a. Asistentes para configuraciones b. Asistentes de topologa de red c. Mejoras en VPN d. Bloqueo de contenido e. Mejoras en caching f. Redireccin de puertos en publicacin de Serer g. Mejoras en Reportes ! "onitoreo Cap 2. Requeriientos a. #aluando entorno b. Requisitos de $ard%are c. Requisitos de Soft%are Cap !. "eplo# de ISA 2004. a. &nstalar &SA Serer '(() b. *aboratorio Pr+actico ,eplo! &SA '(() Cap 4. Confi$uracin de acceso a internet para la red corporativa. a. Reisar la poltica de Siste"a b. -onfiguracin de Access Polic! c. *aboratorio Practico -onfigurando Access Polic!
&SA Serer '(() S# per"ite au"entar los nieles de seguridad de las aplicaciones Microsoft "ediante una arquitectura de seguridad "ejorada. con filtrado de niel de aplicacin. funcionalidades VPN total"ente integradas con la platafor"a. ! siste"as de autentificacin co"pletos ! fle/ibles. co"o RSA Secur&, ! RA,&0S. #ntre las nueas caractersticas se encuentran1 soporte para arquitecturas de red "u! diersas. plantillas de red "ejoradas ! asistentes auto"ati2ados3 un editor de polticas con interfa2 gr+fica robusto ! un entorno a"igable de funciones para la solucin de proble"as. &SA Serer '(() S# ta"bi4n aporta notables aances en el captulo del rendi"iento ! per"ite una "ejora sensible de elocidad en el uso de filtros de niel de aplicacin. para aquellos casos en que se pueda necesitar proteccin de niel de aplicacin adicional para Microsoft #/change Serer. &&S. SharePoint u otras aplicaciones. &SA Serer '(() est+ opti"i2ado para un a"plio sector de clientes. desde peque5as e"presas que sola"ente requieren un producto sencillo pero integrado de seguridad peri"etral. a grandes corporaciones que necesitan los "+/i"os nieles de proteccin.
Antes de co"en2ar. hare"os algunas precisiones i"portantes1
Se trata de una ersin Beta. no debe instalarse en un entorno de produccin. &SA Serer '(() se puede instalar sobre 6indo%s '((( ! 6indo%s Serer '((7 &SA Serer '(() aplica polticas de fire%all sobre todos los interfaces. por lo que su "odo de trabajo es distinto a co"o era con &SA Serer '((( 8ras instalar &SA Serer '((). coniene dedicar un rato a conocer la nuea interfa2 de usuario. 1. Nuevas funcionalidades
&SA Serer '(() inclu!e nu"erosas caractersticas ! "ejoras. particular"ente cuando se instala en un siste"a donde se ejecuta 6indo%s Serer '((7. Por eje"plo1 0na interfa2 de usuario nuea ! si"plificada -o"patibilidad con arias redes -o"patibilidad "ejorada con VPN -apacidades de cuarentena VPN -apacidad para crear grupos de usuarios personali2ados de seridor de seguridad 0na "a!or co"patibilidad con protocolos ,efiniciones personali2adas de protocolos 96A Publishing 6i2ard -o"patibilidad "ejorada con la directia para cargar ! descargar en :8P 0na publicacin en 6eb "ejorada Redireccin de puertos con reglas de publicacin en seridores Reglas de cach4 "ejoradas para el al"acena"iento centrali2ado de objetos Asignacin de rutas para las reglas de publicacin en 6eb -o"patibilidad con RA,&0S para la autenticacin de clientes pro/! 6eb ,elegacin de la autenticacin b+sica Autenticacin de identificadores seguros :or"ularios generados por los seridores de seguridad ;autenticacin basada en for"ularios< 0n filtro de "ensajes SM8P "ejorado 0n filtrado $88P "ejorado 8raduccin de nculos Ma!ores capacidades de superisin ! elaboracin de infor"es a. Asistentes para confi$uraciones
&SA Serer '(() incorpora un nueo conjunto de asistentes que hacen "+s f+cil que nunca la creacin de polticas de acceso. *as polticas de acceso saliente antes. en &SA Serer '(((. necesitaban :iltros de paquetes &P. reglas asociadas a sitios. contenidos ! protocolos. *as polticas de acceso de &SA Serer '(() pueden crearse "ediante un asistente de creacin de reglas de fire%all aan2ado que per"ite configurar cualquier ele"ento de poltica necesario sobre la "archa. No necesita salir del asistente de creacin de reglas para crear un objeto de red. ! cualquier objeto de red o relacin puede crearse dentro del nueo asistente. %. Asistentes de topolo$&a de red
&SA Serer '(() proporciona cinco plantillas de red correspondientes a topologas de red co"unes. *os ad"inistradores las pueden utili2ar para configurar f+cil ! auto"+tica"ente las relaciones de enruta"iento ! las polticas de fire%all para el tr+fico entre redes e/ternas. internas. de VPN ! de ,M=. c. 'e(oras en )*N
Ad"inistracin VPN1 &SA Serer inclu!e "ecanis"os "ucho "+s integrados de red priada irtual. basados en la funcionalidad de 6indo%s Serer '((7.
&nspeccin din+"ica del contenido en VPN1 *os clientes de redes priadas irtuales ;VPN< se configuran co"o una red independiente. Por consiguiente. se pueden crear polticas diferentes para ellos. #l "otor de reglas alida de for"a distinta las peticiones de clientes VPN. inspeccionando el contenido de estas peticiones ! abriendo din+"ica"ente las cone/iones. a partir de la aplicacin de las polticas de acceso.
Soporte de cliente SecureNA8 para clientes VPN conectados al seridor VPN de &SA Serer '(()1 #n &SA Serer '(((. >nica"ente los clientes VPN configurados co"o clientes de fire%all podan acceder a &nternet a tra4s del seridor VPN &SA Serer '(((. &SA Serer '(() a"pla el soporte de cliente VPN per"itiendo a clientes SecureNA8 el acceso a &nternet sin tener el cliente de fire%all instalado en la "+quina. Ade"+s se puede "ejorar la seguridad de la red corporatia aplicando la poltica de fire%all basada en usuarios?grupos a los clientes VPN SecureNA8.
:iltrado e inspeccin din+"ica de contenido para co"unicaciones a tra4s de un t>nel VPN intersite1 &SA Serer '(() introduce la inspeccin ! filtrado de contenido para todas las co"unicaciones que se establecen a tra4s de una cone/in VPN entre redes. #sto per"ite controlar a qu4 recursos pueden acceder qu4 "+quinas o redes en el e/tre"o opuesto del enlace. *as polticas de acceso basadas en usuario?grupo se pueden aplicar para obtener un control granular sobre el uso de recursos a tra4s del enlace.
-uarentena VPN1 &SA Serer '(() potencia la funcionalidad de cuarentena VPN de 6indo%s Serer '((7. *a cuarentena VPN per"ite ubicar los clientes VPN en una red separada hasta co"probar que cu"plen una serie de requisitos de seguridad. *os clientes VPN que superan los test de seguridad quedan ad"itidos para acceder a la red de acuerdo con las polticas de cliente de fire%all VPN. *os clientes VPN que no superan los test de seguridad sola"ente disponen de acceso li"itado a los seridores que les per"itir+n cu"plir con los requisitos de seguridad. d. +loqueo de contenido
:iltro $88P basado en reglas1 *a poltica $88P de &SA Serer '(() per"ite al fire%all reali2ar una inspeccin profunda del contenido $88P ;filtro de niel de aplicacin<. *a a"plitud de esta inspeccin se configura "ediante reglas. #sto posibilita configurar restricciones especficas para el acceso $88P entrante ! saliente.
Bloqueo de acceso a todo contenido ejecutable1 Se puede configurar una poltica $88P en &SA Serer '(() para bloquear todo intento de cone/in para transferir contenido ejecutable bajo 6indo%s. independiente"ente de la e/tensin del archio utili2ado en el recurso.
-ontrol de descargas $88P "ediante e/tensin de archio1 *a poltica $88P de &SA Serer '(() posibilita per"itir todas las e/tensiones de archio e/cepto un grupo concreto de e/tensiones. o bloquear todas las e/tensiones e/cepto un grupo deter"inado. #l filtro $88P se aplica a todas las cone/iones cliente de &SA Serer '(()1 &SA Serer '((( poda bloquear el contenido para cone/iones $88P ! :8P a sus clientes 6eb Pro/! "ediante M&M# #nter ;para $88P< o por e/tensin de archio ;para :8P<. *a poltica de $88P de &SA Serer '(() per"ite el control de acceso $88P para todas las cone/iones de cliente de &SA Serer '((). -ontrol de acceso $88P basado en @fir"as $88PA *a inspeccin en profundidad de $88P de &SA Serer '(() per"ite crear @fir"as $88PA que se pueden co"parar contra la 0R* Solicitada. cabeceras solicitadas. cuerpo solicitado. cabeceras de respuestas ! cuerpo de respuesta. #sto per"ite un control "u! preciso de a qu4 contenido pueden acceder los usuarios internos ! e/ternos a tra4s del fire%all &SA Serer '(().
-ontrol de "4todos $88P per"itidos1 Se puede controlar cu+les "4todos $88P est+n per"itidos a tra4s del fire%all "ediante la aplicacin de controles de acceso para restringir el acceso a usuarios a diersos "4todos. Por eje"plo. se puede li"itar el uso del "4todo $88P P9S8 para i"pedir a los usuarios el eno de datos a sitios 6eb.
-one/iones #/change RP- seguras obligatorias desde clientes 9utlooB MAP&1 *as reglas de publicacin de Seridor #/change Seguro que inclu!e &SA Serer '(() per"iten a los usuarios re"otos conectarse a #/change utili2ando plena"ente las funcionalidades del cliente MAP& 9utlooB sobre &nternet. Sin e"bargo. el cliente 9utlooB debe configurarse para utili2ar RP- seguro. ! for2ar el cifrado de la cone/in. *a poltica RP- de &SA Serer '(() per"ite bloquear todas las cone/iones no cifradas de cliente MAP& 9utlooB.
Poltica :8P1 *a poltica :8P de &SA Serer '(() se puede configurar para ad"itir descargas desde o hacia la red corporatia utili2ando :8P. o bien li"itando el acceso de los usuarios a descargas :8P en sentido entrante.
8raductor de enlaces1 Algunos sitios 6eb publicados pueden incluir referencias a no"bres de "+quina internos. Puesto que sola"ente se ad"iten que el fire%all &SA Serer '(() ! el espacio de no"bres e/terno. ! nunca el espacio de no"bres interno. queden disponibles para clientes e/ternos. estas referencias aparecer+n co"o enlaces rotos. &SA Serer '(() incorpora un traductor de nculos que per"ite crear un diccionario de definiciones de no"bres de "+quinas internas "apeados a no"bres p>blicos disponibles desde el e/terior.
-ontrol granular sobre opciones &P1 #l siste"a de preencin de ataques de &SA Serer '((( per"ita el bloqueo de todas las opciones &P. Sin e"bargo. en algunas ocasiones puede ser necesario habilitar algunas opciones &P para tareas de gestin de la red ! resolucin de proble"as. &SA Serer '(() per"ite configurar opciones &P de for"a "+s granular ! per"itir >nica"ente aquellas opciones &P que se necesitan. bloqueando las de"+s. e. 'e(oras en cac,in$
-ache de 6eb de alto rendi"iento1 Para los clientes internos que acceden a seridores 6eb de &nternet. se acelera el rendi"iento. as co"o el de los usuarios e/ternos que acceden a contenidos de seridores 6eb corporatios. &SA Serer '(() reali2a un cache en RAM r+pido ! un cache a disco opti"i2ado para proporcionar el "ejor rendi"iento posible en la naegacin 6eb.
-ache inteligente1 *os usuarios reciben el contenido 6eb "+s reciente gracias al proceso de cache proactio de los objetos "+s frecuente"ente accedidos. &SA Serer '(() deter"ina de for"a auto"+tica qu4 sitios 6eb son los "+s utili2ados ! con qu4 frecuencia debe refrescarse su contenido bas+ndose en el tie"po que el objeto ha per"anecido en la cache o el "o"ento en el que el objeto se carg por >lti"a e2. &SA Serer '(() puede precargar contenido 6eb en la cache en "o"entos de baja actiidad. sin interencin del ad"inistrador de la red. Aparte esto. el cache 6eb de &SA Serer '(() puede precargar contenido offline al"acenado en -, o ,V,.
-ache planificado1 *a cache se puede precargar con contenidos de sitios 6eb co"pletos siguiendo una planificacin te"poral. *as descargas planificadas garanti2an el acceso al contenido "+s actual para todos los usuarios. ! les per"ite el acceso a contenido 6eb en siste"as fuera de sericio.
-ache jer+rquico1 &SA Serer '(() a"pla a>n "+s los beneficios del cache 6eb per"itiendo configurar una jerarqua de cache. encadenando "atrices de "+quinas basadas en &SA Serer '((). de "odo que los clientes pueden acceder al cache "+s pr/i"o. #ste es un escenario bien conocido de configuracin de redes de oficinas. f. Redireccin de puertos en pu%licacin de Server
Redireccin de puertos para reglas de publicacin de seridores1
*as reglas de publicacin de seridores de &SA Serer '((( redirigan las cone/iones entrantes a un seridor de publicacin en el "is"o puerto que el indicado en la peticin original. &SA Serer '(() per"ite recibir una cone/in en un n>"ero de puerto ! redirigir la peticin a un n>"ero de puerto distinto en el seridor publicado. #sta caracterstica conocida ta"bi4n co"o PA8 ;Port Address Redirection< per"ite publicar arios sericios internos en diferentes puertos e/ternos sin necesidad de "odificar el puerto interno del seicio. Por #je"plo usted podria publicar dos 8er"inal Serices en su puerto por defecto 77CD a la "is"a &P publica en dos puertos diferentes ej1 77CD ! 77D(.
$. 'e(oras en Reportes # onitoreo
Monitori2acin e infor"es en tie"po real1 &SA Serer '(() per"ite er logs de fire%all. Pro/! 6eb ! ,eli"itador de Mensajes SM8P en tie"po real. *a consola de "onitori2acin "uestra las entradas del log a "edida que se an grabando en el archio de log del fire%all.
:acilidades de consulta al log incorporadas1 #s posible lan2ar consultas a los archios de log utili2ando las facilidades de consultas a log incorporadas. Pueden consultarse los logs para obtener infor"acin de cualquiera de los ca"pos que contienen. Se puede li"itar el alcance de las consultas a un "arco te"poral concreto. *os resultados aparecen en la consola de &SA Serer '(() ! pueden copiarse al portapapeles ! pegarse en otra aplicacin para reali2ar an+lisis "+s detallados.
Monitori2acin ! filtrado en tie"po real de las sesiones de fire%all1 &SA Serer '(() per"ite er todas las cone/iones actias en el fire%all. #n la ista de una sesin se pueden ordenar o desconectar sesiones indiiduales o grupos de ellas. Ade"+s se pueden filtrar las entradas en la interfa2 de sesin para centrarse en las sesiones de inter4s utili2ando la facilidad de filtrado de sesiones incorporada.
Verificadores de cone/in1 Se puede erificar la conectiidad "onitori2ando regular"ente las cone/iones a "+quinas o 0R* concretas desde una "+quina &SA Serer '(() usando los Verificadores de -one/in. Se puede seleccionar el "4todo a e"plear para co"probar la conectiidad1 ping. 8-P. cone/in a un puerto o $88P E#8. Se puede seleccionar la cone/in a "onitori2ar especificando una direccin &P. un no"bre de "+quina o 0R*.
Personali2acin de infor"es de &SA Serer '(()1 &SA Serer '((( per"ita una personali2acin li"itada de los infor"es generados por el fire%all. &SA Serer '(() incorpora una funcionalidad "ejorada de personali2acin de infor"es que per"ite incluir "+s infor"acin en los reports del fire%all.
Publicacin de infor"es1 *os trabajos de infor"es de &SA Serer '(() se pueden configurar para guardar auto"+tica"ente una copia del report en una carpeta local o co"partida en otra "+quina. #sta carpeta o recurso co"partido se puede "apear a un directorio irtual de un sitio 6eb. de "odo que otros usuarios pueden leer el infor"e. Se pueden publicar "anual"ente los infor"es que no se han configurado para su publicacin auto"+tica despu4s de generarse.
Notificacin por eF"ail tras la creacin de un infor"e1 Se puede configurar un trabajo de infor"e para que ene un "ensaje por correo electrnico una e2 co"pletado el trabajo de generacin del infor"e. Ventana de tie"po personali2able para la creacin de res>"enes del log &SA Serer '((( inclua en su progra"acin la creacin de res>"enes de log a las G'17( AM. *os infor"es se basaban en la infor"acin contenida en los res>"enes de log. &SA Serer '(() per"ite "odificar f+cil"ente el "o"ento de creacin de estos res>"enes de log. ofreciendo una gran fle/ibilidad a la hora de definir el "o"ento de creacin de los infor"es.
*og "ejorado en SH*1 Se pueden olcar los logs a una base de datos SH* e"pla2ada en otra "+quina dentro de la red interna. #l log de &SA Serer '(() sobre SH* ha sido opti"i2ado para obtener un rendi"iento "u! superior en co"paracin con el log a SH* que ofreca &SA Serer '(((.
*og en una base de datos MS,#1 *os logs se pueden al"acenar ahora ta"bi4n en for"ato MS,#. *a grabacin de registros de log en una base de datos local "ejora la elocidad de respuesta en las consultas ! la fle/ibilidad.
2. Requeriientos a. -valuando entorno
&SA Serer '(() resulta "u! alioso para los ad"inistradores de tecnologas de la infor"acin. ad"inistradores de red ! profesionales de seguridad de la infor"acin preocupados por la seguridad. el rendi"iento. la facilidad de ad"inistracin ! los costos operatios de las redes de las que se ocupan. Resulta igual"ente entajoso para las organi2aciones de ta"a5o peque5o. "ediano o grande. #n las secciones siguientes se describen algunos de los escenarios de red en los que se puede e"plear &SA Serer '((). Consi$a de fora se$ura # sencilla que el correo electrnico est. a disposicin de los usuarios que tra%a(an fuera de la red &SA Serer '(() ofrece un grado >nico de proteccin para los sitios 6eb 96A. Eracias a la interfa2 de &SA Serer '((). f+cil de utili2ar. las organi2aciones pueden configurar con rapide2 una regla de publicacin en 6eb que e/ija una autenticacin segura basada en for"ularios. &SA Serer '(() ta"bi4n i"pide los ataques contra seridores de correo electrnico. !a sea a tra4s del descifrado Secure SocBets *a!er ;SS*<. que per"ite que el tr+fico SS* sea inspeccionado en busca de cdigo peligroso. o gracias al filtrado $88P. que hace posible la inspeccin "inuciosa del contenido de las aplicaciones. Ade"+s. &SA Serer '(() usa una autenticacin preia para i"pedir los inicios de sesin de usuarios anni"os. que constitu!en un "4todo de ataque clae en seridores internos. &SA Serer '(() aproecha la autenticacin e/istente. en la que interienen arios factores. ! proporciona un siste"a de autenticacin tanto en el caso de que el correo re"oto e"plee RA,&0S ;Remote Authentication Dial-In User Service< co"o si utili2a RSA Secur&,. ,e este "odo. &SA Serer '(() le a!uda a i"pedir que las solicitudes anni"as. potencial"ente peligrosas. lleguen a Microsoft #/change Serer. 0na proteccin adicional se deria de las capacidades de tie"po de espera de sesin ! bloqueo de archios adjuntos que &SA Serer '(() proporciona. con lo que se i"pide que las sesiones de correo electrnico de los usuarios se queden abiertas indefinida"ente para que otros las usen. *a figura G ilustra el "odo en que &SA Serer '(() contribu!e a proteger el acceso al correo electrnico para los usuarios que trabajan fuera de la red corporatia. /i$ura 1. &SA Serer '(() per"ite poner el correo electrnico a disposicin de usuarios fuera de la red corporatia de for"a f+cil ! segura
*roporcione la inforacin de la intranet a trav.s de Internet de un odo sencillo # se$uro Eracias a la publicacin en 6eb ! en los seridores. &SA Serer '(() hace posible que las aplicaciones de una intranet publiquen infor"acin a tra4s de &nternet de una for"a segura. *os asistentes integrados para publicacin en seridores ! en 6eb auto"ati2an las operaciones co"unes ! reducen el riesgo de que se produ2can errores en la configuracin. Ade"+s. la funcionalidad de traduccin de nculos de &SA Serer '(() per"ite la traduccin inteligente de nculos internos en sitios accesibles p>blica"ente. &SA Serer '(() ta"bi4n puede inspeccionar el tr+fico para co"probar su legiti"idad. e/igir el uso de direcciones 0R* +lidas ! reali2ar una autenticacin preia de los usuarios a tra4s de las estructuras de autenticacin e/istentes. de "odo que pueda i"pedir que las solicitudes anni"as potencial"ente peligrosas lleguen a los seridores de publicacin. *a figura ' ilustra el "odo en que &SA Serer '(() puede a!udarle a proteger la red corporatia al tie"po que consigue que la infor"acin de la intranet est4 disponible a tra4s de &nternet. /i$ura 2. &SA Serer '(() per"ite publicar la infor"acin de la intranet de for"a segura ! sencilla a tra4s de &nternet
*erita que sus partners ten$an acceso a la inforacin relevante de la red corporativa de un odo se$uro Eracias a la capacidad de VPN integrada en &SA Serer '((). puede conectar con seguridad a sus asociados co"erciales ;partners< a la red corporatia "ientras li"ita su acceso a seridores ! aplicaciones especficos. &SA Serer '(() cifra todo el tr+fico entre el partner ! la red corporatia. garanti2ando la confidencialidad e i"pidiendo que los datos sean "odificados. Ade"+s. los seridores del e/tre"o de la red priada irtual se autentican entre s !. una e2 autenticados. &SA Serer '(() aplica directias de enruta"iento ! acceso que li"itan el "odo en que los partners pueden recorrer la red corporatia. 8a"bi4n puede usar &SA Serer '(() para aplicar reglas estrictas de filtrado de aplicaciones que a!udar+n a proteger la red corporatia frente a ataques aan2ados del niel de aplicacin. *a figura 7 "uestra la for"a en que &SA Serer puede proteger la red corporatia al tie"po que per"ite que la infor"acin releante siga estando disponible para sus partners. /i$ura !. -on &SA Serer '((). puede proporcionar a sus partners un acceso seguro a la infor"acin corporatia releante
*roporcione un acceso reoto se$uro # fle0i%le a los usuarios ientras contri%u#e a prote$er la red corporativa del tr1fico per(udicial A tra4s del filtrado aan2ado del niel de aplicacin. que per"ite inspeccionar ! anali2ar el tr+fico con el fin de i"pedir el paso de gusanos ! irus. &SA Serer '(() puede a!udar a proteger una red corporatia de los equipos re"otos no ad"inistrados que tienen acceso a ella a tra4s de una VPN. 8a"bi4n puede utili2ar &SA Serer para asignar directias fle/ibles de red a los grupos ! usuarios de VPN. per"iti4ndoles tener acceso >nica"ente a seridores ! aplicaciones especficos. Para conseguir una seguridad aan2ada. &SA Serer '(() puede poner en cuarentena a los clientes que no cu"plan las directias corporatias preconfiguradas en relacin a la instalacin de actuali2aciones de soft%are. soft%are antiirus u otras configuraciones especficas para los equipos. *a figura ) "uestra el "odo en que &SA Serer a!uda a proteger la red corporatia al tie"po que proporciona acceso re"oto a los usuarios de la e"presa.
/i$ura 4. &SA Serer '(() per"ite proporcionar a los usuarios un acceso re"oto seguro ! fle/ible a la red corporatia "ientras contribu!e a proteger la red del tr+fico peligroso
*erita que las sucursales se couniquen con la oficina principal a trav.s de Internet con se$uridad 0na puerta de enlace VPN de &SA Serer '(() se usa para que los ad"inistradores unan redes enteras a tra4s de nculos entre sitios VPN. por eje"plo. conectando las sucursales ! la oficina principal entre s. *a caracterstica de enrutador VPN en el "odo de t>nel de Seguridad de Protocolo &nternet ;&PSec< incluida en &SA Serer '(() per"ite que los ad"inistradores del seridor de seguridad estable2can controles estrictos de acceso. por eje"plo. especficos del niel de aplicacin. usuario. grupo. sitio. equipo ! protocolo sobre el tr+fico que pasa por el nculo entre los sitios. -on estos controles i"plantados. los usuarios de la red local pueden tener acceso >nica"ente al contenido per"itido en la red re"ota ! los usuarios de 4sta slo pueden tener acceso a los recursos designados de la red local. *a figura I ilustra el "odo en que &SA Serer a!uda a proteger las cone/iones entre las sucursales ! la oficina principal.
/i$ura 2. &SA Serer '(() a!uda a proteger las cone/iones entre las sucursales ! la oficina principal
Controle el acceso a Internet # prote(a a los clientes del tr1fico peli$roso en Internet -on &SA Serer '((). puede controlar ! aplicar f+cil"ente directias de acceso en &nternet destinadas a grupos de usuarios. ade"+s de protegerles del tr+fico peligroso de &nternet. *as fle/ibles directias de seridor de seguridad tienen en cuenta tanto el bloqueo de sitios 6eb co"o el filtrado de contenido. en a"bos casos para "ejorar la productiidad de los usuarios ! bloquear el contenido inapropiado. &SA Serer '(() ta"bi4n se puede integrar con Actie ,irector!. con lo que se per"ite la creacin de controles de acceso personali2ados para diferentes funciones organi2atias ! tipos de trabajo. Ade"+s. el filtrado de aplicaciones en &SA Serer '(() posibilita la "ejora de la confiabilidad del entorno al proteger los equipos de escritorio ! los seridores de ataques aan2ados. Por eje"plo. el filtrado $88P aan2ado puede i"pedir el uso de las aplicaciones incrustadas. por eje"plo. las aplicaciones co"unes de "ensajera instant+nea ! de ele"entos del "is"o niel. #l filtrado del tr+fico en &SA Serer '(() ta"bi4n frustra "uchas for"as co"unes de ataque al i"pedir el acceso desde el e/terior a los clientes internos. co"probar la alide2 del tr+fico entrante de replicacin ! confir"ar que los co"ple"entos de terceros no contienen gusanos ni irus. *a figura J ilustra el "odo en que &SA Serer controla el acceso a &nternet ! a!uda a proteger a los clientes frente al tr+fico peligroso en &nternet.
/i$ura 3. &SA Serer '(() controla el tr+fico en &nternet ! a!uda a proteger a los clientes del tr+fico peligroso
4arantice un acceso r1pido al contenido 5e% que 1s se usa *as capacidades de al"acena"iento en cach4 de &SA Serer '(() garanti2an un acceso r+pido al contenido 6eb "+s usado. -on el al"acena"iento en cach4 ! la caracterstica de recuperacin preia. &SA Serer '(() puede aprender patrones de tr+fico 6eb ! descargar auto"+tica"ente los sitios 6eb que se suelen solicitar para que est4n disponibles en seguida. &SA Serer ta"bi4n puede enrutar las solicitudes especficas para los seridores de al"acena"iento en cach4 que preceden en la cadena si la cach4 de los que siguen en la cadena est+ llena. *as figuras K ! C "uestran c"o usa &SA Serer sus capacidades de al"acena"iento en cach4 con seridores estructurados en cadena para proporcionar un acceso r+pido al contenido 6eb "+s utili2ado. /i$ura 6. #l al"acena"iento en cach4 en los seridores que siguen en la cadena proporciona un acceso r+pido a contenido 6eb popular
/i$ura 7. #l al"acena"iento en cach4 en los seridores que preceden en la cadena est+ disponible cuando las cach4s de los seridores que siguen en la cadena se llenan
%. Requisitos de 8ard9are
Para usar &nternet Securit! and Acceleration ;&SA< Serer '(() Standard #dition. necesita un siste"a con la siguiente configuracin. co"o "ni"o1
Requisitos &nios *rocesador Pentiu" &&& a II( M$2 o superior ;&SA Serer '(() Standard #dition ad"ite hasta cuatro -P0 en un seridor< 'eoria 'IJ MB de RAM o "+s ;se reco"ienda< "isco duro Particin local con for"ato N8:S ! GI( MB de espacio disponible en el disco duro3 se requiere espacio adicional para el contenido de la cach4 6eb :tros dispositivos Adaptador de red co"patible con el siste"a operatio del equipo para co"unicarse con la red interna3 un adaptador de red adicional. "de" o adaptador R,S& ;&S,N< para cada red adicional conectada al equipo &SA Serer
0nidad de -,FR9M o ,V,FR9M Monitor VEA o de resolucin superior 8eclado ! Microsoft Mouse o dispositio se5alador co"patible
c. Requisitos de Soft9are
Requisitos &nios Sistea operativo Microsoft 6indo%s '((( Serer o Adanced Serer con Serice PacB ) o una ersin posterior3 6indo%s '((( ,atacenter Serer o 6indo%s Serer '((7 Standard #dition o #nterprise #dition
Notas: Si instala &SA Serer '(() Standard #dition en un siste"a operatio 6indo%s '((( Serer. debe instalar lo siguiente1 Serice PacB ) de 6indo%s '((( o una ersin posterior. e &nternet #/plorer J o una ersin posterior. Si usa la ersin 6indo%s '((( Serer o Adanced Serer con Serice PacB ). debe instalar el hotfi/ especificado en el artculo C'GCCK de Microsoft Lno%ledge Base.
3. "eplo# de ISA 2004. a. Instalar ISA Server 2004
#l siguiente paso consiste en instalar el soft%are de &SA Serer '((). *a instalacin es un proceso relatia"ente si"ple. pero ire"os siguiendo en detalle cada paso para asegurarnos de que entiende adecuada"ente todo cuanto sucede. Siga estos pasos para instalar el soft%are de &SA Serer '(() en una "+quina 6indo%s Serer '((7 con dos tarjetas de red1
1. 9btenga su -,FRo" de &SA Serer '(() Standard #dition. introdu2ca el -,. si su P- no tiene Autopla! haga doble clicB sobre el archio isaautorun.e0e. 2. #n la p+gina 'icrosoft Internet Securit# and Acceleration Server 2004 Setup haga clicB sobre el nculo Revie9 Release Notes ! lea las notas de ersin. #ste docu"ento no es "u! largo ! contiene infor"acin >til sobre las caractersticas que funcionan ! las que no. as co"o consejos interesantes para saber c"o acceder a &nternet desde la propia "+quina del fire%all &SA Serer '((). 0na e2 ledas las notas de ersin. haga clicB sobre Read Setup and /eature 4uide. No es preciso leerse toda la gua ahora. pero reco"enda"os que la i"pri"a para leerla despu4s. :inal"ente. haga clicB sobre el nculo Install ISA Server 2004. 3. Pulse Ne0t en la p+gina 5elcoe to t,e Installation 5i;ard for 'icrosoft ISA Server 2004 +eta 2. 4. Seleccione la opcin I accept t,e ters in t,e license a$reeent en la p+gina <icense A$reeent ! pulse Ne0t. 5. En la pgina Customer Information, introduzca su nombre y el de su organizacin en los cuadros de texto User Name y Organization. El Product Serial Number se genera automticamente. Pulse Net. 6. En la pgina Setu! "#!e, seleccione la opcin Custom. Si no quiere instalar el sot!are de "S# Ser$er 2%%& en el disco '(, pulse el botn C$ange para modiicar la ubicacin de los arc)i$os de programa en el disco duro. Pulse Net.
7. En la pgina Custom Setu! puede elegir los componentes a instalar. Por deecto, se instalan %ire&all Services, ISA Server 'anagement y %ire&all Client Installation S$are. El componente 'essage Screener, utilizado para controlar el paso de spam y arc)i$os ad*untos de correo desde o )acia "nternet, no se instala por deecto. +ecesitar instalar el ser$icio S,-P de ""S ..% en el ire!all "S# Ser$er 2%%& antes de instalar el 'essage Screener. En el uturo editar/ algunos art0culos sobre cmo instalar el 'essage Screener en el ire!all "S# Ser$er 2%%& para controlar el lu*o entrante y saliente de spam y arc)i$os ad*untos en mensa*es de correo. #cepte los $alores por deecto y pulse Net.
8. En la pgina Internal Net&or(, pulse el botn Add. El concepto de red interna es dierente a como "S# Ser$er 2%%% utilizaba la 1#-. En el caso de "S# Ser$er 2%%&, la red interna contiene ser$icios de red de conianza con los cuales el ire!all "S# Ser$er 2%%& debe comunicarse. Por e*emplo, los controladores de dominio del 2irectorio #cti$o, 2+S, 23'P, clientes de ser$icios de terminal y otros. 1a Pol0tica de Sistema del ire!all se aplica automticamente a la red interna.
9. En la pgina de coniguracin de Internal Net&or(, pulse el botn Configure Internal Net&or(.
10. En el cuadro de dilogo Configure Internal Net&or(, borre las marcas de seleccin de Add t$e follo&ing !rivate ranges4 ,antenga seleccionada la opcin Add address ranges based on t$e )indo&s *outing "able. ,arque en el cuadro de seleccin *unto a la tar*eta de red conectada a la red interna y pulse O+.
11. Pulse O+ en el cuadro de dilogo que inorma de que se )a deinido una red interna basndose en la tabla de rutas de 5indo!s.
12. Pulse O+ en la lista de rangos de direcciones de la red interna.
13. Pulse Net en la pgina Internal Net&or(.
14. Pulse Install en la pgina *ead# to Install t$e Program. 15. En la pgina Installation )izard Com!leted, marque la opcin Invo(e ISA Server 'anagement &$en )izard closes y despu/s, pulse %inis$.
16. Se abre la consola de administracin de ,icrosot "nternet Security and #cceleration Ser$er 2%%&. Por deecto el usuario es dirigido )acia el nodo superior en el panel de la izquierda. +tese que la consola de "S# Ser$er 2%%& necesita algo ms de espacio para $isualizarse que la "S# Ser$er 2%%%. Para sacar el mximo pro$ec)o de la interaz grica, cambie su resolucin a 1%2&x6.7 o superior. 8o )e tenido que mantener la resolucin de .&%x&7% para obtener las capturas de pantalla en un tama9o adecuado para $isualizarse en pginas !eb. Por eso utilizar/ el botn S$o&,-ide Console "ree en la barra de botones de la consola con cierta recuencia.
&. Confi$uracin de acceso a internet para la red corporativa. a. *evisar la Pol.tica de Sistema
Por defecto. &SA Serer '(() no per"ite el acceso de salida a &nternet ! no per"ite a los siste"as de &nternet acceder al fire%all. No obstante. se instala una Poltica de Siste"a por defecto en el fire%all que per"ite co"pletar las tareas de ad"inistracin de la red. Siga estos pasos para er la Poltica de Siste"a por defecto del fire%all1
#n la consola de ad"inistracin de 'icrosoft Internet Securit# and Acceleration Server 2004. e/tienda el nodo del seridor en el panel de b>squeda ;panel i2quierdo< ! pulse sobre el nodo /ire9all *olic#. Pulse con el botn derecho sobre el nodo /ire9all *olic#. seleccione )ie9 ! pulse en S,o9 S#ste Rules. %. Confi$uracin de Access *olic#
1. Pulse el botn S,o9=8ide Console >ree ! despu4s. en la flecha :pen=Close >as? *ane ;la flechita a2ul en el borde i2quierdo del panel de tareas en la parte derecha de la consola<. Ver+ que la Poltica de Acceso de &SA Serer '(() aparece en una lista ordenada. *as polticas se procesan desde arriba a abajo. lo que es un ca"bio sustancial con respecto a co"o lo haca &SA Serer '(((. *a Poltica de Siste"a representa una lista de reglas que controlan el acceso al fire%all &SA Serer '(() por defecto. ,esplace la lista de S#ste *olic# Rules hacia abajo. Puede co"probar que las reglas se definen por1 N@ero de orden No%re Accin Aperitir o dene$arB *rotocolos "esde Ared o 1quina de ori$enB 8acia Asistea o red de destinoB Condicin Aa qui.n o a qu. se aplica la re$laB
Puede que le interese a"pliar la colu"na Nae para obserar por enci"a las reglas. Ver+ que no todas est+n actiadas. *as Reglas de Poltica de Siste"a que est+n deshabilitadas por defecto tienen un puntito rojo en su esquina inferior derecha. *as reglas de Poltica de Siste"a deshabilitadas se actiar+n auto"+tica"ente al hacer ca"bios de configuracin en el fire%all &SA Serer '((). co"o podran ser el habilitar acceso VPN.
:jese en que una de las reglas de Poltica de Siste"a per"ite al fire%all reali2ar consultas ,NS a seridores ,NS en todas las redes.
2. -o"pruebe las reglas de Poltica de Siste"a ! oc>ltelas pulsando el botn S,o9=8ide S#ste *olic# Rules en la barra de botones de la consola. #s el botn pulsado que se e en la figura siguiente1 3.
Crear una *ol&tica de Acceso de tr1fico de salida C>odo a%iertoD
*a pri"era cosa que pr+ctica"ente todos quere"os hacer es co"probar si &SA Serer est+ funcionando real"ente. Se puede er creando una poltica de acceso de tr+fico de salida @todo abiertoA que per"ite a los clientes SecurreNA8 acceder a &nternet. -oniene tener en cuenta que esta poltica @todo abiertoA es sola"ente para fines de test. *as redes seguras no per"iten que pase todo el tr+fico hacia afuera. ! a los usuarios sola"ente se les dar+ acceso a los protocolos que necesitan. #sta es la diferencia entre un fire%all &SA Serer '(() ! un fire%all tradicional. basado en el filtrado de paquetes. Siga estos pasos para crear una poltica de acceso de tr+fico de salida @todo abiertoA1 1. #n la consola de ad"inistracin de Microsoft &nternet Securit! and Acceleration Serer '((). pulse el botn S,o9=8ide Console >ree para e/poner el panel de isuali2acin. $aga clicB con el botn derecho sobre el nodo /ire9all *olic#E seleccione Ne9 ! pulse Access Rule.
2. #n la p+gina 5elcoe to t,e Ne9 Access Rule 5i;ard. introdu2ca el te/to All :pen :ut%ound en el cuadro de te/to de Access polic# rule nae. Pulse :F.
3. #n la p+gina Rule Action. seleccione la opcin Allo9 ! pulse Ne0t.
4. #n la p+gina *rotocols. seleccione la opcin All out%ound protocols ! pulse Ne0t.
5. #n la p+gina Access Rule Sources. pulse el botn Add. #n el cuadro de di+logo Add Net9or? -ntities. seleccione la carpeta Net9or?s. $aga doble clicB en la red Internal. ! luego pulse el botn Close en el di+logo Add Net9or? -ntities. Si lo desea. puede pulsar en cada una de las carpetas. para poder er las #ntidades de Red que ienen predefinidas en el fire%all &SA Serer '((). #stas #ntidades de Red le proporcionan un control "u! bien ajustado sobre los accesos de entrada ! salida. Pulse Ne0t en el di+logo Access Rule Sources.
6. Pulse el botn Add en la p+gina Access Rule "estinations. #n el di+logo Add Net9or? -ntities. seleccione la carpeta Net9or?s. $aga doble clicB sobre la entrada -0ternal ! pulse Close en el di+logo Add Net9or? -ntities. Pulse Ne0t en la p+gina Access Rule "estinations.
7. #n la p+gina User Sets. acepte la configuracin por defecto de All Users. &SA Serer '(() per"ite la creacin de configuraciones de usuario personali2adas basadas en grupos del ,irectorio Actio o SAM local. #sto per"ite a los ad"inistradores del fire%all crear grupos de usuarios particulares del fire%all sin tener que acudir al ,irectorio Actio ! crear los grupos aqu. Pulse Ne0t.
8. Verifique los par+"etros ! pulse /inis, en la p+gina Copletin$ t,e Ne9 Access Rule 5i;ard. 9. Pulse el botn Appl# para guardar los ca"bios ! actuali2ar la poltica del fire%all. #ste botn est+ en la parte superior del panel de ,etalles ;panel central< de la consola. #l botn Appl! per"ite hacer ">ltiples ca"bios en la poltica del fire%all antes de que se apliquen. *os ca"bios se producen de in"ediato en cuanto se pulsa el botn Appl!. 10. Pulse el botn S,o9=8ide Console >ree para poder isuali2ar toda la lnea de la Poltica de Acceso en el panel de ,etalles.
*os clientes de la red interna ahora tienen acceso libre a &nternet. *os clientes Secure NA8 tienen acceso a todos los protocolos enu"erados en la lista de *rotocols en la caja de herra"ientas de /ire9all *olic#. Siga los pasos indicados a continuacin para er la caja de herra"ientas de /ire9all *olic#1
1. #n la consola de ad"inistracin de 'icrosoft Internet Securit# and Acceleration Server 2004. despliegue el panel de contenidos si no est+ isible. usando el botn S,o9=8ide Console >ree. 2. Si el panel de tareas no queda isible en la parte derecha de la consola. pulse el botn :pen=Close >as? *ane. 3. #n el Panel de 8areas. pulse la solapa >ool%o0. $aga clicB sobre la etiqueta *rotocols. Ver+ los protocolos agrupados en grupos lgicos. Pulse en la carpeta All protocols. Aqu se isuali2a una lista de protocolos predefinidos en el fire%all &SA Serer '((). Puede crear sus propios protocolos. si lo desea. "+s adelante. *os clientes SecureNA8 que quieren acceder a protocolos co"plejos necesitar+n. ade"+s. un filtro de aplicacin. *os clientes de fire%all pueden acceder a todos los protocolos. incluso a aquellos no e/presa"ente incluidos en la lista ;ta"bi4n a los protocolos co"plejos<.
*a siguiente regla que tene"os que crear es una Poltica de Siste"a que per"ita a los clientes de la red interna conectar al seridor ,NS en el fire%all &SA Serer '((). Recuerde que &SA Serer '(() es distinto de &SA Serer '(((3 la Poltica de Acceso se aplica a todos los interfaces. de "odo que la interfa2 de red interna est+ igual de protegida que el resto de interfaces. Siga estos pasos para crear una regla de ,NS que per"itir+ a los usuarios de la red interna acceder al ,NS1 1. Pulse el botn S,o9=8ide Console >ree para a"pliar el panel de isuali2acin. $aga clicB con el botn derecho sobre el nodo /ire9all *olic#. seleccione Ne9 ! pulse en Access Rule. 2. #n la p+gina 5elcoe to t,e Ne9 Access Rule 5i;ard. introdu2ca "NS fro Internal Net9or? en el cuadro de di+logo Access polic# rule nae. Pulse Ne0t. 3. #lija Allo9 en la p+gina Rule Action ! pulse Ne0t. 4. #n la p+gina *rotocols. seleccione la opcin Selected protocols de la lista >,is rule applies to. Pulse el botn Add. 5. #n el cuadro de di+logo Add *rotocols. pulse en la carpeta Infrastructure. $aga doble clicB sobre el protocolo "NS ! pulse Close en el cuadro de di+logo Add *rotocols. Pulse Ne0t en la p+gina *rotocols.
6. #n la p+gina Access Rule Sources. pulse Add. Seleccione la carpeta Net9or?s ! haga doble clicB en la red Internal. Pulse Close en el cuadro de di+logo Add Net9or? -ntities. Pulse Ne0t en la p+gina Access Rule Sources. 7. #n la p+gina Access Rule "estinations. pulse el botn Add. #n el di+logo Add Net9or? -ntities. "arque la carpeta Net9or?s. $aga doble clicB en la entrada <ocal 8ost. Pulse Close en el di+logo Add Net9or? -ntities. Pulse Ne0t en la p+gina Access Rule "estinations.
8. Acepte el alor por defecto de All Users en la p+gina User Sets. Pulse Ne0t. 9. Pulse /inis, en la p+gina Copletin$ t,e Ne9 Access Rule 5i;ard. 10. Pulse Appl# para guardar los ca"bios ! actuali2ar las polticas del fire%all.
-rear una poltica $88P que i"pide descargas "ediante $88P
*a poltica $88P de &SA Serer per"ite un control "u! e/haustio sobre aquello a que los usuarios pueden acceder "ediante el protocolo $88P. *a poltica $88P puede utili2arse para i"pedir a los usuarios el acceso a un sitio cualquiera. cualquier tipo de contenido o cualquier protocolo que pueda tuneli2arse dentro de una cabecera $88P. #n el futuro entrare"os en los detalles de la poltica $88P. pero en este artculo introductorio sola"ente ere"os c"o se puede i"pedir de for"a r+pida ! sencilla que los usuarios se descarguen archios ejecutables usando $88P. -oniene adertir que la poltica $88P no puede e/a"inar el interior de archios .=&P para saber si ha! alg>n ejecutable de 6indo%s dentro de 4l. Siga estos pasos para configurar una Poltica $88P que i"pide el acceso a archios ejecutables de 6indo%s1
1. $aga clicB con el botn derecho en la Poltica de Acceso All :pen :ut%ound ! pulse en el co"ando Confi$ure 8>>*.
2. #n la solapa 4eneral del di+logo Confi$ure 8>>* polic# for rule. "arque la casilla de +loc? responses 9it, 5indo9s e0ecuta%le content. Pulse Appl#. ! despu4s. :F.
3. Pulse el botn Appl# para guardar los ca"bios ! actuali2ar las polticas de fire%all.
Ahora pode"os probar la poltica desde un cliente de la red interna. #l cliente de la red interna es un cliente SecureNA8. lo que significa que no es un cliente de 6eb Pro/! o de fire%all. #l gate%a! por defecto del cliente est+ apuntando a la direccin &P interna del fire%all &SA Serer '((). #l seridor ,NS en el cliente ta"bi4n est+ configurado con la direccin &P interna del fire%all &SA Serer '((). Realice estos pasos en el cliente SecureNA8 detr+s del fire%all &SA Serer '(()1
1. Abra Internet -0plorer ! isite un sitio 6eb. BienM Se puede acceder a la p+gina %eb. 2. Ahora. isite el sitio 6eb http1??%%%."icrosoft.co"?do%nloads?details.asp/N :a"il!&,O'fD'b('cFac)DF))dfFafJcFIbe(C)b7)IfDP,ispla!*angOen ! "uea la barra de despla2a"iento hacia el final de la p+gina. Pulse sobre el nculo isafp1.e0e.
3. #l fire%all &SA Serer '(() bloquea la peticin porque se ha configurado la poltica $88P para i"pedir el acceso a archios ejecutables de 6indo%s.