"ota ! los usuarios de 4sta
slo pueden tener acceso a los recursos designados de la red local. *a figura I ilustra
el "odo en que &SA Serer a!uda a proteger las cone/iones entre las sucursales ! la
oficina principal.

/i$ura 2. &SA Serer '(() a!uda a proteger las
cone/iones entre las sucursales ! la oficina principal


Controle el acceso a Internet # prote(a a los clientes del tr1fico peli$roso en
Internet
-on &SA Serer '((). puede controlar ! aplicar f+cil"ente directias de acceso en
&nternet destinadas a grupos de usuarios. ade"+s de protegerles del tr+fico
peligroso de &nternet. *as fle/ibles directias de seridor de seguridad tienen en
cuenta tanto el bloqueo de sitios 6eb co"o el filtrado de contenido. en a"bos casos
para "ejorar la productiidad de los usuarios ! bloquear el contenido inapropiado.
&SA Serer '(() ta"bi4n se puede integrar con Actie ,irector!. con lo que se
per"ite la creacin de controles de acceso personali2ados para diferentes funciones
organi2atias ! tipos de trabajo.
Ade"+s. el filtrado de aplicaciones en &SA Serer '(() posibilita la "ejora de la
confiabilidad del entorno al proteger los equipos de escritorio ! los seridores de
ataques aan2ados. Por eje"plo. el filtrado $88P aan2ado puede i"pedir el uso de
las aplicaciones incrustadas. por eje"plo. las aplicaciones co"unes de "ensajera
instant+nea ! de ele"entos del "is"o niel. #l filtrado del tr+fico en &SA Serer
'(() ta"bi4n frustra "uchas for"as co"unes de ataque al i"pedir el acceso desde
el e/terior a los clientes internos. co"probar la alide2 del tr+fico entrante de
replicacin ! confir"ar que los co"ple"entos de terceros no contienen gusanos ni
irus. *a figura J ilustra el "odo en que &SA Serer controla el acceso a &nternet !
a!uda a proteger a los clientes frente al tr+fico peligroso en &nternet.

/i$ura 3. &SA Serer '(() controla el tr+fico en
&nternet ! a!uda a proteger a los clientes del tr+fico
peligroso

4arantice un acceso r1pido al contenido 5e% que 1s se usa
*as capacidades de al"acena"iento en cach4 de &SA Serer '(() garanti2an un
acceso r+pido al contenido 6eb "+s usado. -on el al"acena"iento en cach4 ! la
caracterstica de recuperacin preia. &SA Serer '(() puede aprender patrones de
tr+fico 6eb ! descargar auto"+tica"ente los sitios 6eb que se suelen solicitar para
que est4n disponibles en seguida. &SA Serer ta"bi4n puede enrutar las solicitudes
especficas para los seridores de al"acena"iento en cach4 que preceden en la
cadena si la cach4 de los que siguen en la cadena est+ llena. *as figuras K ! C
"uestran c"o usa &SA Serer sus capacidades de al"acena"iento en cach4 con
seridores estructurados en cadena para proporcionar un acceso r+pido al contenido
6eb "+s utili2ado.
/i$ura 6. #l al"acena"iento en cach4 en los
seridores que siguen en la cadena proporciona un
acceso r+pido a contenido 6eb popular

/i$ura 7. #l al"acena"iento en cach4 en los
seridores que preceden en la cadena est+ disponible
cuando las cach4s de los seridores que siguen en la
cadena se llenan

%. Requisitos de 8ard9are


Para usar &nternet Securit! and Acceleration ;&SA< Serer '(() Standard #dition. necesita un siste"a con la
siguiente configuracin. co"o "ni"o1

Requisitos &nios
*rocesador Pentiu" &&& a II( M$2 o superior ;&SA Serer '(() Standard #dition ad"ite hasta
cuatro -P0 en un seridor<
'eoria 'IJ MB de RAM o "+s ;se reco"ienda<
"isco duro Particin local con for"ato N8:S ! GI( MB de espacio disponible en el disco duro3 se
requiere espacio adicional para el contenido de la cach4 6eb
:tros dispositivos Adaptador de red co"patible con el siste"a operatio del equipo para
co"unicarse con la red interna3 un adaptador de red adicional. "de" o
adaptador R,S& ;&S,N< para cada red adicional conectada al equipo &SA Serer

0nidad de -,FR9M o ,V,FR9M
Monitor VEA o de resolucin superior
8eclado ! Microsoft Mouse o dispositio se5alador co"patible

c. Requisitos de Soft9are


Requisitos &nios
Sistea operativo Microsoft 6indo%s '((( Serer o Adanced Serer con Serice PacB ) o una ersin
posterior3 6indo%s '((( ,atacenter Serer o 6indo%s Serer '((7 Standard #dition
o #nterprise #dition

Notas:
Si instala &SA Serer '(() Standard #dition en un siste"a operatio 6indo%s
'((( Serer. debe instalar lo siguiente1 Serice PacB ) de 6indo%s '((( o una
ersin posterior. e &nternet #/plorer J o una ersin posterior.
Si usa la ersin 6indo%s '((( Serer o Adanced Serer con Serice PacB ).
debe instalar el hotfi/ especificado en el artculo C'GCCK de Microsoft Lno%ledge
Base.

3. "eplo# de ISA 2004.
a. Instalar ISA Server 2004



#l siguiente paso consiste en instalar el soft%are de &SA Serer '((). *a instalacin
es un proceso relatia"ente si"ple. pero ire"os siguiendo en detalle cada paso para
asegurarnos de que entiende adecuada"ente todo cuanto sucede.
Siga estos pasos para instalar el soft%are de &SA Serer '(() en una "+quina
6indo%s Serer '((7 con dos tarjetas de red1

1. 9btenga su -,FRo" de &SA Serer '(() Standard #dition. introdu2ca el -,. si
su P- no tiene Autopla! haga doble clicB sobre el archio isaautorun.e0e.
2. #n la p+gina 'icrosoft Internet Securit# and Acceleration Server 2004
Setup haga clicB sobre el nculo Revie9 Release Notes ! lea las notas de
ersin. #ste docu"ento no es "u! largo ! contiene infor"acin >til sobre las
caractersticas que funcionan ! las que no. as co"o consejos interesantes para
saber c"o acceder a &nternet desde la propia "+quina del fire%all &SA Serer
'((). 0na e2 ledas las notas de ersin. haga clicB sobre Read Setup and
/eature 4uide. No es preciso leerse toda la gua ahora. pero reco"enda"os
que la i"pri"a para leerla despu4s. :inal"ente. haga clicB sobre el nculo
Install ISA Server 2004.
3. Pulse Ne0t en la p+gina 5elcoe to t,e Installation 5i;ard for 'icrosoft
ISA Server 2004 +eta 2.
4. Seleccione la opcin I accept t,e ters in t,e license a$reeent en la
p+gina <icense A$reeent ! pulse Ne0t.
5. En la pgina Customer Information, introduzca su nombre y el de su organizacin
en los cuadros de texto User Name y Organization. El Product Serial Number se
genera automticamente. Pulse Net.
6. En la pgina Setu! "#!e, seleccione la opcin Custom. Si no quiere instalar el
sot!are de "S# Ser$er 2%%& en el disco '(, pulse el botn C$ange para modiicar la
ubicacin de los arc)i$os de programa en el disco duro. Pulse Net.


7. En la pgina Custom Setu! puede elegir los componentes a instalar. Por deecto, se
instalan %ire&all Services, ISA Server 'anagement y %ire&all Client Installation
S$are. El componente 'essage Screener, utilizado para controlar el paso de spam y
arc)i$os ad*untos de correo desde o )acia "nternet, no se instala por deecto.
+ecesitar instalar el ser$icio S,-P de ""S ..% en el ire!all "S# Ser$er 2%%& antes
de instalar el 'essage Screener. En el uturo editar/ algunos art0culos sobre cmo
instalar el 'essage Screener en el ire!all "S# Ser$er 2%%& para controlar el lu*o
entrante y saliente de spam y arc)i$os ad*untos en mensa*es de correo. #cepte los
$alores por deecto y pulse Net.


8. En la pgina Internal Net&or(, pulse el botn Add. El concepto de red interna es
dierente a como "S# Ser$er 2%%% utilizaba la 1#-. En el caso de "S# Ser$er 2%%&,
la red interna contiene ser$icios de red de conianza con los cuales el ire!all "S#
Ser$er 2%%& debe comunicarse. Por e*emplo, los controladores de dominio del
2irectorio #cti$o, 2+S, 23'P, clientes de ser$icios de terminal y otros. 1a Pol0tica
de Sistema del ire!all se aplica automticamente a la red interna.

9. En la pgina de coniguracin de Internal Net&or(, pulse el botn Configure
Internal Net&or(.


10. En el cuadro de dilogo Configure Internal Net&or(, borre las marcas de seleccin
de Add t$e follo&ing !rivate ranges4 ,antenga seleccionada la opcin Add
address ranges based on t$e )indo&s *outing "able. ,arque en el cuadro de
seleccin *unto a la tar*eta de red conectada a la red interna y pulse O+.

11. Pulse O+ en el cuadro de dilogo que inorma de que se )a deinido una red interna
basndose en la tabla de rutas de 5indo!s.


12. Pulse O+ en la lista de rangos de direcciones de la red interna.


13. Pulse Net en la pgina Internal Net&or(.


14. Pulse Install en la pgina *ead# to Install t$e Program.
15. En la pgina Installation )izard Com!leted, marque la opcin Invo(e ISA Server
'anagement &$en )izard closes y despu/s, pulse %inis$.


16. Se abre la consola de administracin de ,icrosot "nternet Security and #cceleration
Ser$er 2%%&. Por deecto el usuario es dirigido )acia el nodo superior en el panel de la
izquierda. +tese que la consola de "S# Ser$er 2%%& necesita algo ms de espacio
para $isualizarse que la "S# Ser$er 2%%%. Para sacar el mximo pro$ec)o de la
interaz grica, cambie su resolucin a 1%2&x6.7 o superior. 8o )e tenido que
mantener la resolucin de .&%x&7% para obtener las capturas de pantalla en un tama9o
adecuado para $isualizarse en pginas !eb. Por eso utilizar/ el botn S$o&,-ide
Console "ree en la barra de botones de la consola con cierta recuencia.

&. Confi$uracin de acceso a internet para la red corporativa.
a. *evisar la Pol.tica de Sistema


Por defecto. &SA Serer '(() no per"ite el acceso de salida a &nternet ! no per"ite
a los siste"as de &nternet acceder al fire%all. No obstante. se instala una Poltica de
Siste"a por defecto en el fire%all que per"ite co"pletar las tareas de ad"inistracin
de la red.
Siga estos pasos para er la Poltica de Siste"a por defecto del fire%all1

#n la consola de ad"inistracin de 'icrosoft Internet Securit# and Acceleration
Server 2004. e/tienda el nodo del seridor en el panel de b>squeda ;panel
i2quierdo< ! pulse sobre el nodo /ire9all *olic#. Pulse con el botn derecho sobre
el nodo /ire9all *olic#. seleccione )ie9 ! pulse en S,o9 S#ste Rules.
%. Confi$uracin de Access *olic#




1. Pulse el botn S,o9=8ide Console >ree ! despu4s. en la flecha :pen=Close
>as? *ane ;la flechita a2ul en el borde i2quierdo del panel de tareas en la parte
derecha de la consola<. Ver+ que la Poltica de Acceso de &SA Serer '(()
aparece en una lista ordenada. *as polticas se procesan desde arriba a abajo. lo
que es un ca"bio sustancial con respecto a co"o lo haca &SA Serer '(((. *a
Poltica de Siste"a representa una lista de reglas que controlan el acceso al
fire%all &SA Serer '(() por defecto. ,esplace la lista de S#ste *olic# Rules
hacia abajo. Puede co"probar que las reglas se definen por1
N@ero de orden
No%re
Accin Aperitir o dene$arB
*rotocolos
"esde Ared o 1quina de ori$enB
8acia Asistea o red de destinoB
Condicin Aa qui.n o a qu. se aplica la re$laB

Puede que le interese a"pliar la colu"na Nae para obserar por enci"a las reglas.
Ver+ que no todas est+n actiadas. *as Reglas de Poltica de Siste"a que est+n
deshabilitadas por defecto tienen un puntito rojo en su esquina inferior derecha. *as
reglas de Poltica de Siste"a deshabilitadas se actiar+n auto"+tica"ente al hacer
ca"bios de configuracin en el fire%all &SA Serer '((). co"o podran ser el
habilitar acceso VPN.

:jese en que una de las reglas de Poltica de Siste"a per"ite al fire%all reali2ar
consultas ,NS a seridores ,NS en todas las redes.



2. -o"pruebe las reglas de Poltica de Siste"a ! oc>ltelas pulsando el botn
S,o9=8ide S#ste *olic# Rules en la barra de botones de la consola. #s el
botn pulsado que se e en la figura siguiente1
3.


Crear una *ol&tica de Acceso de tr1fico de salida C>odo a%iertoD

*a pri"era cosa que pr+ctica"ente todos quere"os hacer es co"probar si &SA
Serer est+ funcionando real"ente. Se puede er creando una poltica de acceso de
tr+fico de salida @todo abiertoA que per"ite a los clientes SecurreNA8 acceder a
&nternet. -oniene tener en cuenta que esta poltica @todo abiertoA es sola"ente
para fines de test. *as redes seguras no per"iten que pase todo el tr+fico hacia
afuera. ! a los usuarios sola"ente se les dar+ acceso a los protocolos que necesitan.
#sta es la diferencia entre un fire%all &SA Serer '(() ! un fire%all tradicional.
basado en el filtrado de paquetes.
Siga estos pasos para crear una poltica de acceso de tr+fico de salida @todo abiertoA1
1. #n la consola de ad"inistracin de Microsoft &nternet Securit! and Acceleration
Serer '((). pulse el botn S,o9=8ide Console >ree para e/poner el panel de
isuali2acin. $aga clicB con el botn derecho sobre el nodo /ire9all *olic#E
seleccione Ne9 ! pulse Access Rule.


2. #n la p+gina 5elcoe to t,e Ne9 Access Rule 5i;ard. introdu2ca el te/to
All :pen :ut%ound en el cuadro de te/to de Access polic# rule nae. Pulse
:F.


3. #n la p+gina Rule Action. seleccione la opcin Allo9 ! pulse Ne0t.


4. #n la p+gina *rotocols. seleccione la opcin All out%ound protocols ! pulse
Ne0t.


5. #n la p+gina Access Rule Sources. pulse el botn Add. #n el cuadro de di+logo
Add Net9or? -ntities. seleccione la carpeta Net9or?s. $aga doble clicB en la
red Internal. ! luego pulse el botn Close en el di+logo Add Net9or? -ntities.
Si lo desea. puede pulsar en cada una de las carpetas. para poder er las
#ntidades de Red que ienen predefinidas en el fire%all &SA Serer '((). #stas
#ntidades de Red le proporcionan un control "u! bien ajustado sobre los accesos
de entrada ! salida. Pulse Ne0t en el di+logo Access Rule Sources.


6. Pulse el botn Add en la p+gina Access Rule "estinations. #n el di+logo Add
Net9or? -ntities. seleccione la carpeta Net9or?s. $aga doble clicB sobre la
entrada -0ternal ! pulse Close en el di+logo Add Net9or? -ntities. Pulse
Ne0t en la p+gina Access Rule "estinations.


7. #n la p+gina User Sets. acepte la configuracin por defecto de All Users. &SA
Serer '(() per"ite la creacin de configuraciones de usuario personali2adas
basadas en grupos del ,irectorio Actio o SAM local. #sto per"ite a los
ad"inistradores del fire%all crear grupos de usuarios particulares del fire%all sin
tener que acudir al ,irectorio Actio ! crear los grupos aqu. Pulse Ne0t.


8. Verifique los par+"etros ! pulse /inis, en la p+gina Copletin$ t,e Ne9
Access Rule 5i;ard.
9. Pulse el botn Appl# para guardar los ca"bios ! actuali2ar la poltica del fire%all.
#ste botn est+ en la parte superior del panel de ,etalles ;panel central< de la
consola. #l botn Appl! per"ite hacer ">ltiples ca"bios en la poltica del fire%all
antes de que se apliquen. *os ca"bios se producen de in"ediato en cuanto se
pulsa el botn Appl!.
10. Pulse el botn S,o9=8ide Console >ree para poder isuali2ar toda la lnea de
la Poltica de Acceso en el panel de ,etalles.


*os clientes de la red interna ahora tienen acceso libre a &nternet. *os clientes
Secure NA8 tienen acceso a todos los protocolos enu"erados en la lista de
*rotocols en la caja de herra"ientas de /ire9all *olic#. Siga los pasos indicados a
continuacin para er la caja de herra"ientas de /ire9all *olic#1

1. #n la consola de ad"inistracin de 'icrosoft Internet Securit# and
Acceleration Server 2004. despliegue el panel de contenidos si no est+ isible.
usando el botn S,o9=8ide Console >ree.
2. Si el panel de tareas no queda isible en la parte derecha de la consola. pulse el
botn :pen=Close >as? *ane.
3. #n el Panel de 8areas. pulse la solapa >ool%o0. $aga clicB sobre la etiqueta
*rotocols. Ver+ los protocolos agrupados en grupos lgicos. Pulse en la carpeta
All protocols. Aqu se isuali2a una lista de protocolos predefinidos en el fire%all
&SA Serer '((). Puede crear sus propios protocolos. si lo desea. "+s adelante.
*os clientes SecureNA8 que quieren acceder a protocolos co"plejos necesitar+n.
ade"+s. un filtro de aplicacin. *os clientes de fire%all pueden acceder a todos
los protocolos. incluso a aquellos no e/presa"ente incluidos en la lista ;ta"bi4n a
los protocolos co"plejos<.


*a siguiente regla que tene"os que crear es una Poltica de Siste"a que per"ita a
los clientes de la red interna conectar al seridor ,NS en el fire%all &SA Serer '(().
Recuerde que &SA Serer '(() es distinto de &SA Serer '(((3 la Poltica de Acceso
se aplica a todos los interfaces. de "odo que la interfa2 de red interna est+ igual de
protegida que el resto de interfaces.
Siga estos pasos para crear una regla de ,NS que per"itir+ a los usuarios de la red
interna acceder al ,NS1
1. Pulse el botn S,o9=8ide Console >ree para a"pliar el panel de isuali2acin.
$aga clicB con el botn derecho sobre el nodo /ire9all *olic#. seleccione Ne9 !
pulse en Access Rule.
2. #n la p+gina 5elcoe to t,e Ne9 Access Rule 5i;ard. introdu2ca "NS fro
Internal Net9or? en el cuadro de di+logo Access polic# rule nae. Pulse
Ne0t.
3. #lija Allo9 en la p+gina Rule Action ! pulse Ne0t.
4. #n la p+gina *rotocols. seleccione la opcin Selected protocols de la lista >,is
rule applies to. Pulse el botn Add.
5. #n el cuadro de di+logo Add *rotocols. pulse en la carpeta Infrastructure.
$aga doble clicB sobre el protocolo "NS ! pulse Close en el cuadro de di+logo
Add *rotocols. Pulse Ne0t en la p+gina *rotocols.


6. #n la p+gina Access Rule Sources. pulse Add. Seleccione la carpeta Net9or?s
! haga doble clicB en la red Internal. Pulse Close en el cuadro de di+logo Add
Net9or? -ntities. Pulse Ne0t en la p+gina Access Rule Sources.
7. #n la p+gina Access Rule "estinations. pulse el botn Add. #n el di+logo Add
Net9or? -ntities. "arque la carpeta Net9or?s. $aga doble clicB en la entrada
<ocal 8ost. Pulse Close en el di+logo Add Net9or? -ntities. Pulse Ne0t en la
p+gina Access Rule "estinations.


8. Acepte el alor por defecto de All Users en la p+gina User Sets. Pulse Ne0t.
9. Pulse /inis, en la p+gina Copletin$ t,e Ne9 Access Rule 5i;ard.
10. Pulse Appl# para guardar los ca"bios ! actuali2ar las polticas del fire%all.

-rear una poltica $88P que i"pide descargas "ediante $88P

*a poltica $88P de &SA Serer per"ite un control "u! e/haustio sobre aquello a
que los usuarios pueden acceder "ediante el protocolo $88P. *a poltica $88P puede
utili2arse para i"pedir a los usuarios el acceso a un sitio cualquiera. cualquier tipo de
contenido o cualquier protocolo que pueda tuneli2arse dentro de una cabecera $88P.
#n el futuro entrare"os en los detalles de la poltica $88P. pero en este artculo
introductorio sola"ente ere"os c"o se puede i"pedir de for"a r+pida ! sencilla
que los usuarios se descarguen archios ejecutables usando $88P. -oniene adertir
que la poltica $88P no puede e/a"inar el interior de archios .=&P para saber si ha!
alg>n ejecutable de 6indo%s dentro de 4l.
Siga estos pasos para configurar una Poltica $88P que i"pide el acceso a archios
ejecutables de 6indo%s1

1. $aga clicB con el botn derecho en la Poltica de Acceso All :pen :ut%ound !
pulse en el co"ando Confi$ure 8>>*.


2. #n la solapa 4eneral del di+logo Confi$ure 8>>* polic# for rule. "arque la
casilla de +loc? responses 9it, 5indo9s e0ecuta%le content. Pulse Appl#.
! despu4s. :F.


3. Pulse el botn Appl# para guardar los ca"bios ! actuali2ar las polticas de
fire%all.

Ahora pode"os probar la poltica desde un cliente de la red interna. #l cliente de la
red interna es un cliente SecureNA8. lo que significa que no es un cliente de 6eb
Pro/! o de fire%all. #l gate%a! por defecto del cliente est+ apuntando a la direccin
&P interna del fire%all &SA Serer '((). #l seridor ,NS en el cliente ta"bi4n est+
configurado con la direccin &P interna del fire%all &SA Serer '(().
Realice estos pasos en el cliente SecureNA8 detr+s del fire%all &SA Serer '(()1

1. Abra Internet -0plorer ! isite un sitio 6eb. BienM Se puede acceder a la
p+gina %eb.
2. Ahora. isite el sitio 6eb http1??%%%."icrosoft.co"?do%nloads?details.asp/N
:a"il!&,O'fD'b('cFac)DF))dfFafJcFIbe(C)b7)IfDP,ispla!*angOen ! "uea la
barra de despla2a"iento hacia el final de la p+gina. Pulse sobre el nculo
isafp1.e0e.


3. #l fire%all &SA Serer '(() bloquea la peticin porque se ha configurado la
poltica $88P para i"pedir el acceso a archios ejecutables de 6indo%s.