Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
84
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 112º Unidad DidácticaMicrosoft Internet Securityand Acceleration ServerISA SERVER 2006Eduard Lara
  • 2. 2ISA SERVEREs un firewall de stateful packet inspection (analiza elencabezado de los paquetes IP) y de application layer(analiza la trama de datos en busca de tráfico sospechoso)También es un firewall de red, VPN y web cache.ISA Server 2006 es la última versión, manteniendosiempre el esquema de ediciones estándar y enterprise, ylos appliances de distintos fabricantes de hardware.
  • 3. 3ISA SERVERA partir de febrero de 2007, Microsoft liberó unaedición especial de ISA Server llamada IntelligentApplication Gateway 2007.IAG 2007 es un servicio de VPN por medio de SSL,además de incorporar políticas de seguridad como zonasde cuarentena, chequeos de seguridad en las conexionesentrantes, y definición de perfiles de uso de lasaplicaciones publicadas.IAG 2007 es el producto de la adquisición que realizóMicrosoft de la empresa Whale Communications en Juniode 2006. Microsoft IAG 2007 solamente está disponiblepor medio de appliances.
  • 4. 4VERSIONES ISA SERVERProxy Server 1.01996Proxy Server 2.01999ISA Server 20002000ISA Server 20042004ISA Server 2006 (liberado el 6/9/2006)2006Intelligent Application Gateway 2007 (liberado enFebrero de 2007)2007
  • 5. 5LICENCIAS DEL PRODUCTOISA Server 2006 Ediciones Estándar y Enterpriserequieren el sistema operativo Microsoft Windows Server2003 con Service Pack 1 (SP1) o Microsoft WindowsServer 2003 R2.Microsoft WindowsServer 2003El paquete de licencias para 25 procesadores de ISAServer 2006 Enterprise se ofrece con un descuento del50% para clientes que necesitan ISA Server enescenarios de grandes despliegues, como son las redes deoficinas.ISA Server 2006Ed. Enterprise,paquete de 25procesadoresDiseñado para grandes organizaciones que necesitanopciones de instalación flexibles con los máximos nivelesde disponibilidad, escalabilidad y capacidad de gestión.ISA Server 2006Ed. EnterpriseGateway perimetral integrado que protege el entorno deIT frente a amenazas basadas en Internet y ofrece a losusuarios remotos un acceso rápido y seguro a lasaplicaciones y datosISA Server 2006Ed. Estándar
  • 6. 6PUBLICACIÓN SEGURA DEAPLICACIONESLa publicación segura de aplicaciones con ISA Server2006 permite el acceso de forma protegida aaplicaciones Exchange, SharePoint y otros servidores deaplicaciones Web. Los usuarios remotos pueden accedera ellas desde fuera de la red corporativa con el mismonivel de seguridad y privacidad que desde dentro.
  • 7. 7PUBLICACIÓN SEGURA DEAPLICACIONESBridging basado en SSLBloqueo para ataques con paquetescifradosIntegración de cuarentena para VPNsProtección frente a ataques desde sistemasexternosAdministración de certificados mejoradaUna gestión más sencilla de SSLSoporte para LDAPIntegración flexible con el Active DirectoryBalanceo de carga para la publicación WebPublicar un número elevado de servidoresLogon único (SSO, Single Sign-on), y traducciónautomática de enlaceExperiencias de usuario transparentesAutenticación multifactorial mejorada (consoporte para tarjetas inteligentes, RADIUSOTP), y delegación (NTLM, Kerberos)Control riguroso de la identidadAutenticación basada en formularios WebpersonalizableAcceso seguro para cualquier aplicación Web ydesde cualquier dispositivo de clienteHerramientas para la publicación automática deExchange y SharePointPublicación rápida de correo electrónico yotros contenidosISA Server 2006 le ofreceSu organización necesita…
  • 8. 8GATEWAY PARA REDES DEOFICINASISA Server 2006 puede utilizarse como Gateway pararedes de oficinas. Permite conectar y proteger losenlaces entre oficinas remotas y departamentoscentrales y optimizar el uso del ancho de banda.
  • 9. 9GATEWAY PARA REDES DEOFICINAHerramientas de gestión sencillas y fácilesde aprender y utilizar.Gestión rápida y sencilla de políticas complejasSDK Flexible para crear complementos deprotección, como filtros antivirus y WebAdaptabilidad ante cambios en las modalidades deamenazaInspección de contenidos multinivel y enprofundidad.Detección de ataques sofisticadosIntegración con Microsoft OperationsManager (MOM) 2005Control e informes de actividad de los gatewaysremotosSistema de alertas, condiciones de disparo yrespuestas completo y totalmenteautomatizadoDetección de ataques más rápidaRegistro y control del consumo de memoria ypeticiones DNS pendientes.Medidas de mitigación del impacto en caso deataque.Mayor resistencia ante ataques de gusanosProtección contra gusanos que se propaganinternamenteMayor resistencia a ataques por inundación.Mínima exposición a ataques externos deDenegación de Servicio (DoS) y DDOSISA Server 2006 le ofreceSu organización necesita…
  • 10. 10PROTECCIÓN DEL ACCESOA LA WEBLa protección del acceso a la Web que proporciona ISAServer 2006 aumenta la seguridad a los entornos de ITcorporativos frente a amenazas internas y externasbasadas en Internet.
  • 11. 11PROTECCIÓN DEL ACCESOA LA WEBArquitectura multirred con plantillas deadministración de redes.Aprovechar al máximo la infraestructuraexistenteFuncionalidades de gestión central y remotaGestión centralizado y seguro de lasoficinas remotasCache distribuido jerárquicamente cachepara contenidos WebAcceso rápido con enlaces de ancho debanda mínimoSoporte para DiffServUna mejor gestión de prioridades deltráfico de redPropagación más rápida de políticas yoptimización de conexiones de escaso anchode bandaReducir los costes de soporte de lasinfraestructuras remotasCompresión y cache de HTTPUso eficiente de un ancho de bandalimitadoCache basada en BITS para la distribución deactualizaciones de softwareActualización rápida de los sistemas de lasoficinas remotasHerramientas automatizadas y soporte parainstalaciones desatendidasConfiguración sencilla de las conexionesde oficinas remotasISA Server 2006 le ofreceSu organización necesita…
  • 12. 12CONFIGURACIÓN MÍNIMAPARA ISA SERVER 2006Adaptador de red para la conexión a la red interna.Otro adaptador de red adicional, modem o adaptadorRDSI para cada una de las redes a las que se conecta elequipo. Otra tarjeta de red adicional paracomunicaciones internas si el servidor pertenece a unarray con balanceo de carga (NLB) de ISA Server2006 Enterprise Edition.Adaptador deredPartición en disco duro local con formato NTFS con150 Mb de espacio de disco disponible; puedenecesitarse más espacio para cache WebDisco duroSe recomienda 512 megabytes (MB) de RAM o másMemoriaISA Server 2004 Microsoft Windows Server 2003 conService Pack 1 (SP1) o Microsoft Windows Server2003 R2.SistemaOperativoPC con procesador Pentium III a 733 MHz o superior.Procesador
  • 13. 13Paso 1. Instalar la versión de Windows Server 2003 Enterprise enCastellano que os proporcionará el profesor. Se trata de una versióncon licencia correcta bajada del MSDN. Durante el proceso deinstalación poner como nombre del equipo el vuestro propio.Paso 2. Para utilizar las ediciones Estándar o Enterprise de ISAServer 2006 es necesario instalar el paquete SP1 de WindowsServer 2003 Enterprise que también os proporcionará el profesor.Copiar el paquete en el escritorio y realizar la instalación.Paso 3. Copiar en el escritorio el programa ISA Server. Realizar lainstalación.Paso 4. Arrancar ISA Server y desplegar las opciones deadministración para realizar una captura (recuerda que la máquinaWindows Server ha de tener tu nombre).Paso 5. Ir a la opción de “Directiva de Firewall”. ¿Que se observa?¿Qué regla hay y que crees que hace realmente?PRACTICA 12. CONFIGURACIÓNDEL ISA SERVER 2006
  • 14. 14PRACTICA 12. CONFIGURACIÓNDEL ISA SERVER 2006Paso 6. Abrir un navegador (p.e. Internet Explorer) y dirigirse a lapágina web de google. Indica el mensaje que se obtiene. ¿Qué códigode error http ocurre y quien lo provoca?Paso 7. Debemos habilitar el tráfico añadiendo una nueva regla.Hacer click botón derecho del ratón sobre “Directivas de Firewall”.Seleccionar Nuevo/Regla de acceso. Indicar el nombre de la reglacomo “Habilitar Navegación”.Paso 8. Indicar regla de tipo Permitir.Paso 9. En la pantalla protocolos, debemos agregar los protocolosHTTP y HTTPS, buscándolos en protocolos comunes o en todos losprotocolos.Paso 10. En la pantalla “Orígenes de regla de acceso”, debemosindicar las redes que originan el tráfico que queremos permitir. Ir aAgregar/Conjunto de redes y seleccionar “Todas las redes (y hostlocal)”.
  • 15. 15PRACTICA 12. CONFIGURACIÓNDEL ISA SERVER 2006Paso 11. En la pantalla “Destinos de regla de acceso”, debemosindicar las redes que son destino del tráfico que queremos permitir.Ir a Agregar/Conjunto de redes y seleccionar “Todas las redes (yhost local)”.Paso 12. En la pantalla “Conjunto de usuarios”, dejaremos la opciónpor defecto “Todos los usuarios” y finalizamos la regla (obtener 2capturas, la primera de la pantalla de usuarios y la segunda con elresumen de la regla diseñada).Paso 13. Indica el número que el sistema aplica a la nueva regla¿está antes o después de la regla por defecto? Aplica la reglacreada para que el sistema la incorpore a su operativa.Paso 14. Abrir un navegador y dirigirse a la página web de google.¿Funciona ahora?
  • 16. 16PRACTICA 12. CONFIGURACIÓNDEL ISA SERVER 2006Paso 15. Crear una regla de acceso que impide el acceso a youtubey facebook. Sobre la opción de “Directiva de Firewall” hacer clickbotón derecho del ratón y seleccionar Nuevo/Regla de acceso.- Nombre regla: Deniega sitios.- Denegar- Protocolos seleccionados: HTTP y HTTPS.- Orígenes de regla de acceso: Todas las redes (y host local)Paso 16. En el pantalla “Destino de regla de acceso”, pulsar Agregary hacer click en el botón superior “Nuevo”. Seleccionar “Conjuntosde direcciones URL”. En la nueva pantalla que obtenemos, poner elnombre “Bloqueo de ciertas páginas”Paso 17. Haciendo click en el botón “Agregar”, añadir URL’s depáginas que queramos bloquear www.youtube.com ywww.facebook.com. Al acabar, hacer click en Aceptar.
  • 17. 17PRACTICA 12. CONFIGURACIÓNDEL ISA SERVER 2006Paso 18. Nuestra opción de “Bloqueo de ciertas páginas” nosaparece en el menú de posibles destinos de regla de acceso.Seleccionarla y pasar a la siguiente pantalla.Paso 19. Aceptar “Todos los usuarios” y finalmente se observa elresumen de la regla.Paso 20. Aplicar la regla al sistema, en el mismo orden de entrada.Paso 21. Probar que se puede ir a cualquier web, menos a las websbloqueadas explícitamente por ISA.Paso 22. Bajar la última regla anteriormente definida. Sobre laregla hacer click botón derecho del ratón y seleccionar “Bajar”.Aplicar el cambio en la configuración del firewall.Paso 23. Desde un navegador ir a las webs anteriormentebloqueadas. ¿Se pueden ver? ¿Qué crees que ha pasado? ¿A quedispositivo te recuerda este funcionamiento?