Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Isa 2004

    Hochgeladen von

    Voltus Cinco
    25 Ansichten102 Seiten

    Originaltitel

    isa_2004

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    25 Ansichten102 Seiten

    Isa 2004

    Hochgeladen von

    Voltus Cinco

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 102

    Unidad 1: Introduccin a ISA 2004

    Cap 1. a. b. c. d. e. f. g. a. b. c. a. b. a. b. c. Nuevas funcionalidades Asistentes para configuraciones Asistentes de topologa de red Mejoras en VPN Bloqueo de contenido Mejoras en caching Redireccin de puertos en publicacin de Server Mejoras en Reportes y monitoreo Requerimientos Evaluando entorno Requisitos de Hardware Requisitos de Software Deploy de ISA 2004. Instalar ISA Server 2004 Laboratorio Practico Deploy ISA 2004 Configuracin de acceso a internet para la red corporativa. Revisar la poltica de Sistema Configuracin de Access Policy Laboratorio Practico Configurando Access Policy

    Cap 2.

    Cap 3. Cap 4.

    ISA Server 2004 SE permite aumentar los niveles de seguridad de las aplicaciones Microsoft mediante una arquitectura de seguridad mejorada, con filtrado de nivel de aplicacin, funcionalidades VPN totalmente integradas con la plataforma, y sistemas de autentificacin completos y flexibles, como RSA SecurID y RADIUS. Entre las nuevas caractersticas se encuentran: soporte para arquitecturas de red muy diversas, plantillas de red mejoradas y asistentes automatizados; un editor de polticas con interfaz grfica robusto y un entorno amigable de funciones para la solucin de problemas. ISA Server 2004 SE tambin aporta notables avances en el captulo del rendimiento y permite una mejora sensible de velocidad en el uso de filtros de nivel de aplicacin, para aquellos casos en que se pueda necesitar proteccin de nivel de aplicacin adicional para Microsoft Exchange Server, IIS, SharePoint u otras aplicaciones. ISA Server 2004 est optimizado para un amplio sector de clientes, desde pequeas empresas que solamente requieren un producto sencillo pero integrado de seguridad perimetral, a grandes corporaciones que necesitan los mximos niveles de proteccin. Antes de comenzar, haremos algunas precisiones importantes: Se trata de una versin Beta, no debe instalarse en un entorno de produccin. ISA Server 2004 se puede instalar sobre Windows 2000 y Windows Server 2003 ISA Server 2004 aplica polticas de firewall sobre todos los interfaces, por lo que su modo de trabajo es distinto a como era con ISA Server 2000 Tras instalar ISA Server 2004, conviene dedicar un rato a conocer la nueva interfaz de usuario.

    1. Nuevas funcionalidades

    ISA Server 2004 incluye numerosas caractersticas y mejoras, particularmente cuando se instala en un sistema donde se ejecuta Windows Server 2003. Por ejemplo: Una interfaz de usuario nueva y simplificada Compatibilidad con varias redes Compatibilidad mejorada con VPN Capacidades de cuarentena VPN Capacidad para crear grupos de usuarios personalizados de servidor de seguridad Una mayor compatibilidad con protocolos Definiciones personalizadas de protocolos OWA Publishing Wizard Compatibilidad mejorada con la directiva para cargar y descargar en FTP Una publicacin en Web mejorada Redireccin de puertos con reglas de publicacin en servidores Reglas de cach mejoradas para el almacenamiento centralizado de objetos Asignacin de rutas para las reglas de publicacin en Web Compatibilidad con RADIUS para la autenticacin de clientes proxy Web Delegacin de la autenticacin bsica Autenticacin de identificadores seguros Formularios generados por los servidores de seguridad (autenticacin basada en formularios) Un filtro de mensajes SMTP mejorado Un filtrado HTTP mejorado Traduccin de vnculos Mayores capacidades de supervisin y elaboracin de informes

    a. Asistentes para configuraciones

    ISA Server 2004 incorpora un nuevo conjunto de asistentes que hacen ms fcil que nunca la creacin de polticas de acceso. Las polticas de acceso saliente antes, en ISA Server 2000, necesitaban Filtros de paquetes IP, reglas asociadas a sitios, contenidos y protocolos. Las polticas de acceso de ISA Server 2004 pueden crearse mediante un asistente de creacin de reglas de firewall avanzado que permite configurar cualquier elemento de poltica necesario sobre la marcha. No necesita salir del asistente de creacin de reglas para crear un objeto de red, y cualquier objeto de red o relacin puede crearse dentro del nuevo asistente.

    b. Asistentes de topologa de red

    ISA Server 2004 proporciona cinco plantillas de red correspondientes a topologas de red comunes. Los administradores las pueden utilizar para configurar fcil y automticamente las relaciones de enrutamiento y las polticas de firewall para el trfico entre redes externas, internas, de VPN y de DMZ.

    c.

    Mejoras en VPN

    Administracin VPN: ISA Server incluye mecanismos mucho ms integrados de red privada virtual, basados en la funcionalidad de Windows Server 2003. Inspeccin dinmica del contenido en VPN: Los clientes de redes privadas virtuales (VPN) se configuran como una red independiente. Por consiguiente, se pueden crear polticas diferentes para ellos. El motor de reglas valida de forma distinta las peticiones de clientes VPN, inspeccionando el contenido de estas peticiones y abriendo dinmicamente las conexiones, a partir de la aplicacin de las polticas de acceso. Soporte de cliente SecureNAT para clientes VPN conectados al servidor VPN de ISA Server 2004: En ISA Server 2000, nicamente los clientes VPN configurados como clientes de firewall podan acceder a Internet a travs del servidor VPN ISA Server 2000. ISA Server 2004 ampla el soporte de cliente VPN permitiendo a clientes SecureNAT el acceso a Internet sin tener el cliente de firewall instalado en la mquina. Adems se puede mejorar la seguridad de la red corporativa aplicando la poltica de firewall basada en usuarios/grupos a los clientes VPN SecureNAT. Filtrado e inspeccin dinmica de contenido para comunicaciones a travs de un tnel VPN intersite: ISA Server 2004 introduce la inspeccin y filtrado de contenido para todas las comunicaciones que se establecen a travs de una conexin VPN entre redes. Esto permite controlar a qu recursos pueden acceder qu mquinas o redes en el

    extremo opuesto del enlace. Las polticas de acceso basadas en usuario/grupo se pueden aplicar para obtener un control granular sobre el uso de recursos a travs del enlace. Cuarentena VPN: ISA Server 2004 potencia la funcionalidad de cuarentena VPN de Windows Server 2003. La cuarentena VPN permite ubicar los clientes VPN en una red separada hasta comprobar que cumplen una serie de requisitos de seguridad. Los clientes VPN que superan los test de seguridad quedan admitidos para acceder a la red de acuerdo con las polticas de cliente de firewall VPN. Los clientes VPN que no superan los test de seguridad solamente disponen de acceso limitado a los servidores que les permitirn cumplir con los requisitos de seguridad. d. Bloqueo de contenido

    Filtro HTTP basado en reglas: La poltica HTTP de ISA Server 2004 permite al firewall realizar una inspeccin profunda del contenido HTTP (filtro de nivel de aplicacin). La amplitud de esta inspeccin se configura mediante reglas. Esto posibilita configurar restricciones especficas para el acceso HTTP entrante y saliente. Bloqueo de acceso a todo contenido ejecutable: Se puede configurar una poltica HTTP en ISA Server 2004 para bloquear todo intento de conexin para transferir contenido ejecutable bajo Windows, independientemente de la extensin del archivo utilizado en el recurso.

    Control de descargas HTTP mediante extensin de archivo: La poltica HTTP de ISA Server 2004 posibilita permitir todas las extensiones de archivo excepto un grupo concreto de extensiones, o bloquear todas las extensiones excepto un grupo determinado. El filtro HTTP se aplica a todas las conexiones cliente de ISA Server 2004: ISA Server 2000 poda bloquear el contenido para conexiones HTTP y FTP a sus clientes Web Proxy mediante MIME Enter (para HTTP) o por extensin de archivo (para FTP). La poltica de HTTP de ISA Server 2004 permite el control de acceso HTTP para todas las conexiones de cliente de ISA Server 2004. Control de acceso HTTP basado en firmas HTTP La inspeccin en profundidad de HTTP de ISA Server 2004 permite crear firmas HTTP que se pueden comparar contra la URL Solicitada, cabeceras solicitadas, cuerpo solicitado, cabeceras de respuestas y cuerpo de respuesta. Esto permite un control muy preciso de a qu contenido pueden acceder los usuarios internos y externos a travs del firewall ISA Server 2004. Control de mtodos HTTP permitidos: Se puede controlar cules mtodos HTTP estn permitidos a travs del firewall mediante la aplicacin de controles de acceso para restringir el acceso a usuarios a diversos mtodos. Por ejemplo, se puede limitar el uso del mtodo HTTP POST para impedir a los usuarios el envo de datos a sitios Web. Conexiones Exchange RPC seguras obligatorias desde clientes Outlook MAPI: Las reglas de publicacin de Servidor Exchange Seguro que incluye ISA Server 2004 permiten a los usuarios remotos conectarse a Exchange utilizando plenamente las funcionalidades del cliente MAPI Outlook sobre Internet. Sin embargo, el cliente Outlook debe configurarse para utilizar RPC seguro, y forzar el cifrado de la conexin. La poltica RPC de ISA Server 2004 permite bloquear todas las conexiones no cifradas de cliente MAPI Outlook. Poltica FTP: La poltica FTP de ISA Server 2004 se puede configurar para admitir descargas desde o hacia la red corporativa utilizando FTP, o bien limitando el acceso de los usuarios a descargas FTP en sentido entrante. Traductor de enlaces: Algunos sitios Web publicados pueden incluir referencias a nombres de mquina internos. Puesto que solamente se admiten que el firewall ISA Server 2004 y el espacio de nombres externo, y nunca el espacio de nombres interno, queden disponibles para clientes externos, estas referencias aparecern como enlaces rotos. ISA Server 2004 incorpora un traductor de vnculos que permite crear un diccionario de definiciones de nombres de mquinas internas mapeados a nombres pblicos disponibles desde el exterior. Control granular sobre opciones IP: El sistema de prevencin de ataques de ISA Server 2000 permita el bloqueo de todas las opciones IP. Sin embargo, en algunas ocasiones puede ser necesario habilitar algunas opciones IP para tareas de gestin de la red y resolucin de problemas. ISA Server 2004 permite configurar opciones IP de forma ms granular y permitir nicamente aquellas opciones IP que se necesitan, bloqueando las dems.

    e. Mejoras en caching

    Cache de Web de alto rendimiento: Para los clientes internos que acceden a servidores Web de Internet, se acelera el rendimiento, as como el de los usuarios externos que acceden a contenidos de servidores Web corporativos. ISA Server 2004 realiza un cache en RAM rpido y un cache a disco optimizado para proporcionar el mejor rendimiento posible en la navegacin Web. Cache inteligente: Los usuarios reciben el contenido Web ms reciente gracias al proceso de cache proactivo de los objetos ms frecuentemente accedidos. ISA Server 2004 determina de forma automtica qu sitios Web son los ms utilizados y con qu frecuencia debe refrescarse su contenido basndose en el tiempo que el objeto ha permanecido en la cache o el momento en el que el objeto se carg por ltima vez. ISA Server 2004 puede precargar contenido Web en la cache en momentos de baja actividad, sin intervencin del administrador de la red. Aparte esto, el cache Web de ISA Server 2004 puede precargar contenido offline almacenado en CD o DVD. Cache planificado: La cache se puede precargar con contenidos de sitios Web completos siguiendo una planificacin temporal. Las descargas planificadas garantizan el acceso al contenido ms actual para todos los usuarios, y les permite el acceso a contenido Web en sistemas fuera de servicio. Cache jerrquico: ISA Server 2004 ampla an ms los beneficios del cache Web permitiendo configurar una jerarqua de cache, encadenando matrices de mquinas basadas en ISA Server 2004, de modo que los clientes pueden acceder al cache ms prximo. Este es un escenario bien conocido de configuracin de redes de oficinas.

    f.

    Redireccin de puertos en publicacin de Server

    Redireccin de puertos para reglas de publicacin de servidores: Las reglas de publicacin de servidores de ISA Server 2000 redirigan las conexiones entrantes a un servidor de publicacin en el mismo puerto que el indicado en la peticin original. ISA Server 2004 permite recibir una conexin en un nmero de puerto y redirigir la peticin a un nmero de puerto distinto en el servidor publicado. Esta caracterstica conocida tambin como PAT (Port Address Redirection) permite publicar varios servicios internos en diferentes puertos externos sin necesidad de modificar el puerto interno del sevicio. Por Ejemplo usted podria publicar dos Terminal Services en su puerto por defecto 3389 a la misma IP publica en dos puertos diferentes ej: 3389 y 3390.

    g. Mejoras en Reportes y monitoreo

    Monitorizacin e informes en tiempo real: ISA Server 2004 permite ver logs de firewall, Proxy Web y Delimitador de Mensajes SMTP en tiempo real. La consola de monitorizacin muestra las entradas del log a medida que se van grabando en el archivo de log del firewall. Facilidades de consulta al log incorporadas: Es posible lanzar consultas a los archivos de log utilizando las facilidades de consultas a log incorporadas. Pueden consultarse los logs para obtener informacin de cualquiera de los campos que contienen. Se puede limitar el alcance de las consultas a un marco temporal concreto. Los resultados aparecen en la consola de ISA Server 2004 y pueden copiarse al portapapeles y pegarse en otra aplicacin para realizar anlisis ms detallados. Monitorizacin y filtrado en tiempo real de las sesiones de firewall: ISA Server 2004 permite ver todas las conexiones activas en el firewall. En la vista de una sesin se pueden ordenar o desconectar sesiones individuales o grupos de ellas. Adems se pueden filtrar las entradas en la interfaz de sesin para centrarse en las sesiones de inters utilizando la facilidad de filtrado de sesiones incorporada. Verificadores de conexin: Se puede verificar la conectividad monitorizando regularmente las conexiones a mquinas o URL concretas desde una mquina ISA Server 2004 usando los Verificadores de Conexin. Se puede seleccionar el mtodo a emplear para

    comprobar la conectividad: ping, TCP, conexin a un puerto o HTTP GET. Se puede seleccionar la conexin a monitorizar especificando una direccin IP, un nombre de mquina o URL. Personalizacin de informes de ISA Server 2004: ISA Server 2000 permita una personalizacin limitada de los informes generados por el firewall. ISA Server 2004 incorpora una funcionalidad mejorada de personalizacin de informes que permite incluir ms informacin en los reports del firewall. Publicacin de informes: Los trabajos de informes de ISA Server 2004 se pueden configurar para guardar automticamente una copia del report en una carpeta local o compartida en otra mquina. Esta carpeta o recurso compartido se puede mapear a un directorio virtual de un sitio Web, de modo que otros usuarios pueden leer el informe. Se pueden publicar manualmente los informes que no se han configurado para su publicacin automtica despus de generarse. Notificacin por e-mail tras la creacin de un informe: Se puede configurar un trabajo de informe para que enve un mensaje por correo electrnico una vez completado el trabajo de generacin del informe. Ventana de tiempo personalizable para la creacin de resmenes del log ISA Server 2000 inclua en su programacin la creacin de resmenes de log a las 12:30 AM. Los informes se basaban en la informacin contenida en los resmenes de log. ISA Server 2004 permite modificar fcilmente el momento de creacin de estos resmenes de log, ofreciendo una gran flexibilidad a la hora de definir el momento de creacin de los informes. Log mejorado en SQL: Se pueden volcar los logs a una base de datos SQL emplazada en otra mquina dentro de la red interna. El log de ISA Server 2004 sobre SQL ha sido optimizado para obtener un rendimiento muy superior en comparacin con el log a SQL que ofreca ISA Server 2000. Log en una base de datos MSDE: Los logs se pueden almacenar ahora tambin en formato MSDE. La grabacin de registros de log en una base de datos local mejora la velocidad de respuesta en las consultas y la flexibilidad.

    2. Requerimientos a. Evaluando entorno

    ISA Server 2004 resulta muy valioso para los administradores de tecnologas de la informacin, administradores de red y profesionales de seguridad de la informacin preocupados por la seguridad, el rendimiento, la facilidad de administracin y los costos operativos de las redes de las que se ocupan. Resulta igualmente ventajoso para las organizaciones de tamao pequeo, mediano o grande. En las secciones siguientes se describen algunos de los escenarios de red en los que se puede emplear ISA Server 2004.

    Consiga de forma segura y sencilla que el correo electrnico est a disposicin de los usuarios que trabajan fuera de la red ISA Server 2004 ofrece un grado nico de proteccin para los sitios Web OWA. Gracias a la interfaz de ISA Server 2004, fcil de utilizar, las organizaciones pueden configurar con rapidez una regla de publicacin en Web que exija una autenticacin segura basada en formularios. ISA Server 2004 tambin impide los ataques contra servidores de correo electrnico, ya sea a travs del descifrado Secure Sockets Layer (SSL), que permite que el trfico SSL sea inspeccionado en busca de cdigo peligroso, o gracias al filtrado HTTP, que hace posible la inspeccin minuciosa del contenido de las aplicaciones. Adems, ISA Server 2004 usa una autenticacin previa para impedir los inicios de sesin de usuarios annimos, que constituyen un mtodo de ataque clave en servidores internos. ISA Server 2004 aprovecha la autenticacin existente, en la que intervienen varios factores, y proporciona un sistema de autenticacin tanto en el caso de que el correo remoto emplee RADIUS (Remote Authentication Dial-In User Service) como si utiliza RSA SecurID. De este modo, ISA Server 2004 le ayuda a impedir que las solicitudes annimas, potencialmente peligrosas, lleguen a Microsoft Exchange Server. Una proteccin adicional se deriva de las capacidades de tiempo de espera de sesin y bloqueo de archivos adjuntos que ISA Server 2004 proporciona, con lo que se impide que las sesiones de correo electrnico de los usuarios se queden abiertas indefinidamente para que otros las usen. La figura 1 ilustra el modo en que ISA Server 2004 contribuye a proteger el acceso al correo electrnico para los usuarios que trabajan fuera de la red corporativa.

    Figura 1. ISA Server 2004 permite poner el correo electrnico a disposicin de usuarios fuera de la red corporativa de forma fcil y segura Proporcione la informacin de la intranet a travs de Internet de un modo sencillo y seguro Gracias a la publicacin en Web y en los servidores, ISA Server 2004 hace posible que las aplicaciones de una intranet publiquen informacin a travs de Internet de una forma segura. Los asistentes integrados para publicacin en servidores y en Web automatizan las operaciones comunes y reducen el riesgo de que se produzcan errores en la configuracin. Adems, la funcionalidad de traduccin de vnculos de ISA Server 2004 permite la traduccin inteligente de vnculos internos en sitios accesibles pblicamente. ISA Server 2004 tambin puede inspeccionar el trfico para comprobar su legitimidad, exigir el uso de direcciones URL vlidas y realizar una

    autenticacin previa de los usuarios a travs de las estructuras de autenticacin existentes, de modo que pueda impedir que las solicitudes annimas potencialmente peligrosas lleguen a los servidores de publicacin. La figura 2 ilustra el modo en que ISA Server 2004 puede ayudarle a proteger la red corporativa al tiempo que consigue que la informacin de la intranet est disponible a travs de Internet.

    Figura 2. ISA Server 2004 permite publicar la informacin de la intranet de forma segura y sencilla a travs de Internet

    Permita que sus partners tengan acceso a la informacin relevante de la red corporativa de un modo seguro Gracias a la capacidad de VPN integrada en ISA Server 2004, puede conectar con seguridad a sus asociados comerciales (partners) a la red corporativa mientras limita su acceso a servidores y aplicaciones especficos. ISA Server 2004 cifra todo el trfico entre el partner y la red corporativa, garantizando la confidencialidad e impidiendo que los datos sean modificados. Adems, los servidores del extremo de la red privada virtual se autentican entre s y, una vez autenticados, ISA Server 2004 aplica directivas de enrutamiento y acceso que limitan el modo en que los partners pueden recorrer la red corporativa. Tambin puede usar ISA Server 2004 para aplicar reglas estrictas de filtrado de aplicaciones que ayudarn a proteger la red corporativa frente a ataques avanzados del nivel de aplicacin. La figura 3 muestra la forma en que ISA Server puede proteger la red corporativa al tiempo que permite que la informacin relevante siga estando disponible para sus partners.

    Figura 3. Con ISA Server 2004, puede proporcionar a sus partners un acceso seguro a la informacin corporativa relevante Proporcione un acceso remoto seguro y flexible a los usuarios mientras contribuye a proteger la red corporativa del trfico perjudicial A travs del filtrado avanzado del nivel de aplicacin, que permite inspeccionar y analizar el trfico con el fin de impedir el paso de gusanos y virus, ISA Server 2004 puede ayudar a proteger una red corporativa de los equipos remotos no administrados que tienen acceso a ella a travs de una VPN. Tambin puede utilizar ISA Server para asignar directivas flexibles de red a los grupos y usuarios de VPN, permitindoles tener acceso nicamente a servidores y aplicaciones especficos. Para conseguir una seguridad avanzada, ISA Server 2004 puede poner en cuarentena a los clientes que no cumplan las directivas corporativas preconfiguradas en relacin a la instalacin de actualizaciones de software, software antivirus u otras configuraciones especficas para los equipos. La figura 4 muestra el modo en que ISA Server ayuda a proteger la red corporativa al tiempo que proporciona acceso remoto a los usuarios de la empresa.

    Figura 4. ISA Server 2004 permite proporcionar a los usuarios un acceso remoto seguro y flexible a la red corporativa mientras contribuye a proteger la red del trfico peligroso

    Permita que las sucursales se comuniquen con la oficina principal a travs de Internet con seguridad Una puerta de enlace VPN de ISA Server 2004 se usa para que los administradores unan redes enteras a travs de vnculos entre sitios VPN, por ejemplo, conectando las sucursales y la oficina principal entre s. La caracterstica de enrutador VPN en el modo de tnel de Seguridad de Protocolo Internet (IPSec) incluida en ISA Server 2004 permite que los administradores del servidor de seguridad establezcan controles estrictos de acceso, por ejemplo, especficos del nivel de aplicacin, usuario, grupo, sitio, equipo y protocolo sobre el trfico que pasa por el vnculo entre los sitios. Con estos controles implantados, los usuarios de la red local pueden tener acceso nicamente al contenido permitido en la red remota y los usuarios de sta slo pueden tener acceso a los recursos designados de la red local. La figura 5 ilustra el modo en que ISA Server ayuda a proteger las conexiones entre las sucursales y la oficina principal.

    Figura 5. ISA Server 2004 ayuda a proteger las conexiones entre las sucursales y la oficina principal

    Controle el acceso a Internet y proteja a los clientes del trfico peligroso en Internet Con ISA Server 2004, puede controlar y aplicar fcilmente directivas de acceso en Internet destinadas a grupos de usuarios, adems de protegerles del trfico peligroso de Internet. Las flexibles directivas de servidor de seguridad tienen en cuenta tanto el bloqueo de sitios Web como el filtrado de contenido, en ambos casos para mejorar la productividad de los usuarios y bloquear el contenido inapropiado. ISA Server 2004 tambin se puede integrar con Active Directory, con lo que se permite la creacin de controles de acceso personalizados para diferentes funciones organizativas y tipos de trabajo. Adems, el filtrado de aplicaciones en ISA Server 2004 posibilita la mejora de la confiabilidad del entorno al proteger los equipos de escritorio y los servidores de ataques avanzados. Por ejemplo, el filtrado HTTP avanzado puede impedir el uso de las aplicaciones incrustadas, por ejemplo, las aplicaciones comunes de mensajera instantnea y de elementos del mismo nivel. El filtrado del trfico en ISA Server 2004 tambin frustra muchas formas comunes de ataque al impedir el acceso desde el exterior a los clientes internos, comprobar la validez del trfico entrante de replicacin y confirmar que los complementos de terceros no contienen gusanos ni virus. La figura 6 ilustra el modo en que ISA Server controla el acceso a Internet y ayuda a proteger a los clientes frente al trfico peligroso en Internet.

    Figura 6. ISA Server 2004 controla el trfico en Internet y ayuda a proteger a los clientes del trfico peligroso Garantice un acceso rpido al contenido Web que ms se usa Las capacidades de almacenamiento en cach de ISA Server 2004 garantizan un acceso rpido al contenido Web ms usado. Con el almacenamiento en cach y la caracterstica de recuperacin previa, ISA Server 2004 puede aprender patrones de trfico Web y descargar automticamente los sitios Web que se suelen solicitar para que estn disponibles en seguida. ISA Server tambin puede enrutar las solicitudes especficas para los servidores de almacenamiento en cach que preceden en la cadena si la cach de los que siguen en la cadena est llena. Las figuras 7 y 8 muestran cmo usa ISA Server sus capacidades de almacenamiento en cach con servidores estructurados en cadena para proporcionar un acceso rpido al contenido Web ms utilizado.

    Figura 7. El almacenamiento en cach en los servidores que siguen en la cadena proporciona un acceso rpido a contenido Web popular

    Figura 8. El almacenamiento en cach en los servidores que preceden en la cadena est disponible cuando las cachs de los servidores que siguen en la cadena se llenan

    b. Requisitos de Hardware

    Para usar Internet Security and Acceleration (ISA) Server 2004 Standard Edition, necesita un sistema con la siguiente configuracin, como mnimo: Requisitos mnimos Procesador Memoria Disco duro Otros dispositivos Pentium III a 550 MHz o superior (ISA Server 2004 Standard Edition admite hasta cuatro CPU en un servidor) 256 MB de RAM o ms (se recomienda) Particin local con formato NTFS y 150 MB de espacio disponible en el disco duro; se requiere espacio adicional para el contenido de la cach Web

    Adaptador de red compatible con el sistema operativo del equipo para comunicarse con la red
    interna; un adaptador de red adicional, mdem o adaptador RDSI (ISDN) para cada red adicional conectada al equipo ISA Server

    Unidad de CD-ROM o DVD-ROM Monitor VGA o de resolucin superior Teclado y Microsoft Mouse o dispositivo sealador compatible

    c.

    Requisitos de Software

    Requisitos mnimos Sistema operativo Microsoft Windows 2000 Server o Advanced Server con Service Pack 4 o una versin posterior; Windows 2000 Datacenter Server o Windows Server 2003 Standard Edition o Enterprise Edition

    Notas: Si instala ISA Server 2004 Standard Edition en un sistema operativo Windows 2000 Server, debe instalar lo siguiente: Service Pack 4 de Windows 2000 o una versin posterior, e Internet Explorer 6 o una versin posterior. Si usa la versin Windows 2000 Server o Advanced Server con Service Pack 4, debe instalar el hotfix especificado en el artculo 821887 de Microsoft Knowledge Base.

    3. Deploy de ISA 2004. a. Instalar ISA Server 2004

    El siguiente paso consiste en instalar el software de ISA Server 2004. La instalacin es un proceso relativamente simple, pero iremos siguiendo en detalle cada paso para asegurarnos de que entiende adecuadamente todo cuanto sucede. Siga estos pasos para instalar el software de ISA Server 2004 en una mquina Windows Server 2003 con dos tarjetas de red: Obtenga su CD-Rom de ISA Server 2004 Standard Edition, introduzca el CD, si su PC no tiene Autoplay haga doble click sobre el archivo isaautorun.exe. 2. En la pgina Microsoft Internet Security and Acceleration Server 2004 Setup haga click sobre el vnculo Review Release Notes y lea las notas de versin. Este documento no es muy largo y contiene informacin til sobre las caractersticas que funcionan y las que no, as como consejos interesantes para saber cmo acceder a Internet desde la propia mquina del firewall ISA Server 2004. Una vez ledas las notas de versin, haga click sobre Read Setup and Feature Guide. No es preciso leerse toda la gua ahora, pero recomendamos que la imprima para leerla despus. Finalmente, haga click sobre el vnculo Install ISA Server 2004. 3. Pulse Next en la pgina Welcome to the Installation Wizard for Microsoft ISA Server 2004 Beta 2. 4. Seleccione la opcin I accept the terms in the license agreement en la pgina License Agreement y pulse Next. 5. En la pgina Customer Information, introduzca su nombre y el de su organizacin 1.

    en los cuadros de texto User Name y Organization. El Product Serial Number se genera automticamente. Pulse Next. 6. En la pgina Setup Type, seleccione la opcin Custom. Si no quiere instalar el software de ISA Server 2004 en el disco C:, pulse el botn Change para modificar la ubicacin de los archivos de programa en el disco duro. Pulse Next.

    7.

    En la pgina Custom Setup puede elegir los componentes a instalar. Por defecto, se instalan Firewall Services, ISA Server Management y Firewall Client Installation Share. El componente Message Screener, utilizado para controlar el paso de spam y archivos adjuntos de correo desde o hacia Internet, no se instala por defecto. Necesitar instalar el servicio SMTP de IIS 6.0 en el firewall ISA Server 2004 antes de instalar el Message Screener. En el futuro editar algunos artculos sobre cmo instalar el Message Screener en el firewall ISA Server 2004 para controlar el flujo entrante y saliente de spam y archivos adjuntos en mensajes de correo. Acepte los valores por defecto y pulse Next.

    8.

    En la pgina Internal Network, pulse el botn Add. El concepto de red interna es diferente a como ISA Server 2000 utilizaba la LAT. En el caso de ISA Server 2004, la red interna contiene servicios de red de confianza con los cuales el firewall ISA Server 2004 debe comunicarse. Por ejemplo, los controladores de dominio del Directorio Activo, DNS, DHCP, clientes de servicios de terminal y otros. La Poltica de Sistema del firewall se aplica automticamente a la red interna.

    9.

    En la pgina de configuracin de Internal Network, pulse el botn Configure Internal Network.

    10. En el cuadro de dilogo Configure Internal Network, borre las marcas de seleccin

    de Add the following private ranges Mantenga seleccionada la opcin Add address ranges based on the Windows Routing Table. Marque en el cuadro de seleccin junto a la tarjeta de red conectada a la red interna y pulse OK.

    11. Pulse OK en el cuadro de dilogo que informa de que se ha definido una red interna

    basndose en la tabla de rutas de Windows.

    12. Pulse OK en la lista de rangos de direcciones de la red interna.

    13. Pulse Next en la pgina Internal Network.

    14. Pulse Install en la pgina Ready to Install the Program. 15. En la pgina Installation Wizard Completed, marque la opcin Invoke ISA Server

    Management when Wizard closes y despus, pulse Finish.

    16. Se abre la consola de administracin de Microsoft Internet Security and Acceleration

    Server 2004. Por defecto el usuario es dirigido hacia el nodo superior en el panel de la izquierda. Ntese que la consola de ISA Server 2004 necesita algo ms de espacio para visualizarse que la ISA Server 2000. Para sacar el mximo provecho de la interfaz grfica, cambie su resolucin a 1024x768 o superior. Yo he tenido que mantener la resolucin de 640x480 para obtener las capturas de pantalla en un tamao adecuado para visualizarse en pginas web. Por eso utilizar el botn Show/Hide Console Tree en la barra de botones de la consola con cierta frecuencia.

    4. Configuracin de acceso a internet para la red corporativa. a. Revisar la Poltica de Sistema

    Por defecto, ISA Server 2004 no permite el acceso de salida a Internet y no permite a los sistemas de Internet acceder al firewall. No obstante, se instala una Poltica de Sistema por defecto en el firewall que permite completar las tareas de administracin de la red. Siga estos pasos para ver la Poltica de Sistema por defecto del firewall: En la consola de administracin de Microsoft Internet Security and Acceleration Server 2004, extienda el nodo del servidor en el panel de bsqueda (panel izquierdo) y pulse sobre el nodo Firewall Policy. Pulse con el botn derecho sobre el nodo Firewall Policy, seleccione View y pulse en Show System Rules. b. Configuracin de Access Policy

    Pulse el botn Show/Hide Console Tree y despus, en la flecha Open/Close Task Pane (la flechita azul en el borde izquierdo del panel de tareas en la parte derecha de la consola). Ver que la Poltica de Acceso de ISA Server 2004 aparece en una lista ordenada. Las polticas se procesan desde arriba a abajo, lo que es un cambio sustancial con respecto a como lo haca ISA Server 2000. La Poltica de Sistema representa una lista de reglas que controlan el acceso al firewall ISA Server 2004 por defecto. Desplace la lista de System Policy Rules hacia abajo. Puede comprobar que las reglas se definen por: Nmero de orden Nombre Accin (permitir o denegar) Protocolos Desde (red o mquina de origen) 1.

    Hacia (sistema o red de destino) Condicin (a quin o a qu se aplica la regla) Puede que le interese ampliar la columna Name para observar por encima las reglas. Ver que no todas estn activadas. Las Reglas de Poltica de Sistema que estn deshabilitadas por defecto tienen un puntito rojo en su esquina inferior derecha. Las reglas de Poltica de Sistema deshabilitadas se activarn automticamente al hacer cambios de configuracin en el firewall ISA Server 2004, como podran ser el habilitar acceso VPN. Fjese en que una de las reglas de Poltica de Sistema permite al firewall realizar consultas DNS a servidores DNS en todas las redes.

    2.

    Compruebe las reglas de Poltica de Sistema y ocltelas pulsando el botn Show/Hide System Policy Rules en la barra de botones de la consola. Es el botn pulsado que se ve en la figura siguiente:

    3.

    Crear una Poltica de Acceso de trfico de salida Todo abierto La primera cosa que prcticamente todos queremos hacer es comprobar si ISA Server est funcionando realmente. Se puede ver creando una poltica de acceso de trfico de salida todo abierto que permite a los clientes SecurreNAT acceder a Internet. Conviene tener en cuenta que esta poltica todo abierto es solamente para fines de test. Las redes seguras no permiten que pase todo el trfico hacia afuera, y a los usuarios solamente se les dar acceso a los protocolos que necesitan. Esta es la diferencia entre un firewall ISA Server 2004 y un firewall tradicional, basado en el filtrado de paquetes.

    Siga estos pasos para crear una poltica de acceso de trfico de salida todo abierto: 1. En la consola de administracin de Microsoft Internet Security and Acceleration Server 2004, pulse el botn Show/Hide Console Tree para exponer el panel de visualizacin. Haga click con el botn derecho sobre el nodo Firewall Policy, seleccione New y pulse Access Rule.

    2.

    En la pgina Welcome to the New Access Rule Wizard, introduzca el texto All Open Outbound en el cuadro de texto de Access policy rule name. Pulse OK.

    3.

    En la pgina Rule Action, seleccione la opcin Allow y pulse Next.

    4.

    En la pgina Protocols, seleccione la opcin All outbound protocols y pulse Next.

    5.

    En la pgina Access Rule Sources, pulse el botn Add. En el cuadro de dilogo Add Network Entities, seleccione la carpeta Networks. Haga doble click en la red Internal, y luego pulse el botn Close en el dilogo Add Network Entities. Si lo desea, puede pulsar en cada una de las carpetas, para poder ver las Entidades de Red que vienen predefinidas en el firewall ISA Server 2004. Estas Entidades de Red le proporcionan un control muy bien ajustado sobre los accesos de entrada y salida. Pulse Next en el dilogo Access Rule Sources.

    6.

    Pulse el botn Add en la pgina Access Rule Destinations. En el dilogo Add Network Entities, seleccione la carpeta Networks. Haga doble click sobre la entrada External y pulse Close en el dilogo Add Network Entities. Pulse Next en la pgina Access Rule Destinations.

    7.

    En la pgina User Sets, acepte la configuracin por defecto de All Users. ISA Server 2004 permite la creacin de configuraciones de usuario personalizadas basadas en grupos del Directorio Activo o SAM local. Esto permite a los administradores del firewall crear grupos de usuarios particulares del firewall sin tener que acudir al Directorio Activo y crear los grupos aqu. Pulse Next.

    Verifique los parmetros y pulse Finish en la pgina Completing the New Access Rule Wizard. 9. Pulse el botn Apply para guardar los cambios y actualizar la poltica del firewall. Este botn est en la parte superior del panel de Detalles (panel central) de la consola. El botn Apply permite hacer mltiples cambios en la poltica del firewall antes de que se apliquen. Los cambios se producen de inmediato en cuanto se pulsa el botn Apply. 8.

    10. Pulse el botn Show/Hide Console Tree para poder visualizar toda la lnea de la Poltica de Acceso en el panel de Detalles.

    Los clientes de la red interna ahora tienen acceso libre a Internet. Los clientes Secure NAT tienen acceso a todos los protocolos enumerados en la lista de Protocols en la caja de herramientas de Firewall Policy. Siga los pasos indicados a continuacin para ver la caja de herramientas de Firewall Policy: En la consola de administracin de Microsoft Internet Security and Acceleration Server 2004, despliegue el panel de contenidos si no est visible, usando el botn Show/Hide Console Tree. 2. Si el panel de tareas no queda visible en la parte derecha de la consola, pulse el botn Open/Close Task Pane. 3. En el Panel de Tareas, pulse la solapa Toolbox. Haga click sobre la etiqueta Protocols. Ver los protocolos agrupados en grupos lgicos. Pulse en la carpeta All protocols. Aqu se visualiza una lista de protocolos predefinidos en el firewall ISA Server 2004. Puede crear sus propios protocolos, si lo desea, ms adelante. Los clientes SecureNAT que quieren acceder a protocolos complejos necesitarn, adems, un filtro de aplicacin. Los clientes de firewall pueden acceder a todos los protocolos, incluso a aquellos no expresamente incluidos en la lista (tambin a los protocolos complejos). 1.

    La siguiente regla que tenemos que crear es una Poltica de Sistema que permita a los clientes de la red interna conectar al servidor DNS en el firewall ISA Server 2004. Recuerde que ISA Server 2004 es distinto de ISA Server 2000; la Poltica de Acceso se aplica a todos los interfaces, de modo que la interfaz de red interna est igual de protegida que el resto de interfaces. Siga estos pasos para crear una regla de DNS que permitir a los usuarios de la red interna acceder al DNS: 1. Pulse el botn Show/Hide Console Tree para ampliar el panel de visualizacin. Haga click con el botn derecho sobre el nodo Firewall Policy, seleccione New y pulse en Access Rule. 2. En la pgina Welcome to the New Access Rule Wizard, introduzca DNS from Internal Network en el cuadro de dilogo Access policy rule name. Pulse Next. 3. Elija Allow en la pgina Rule Action y pulse Next. 4. En la pgina Protocols, seleccione la opcin Selected protocols de la lista This rule applies to. Pulse el botn Add. 5. En el cuadro de dilogo Add Protocols, pulse en la carpeta Infrastructure. Haga doble click sobre el protocolo DNS y pulse Close en el cuadro de dilogo Add Protocols. Pulse Next en la pgina Protocols.

    6.

    En la pgina Access Rule Sources, pulse Add. Seleccione la carpeta Networks y haga doble click en la red Internal. Pulse Close en el cuadro de dilogo Add Network Entities. Pulse Next en la pgina Access Rule Sources.

    7.

    En la pgina Access Rule Destinations, pulse el botn Add. En el dilogo Add Network Entities, marque la carpeta Networks. Haga doble click en la entrada Local Host. Pulse Close en el dilogo Add Network Entities. Pulse Next en la pgina Access Rule Destinations.

    8. Acepte el valor por defecto de All Users en la pgina User Sets. Pulse Next. 9. Pulse Finish en la pgina Completing the New Access Rule Wizard. 10. Pulse Apply para guardar los cambios y actualizar las polticas del firewall. Crear una poltica HTTP que impide descargas mediante HTTP La poltica HTTP de ISA Server permite un control muy exhaustivo sobre aquello a que los usuarios pueden acceder mediante el protocolo HTTP. La poltica HTTP puede utilizarse para impedir a los usuarios el acceso a un sitio cualquiera, cualquier tipo de contenido o cualquier protocolo que pueda tunelizarse dentro de una cabecera HTTP. En el futuro entraremos en los detalles de la poltica HTTP, pero en este artculo introductorio solamente veremos cmo se puede impedir de forma rpida y sencilla que los usuarios se descarguen archivos ejecutables usando HTTP. Conviene advertir que la poltica HTTP no puede examinar el interior de archivos .ZIP para saber si hay algn ejecutable de Windows dentro de l. Siga estos pasos para configurar una Poltica HTTP que impide el acceso a archivos ejecutables de Windows:

    1.

    Haga click con el botn derecho en la Poltica de Acceso All Open Outbound y pulse en el comando Configure HTTP.

    2.

    En la solapa General del dilogo Configure HTTP policy for rule, marque la casilla de Block responses with Windows executable content. Pulse Apply, y despus, OK.

    3.

    Pulse el botn Apply para guardar los cambios y actualizar las polticas de firewall.

    Ahora podemos probar la poltica desde un cliente de la red interna. El cliente de la red interna es un cliente SecureNAT, lo que significa que no es un cliente de Web Proxy o de firewall. El gateway por defecto del cliente est apuntando a la direccin IP interna del firewall ISA Server 2004. El servidor DNS en el cliente tambin est configurado con la direccin IP interna del firewall ISA Server 2004. Realice estos pasos en el cliente SecureNAT detrs del firewall ISA Server 2004: 1. Abra Internet Explorer y visite un sitio Web. Bien! Se puede acceder a la pgina web.

    2.

    Ahora, visite el sitio Web http://www.microsoft.com/downloads/details.aspx?FamilyID=2f92b02c-ac4944df-af6c-5be084b345f9&DisplayLang=en y mueva la barra de desplazamiento hacia el final de la pgina. Pulse sobre el vnculo isafp1.exe.

    3.

    El firewall ISA Server 2004 bloquea la peticin porque se ha configurado la poltica HTTP para impedir el acceso a archivos ejecutables de Windows.

    Unidad 2: ISA 2004 Avanzado


    Cap 1. Migracin de configuracin desde ISA 2000 Proceso de actualizacin Migracin de configuracin desde ISA 2000 Cap 2. Configuraciones avanzadas de red (Firewall de 3 adaptadores, Firewall Back-to-Back) a. Topologas de Red b. Reglas de protocolos en configuraciones de firewall con 3 adaptadores c. Reglas de protocolos en configuraciones de firewall Back-to-Back Cap 3. Configuracin de acceso a sitios web corporativos (Web Publishing) a. Publicacin estndar b. Publicacin de OWA c. Publicacin de Sitios seguros (SSL) Cap 4. Configuraciones de acceso a servicios en la red perimetral/corporativa (Server publishing) a. Publicacin de Mail Server b. Publicacin de otros servicios c. Publicacin usando PAT (Port Address Translation) Cap 5. Monitoreo y reportes en ISA 2004. a. Generacin de reportes de utilizacin b. Monitoreo en tiempo real c. Monitoreo de servicios y alertas a. b.

    1. Migracin de configuracin desde ISA 2000

    Microsoft Internet Security and Acceleration (ISA) Server 2004 ofrece la posibilidad de actualizacin completa para los usuarios de ISA Server 2000. La mayora de las reglas, configuraciones de red, configuraciones de supervisin y configuraciones de la cach de ISA Server 2000 se actualizarn a ISA Server 2004. ISA Server 2004 presenta muchas caractersticas nuevas y cambios. Estos cambios afectan a la configuracin del servidor y a los entornos de actualizacin. Esta seccin proporciona informacin acerca de los elementos esenciales que debe tener en cuenta en el proceso de actualizacin.

    a. Proceso de actualizacin

    La herramienta de migracin de ISA Server 2004 ofrece la posibilidad de actualizacin completa para que los usuarios de ISA Server 2000 puedan actualizar a ISA Server 2004. La mayor parte de la informacin de configuracin de ISA Server 2000 se actualizar a ISA Server 2004. ISA Server 2004 presenta muchas caractersticas nuevas y cambios en comparacin con ISA Server 2000. Estos cambios afectan a la configuracin del servidor y a los entornos de actualizacin. Nota: ISA Server 2000 Service Pack 1 (SP1) debe instalarse en el equipo. Slo puede actualizar desde ISA Server 2000 Standard Edition. Existen tres opciones para actualizar desde ISA Server 2000: Actualizacin local. En este entorno, el usuario instala ISA Server 2004 en el mismo equipo en que se ejecuta ISA Server 2000. La configuracin se migra directamente a ISA Server 2004, tal como se describe en los temas siguientes. No es preciso ejecutar ninguna herramienta. Migrar la configuracin de ISA Server 2000. En este entorno, el usuario instala ISA Server 2004 en un equipo distinto, o bien quita ISA Server 2000 por completo antes de instalar ISA Server 2004. En cualquier caso, es preciso utilizar la herramienta de migracin para migrar la informacin de configuracin a ISA Server 2004, tal como se describe en los temas siguientes. Migrar la configuracin de Enrutamiento y acceso remoto. En este entorno, el usuario puede haber configurado previamente la red privada

    virtual mediante Enrutamiento y acceso remoto. Puede utilizar la herramienta de migracin para copiar parte de la configuracin a ISA Server 2004. Actualizacin local Asimismo, el usuario puede llevar a cabo una actualizacin local y ejecutar la herramienta de migracin en un equipo con ISA Server 2000 instalado. Al realizar una actualizacin local, se quita ISA Server 2000 y se instala ISA Server 2004 con la configuracin migrada.

    b. Migracin de configuracin desde ISA 2000

    Migrar la configuracin Para migrar ISA Server 2000 a ISA Server 2004 se deben seguir estos pasos: 1. Ejecute el Asistente para la migracin de ISA Server en el equipo con ISA Server 2000. El asistente crea un archivo .xml con la informacin de configuracin. 2. Instale Microsoft ISA Server 2004. 3. Importe el archivo .xml en el equipo en que est instalado ISA Server 2004. Antes de importar el archivo .xml, recomendamos que realice una copia de seguridad completa de la configuracin actual del equipo en el que est instalado ISA Server 2004. La direccin IP real del adaptador de red externo del equipo original en el que estaba instalado ISA Server 2000 se guardar en el archivo .xml junto con la informacin de configuracin. Si ISA Server 2004 est instalado en un equipo distinto, debe corregir la direccin IP despus de importar el archivo .xml. Actualizacin de complementos

    Los filtros de aplicacin y los filtros Web proporcionados por otros proveedores para ISA Server 2000 no son compatibles con ISA Server 2004. Algunos proveedores han creado nuevas versiones para ISA Server 2004. Para actualizar a las nuevas versiones, siga los siguientes pasos: 1. Desinstale los filtros de aplicacin y los filtros Web del equipo ISA Server 2000. 2. Lleve a cabo la actualizacin a ISA Server 2004 de la forma descrita aqu. 3. Instale la nueva versin del filtro de aplicacin o el filtro Web. Qu valores no se actualizan Los objetos y valores de configuracin siguientes de ISA Server 2000 no se migran a ISA Server 2004: ISA Server 2004 ya no admite reglas de ancho de banda. La configuracin de permisos, como las listas de control de acceso al sistema (SACL), no se actualizan. No se migra la configuracin ni la informacin de informes y registros. Si utiliza la herramienta de migracin para instalar ISA Server 2004, se instalar Firewall Client Share (con el software de Cliente Firewall para ISA Server 2004). Se recomienda que instale Firewall Client Share. Actualizar la configuracin de supervisin y administracin de ISA Server 2000 Parte de la configuracin de supervisin y administracin se migra a ISA Server 2004, como se detalla en las siguientes secciones. Listas de control de acceso al sistema En ISA Server 2000, puede utilizar Administracin del servidor ISA para volver a configurar una lista de control de acceso al sistema (SACL) en algunos objetos. Adems, se puede cambiar esta lista de cualquier elemento mediante el modelo de objetos Admin COM. Las listas SACL no se migran a ISA Server 2004. En su lugar, se aplican las listas SACL predeterminadas. Supervisin Todas las definiciones de alerta de ISA Server 2000 se migran directamente a ISA Server 2004. No obstante, existen las excepciones siguientes: En su lugar se crean definiciones de alerta que hacen referencia al proxy Web creado para el servicio del servidor de seguridad de Microsoft, ya que no existe este servicio proxy Web en ISA Server 2004. Las siguientes definiciones de alerta de ISA Server 2004 no se modifican: Intrusin DNS, Intrusin POP, Filtro RPC: la conectividad cambi y Error en la configuracin de SOCKS. No se migra la configuracin de registro de ISA Server 2000. La configuracin de registro de ISA Server 2004 se establece en la configuracin predeterminada posterior a la instalacin. Despus de la migracin, los registros de ISA Server 2004 se almacenan en registros de Microsoft Data Engine (MSDE) o en formato de texto. No se migran los trabajos de informes, los informes ni la configuracin de informes de Microsoft Data Engine. Actualizar la configuracin de la directiva de acceso de ISA Server 2000 La mayora de las reglas de directiva de acceso de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes. Tenga en cuenta que en ISA Server 2000, puede configurar una regla que bloquee el trfico entre el equipo servidor ISA (host local) y la red externa. No obstante, en ISA Server 2004, la directiva del sistema controla cmo el equipo servidor ISA (host

    local) accede a todas las redes. Como las reglas de directiva del sistema se procesan en primer lugar, stas reemplazarn las reglas de directiva que puede configurar especficamente para denegar el acceso desde la red de host local a la red externa. Reglas de ancho de banda Las reglas de ancho de banda, y los elementos de la directiva asociados, no son compatibles con ISA Server 2004. No se actualizan. Filtros de paquetes IP Los filtros de paquetes de ISA Server 2000 no se pueden configurar explcitamente en ISA Server 2004. En ISA Server 2000, estos paquete se utilizaban para: Publicar en servidores en una red perimetral. Ejecutar aplicaciones u otros servicios en el equipo servidor ISA. Permitir el trfico saliente desde el equipo servidor ISA. Permitir el acceso a protocolos no basados en los protocolos UDP (protocolo de datagramas de usuarios) o TCP (protocolo de control de transporte). Si se deshabilita el filtrado de paquetes en ISA Server 2000, se aceptar todo el trfico al host local y a las redes perimetrales y se ignorarn los filtros de paquetes. Al migrar la configuracin de ISA Server 2000, los filtros de paquetes de esta aplicacin se migran tambin con el mismo estado a ISA Server 2004. La siguiente tabla muestra una lista de cmo se actualizan los filtros de paquetes de ISA Server 2000 a las reglas de acceso de ISA Server 2004. Propiedad
    Nombre, descripcin y servidores habilitados Protocolo IP de ISA Server 2000 actualizado a ISA Server 2004: definicin de protocolo TCP, UDP, ICMP o protocolo IP personalizado Cualquiera

    Filtro de paquetes de ISA Server 2000

    Regla de acceso de ISA Server 2004


    Los mismos valores que en ISA Server 2000 Mismo protocolo No hay protocolos nuevos y la herramienta de migracin establece el protocolo en Todo el trfico IP saliente Mismo nmero de protocolo El puerto de origen definido en la regla de acceso y el puerto de destino, o puerto de origen dependiendo de la direccin del protocolo, definido en la conexin de protocolo. Intervalo de puertos de origen (en la ficha Protocolo de la regla de acceso) Saliente Saliente (los campos A y De cambian segn corresponda) Enviar y recibir Enviar y recibir (los campos A y De cambian segn corresponda) Red de host local El elemento del equipo con la

    Nmero de protocolo Puerto local

    Nmero de puerto local

    Direccin

    Saliente Entrante Enviar y recibir Recibir y enviar

    ISA Server 2000: el equipo local (Se aplica a) actualizado a ISA

    Direccin IP predeterminada El valor del equipo local se

    Server 2004: Propiedad "A" de regla de acceso

    establece en la direccin IP del equipo con ISA Server 2000 El valor del equipo local se establece en una direccin IP especfica El valor del equipo local se establece en una red perimetral

    direccin IP del equipo con ISA Server 2004 Elemento de equipo con la direccin IP especfica El objeto del intervalo de direcciones con las direcciones IP de la red perimetral Todas las redes externas Objeto de equipo se establece en la direccin IP del equipo remoto Subred con el intervalo de direcciones especificadas

    ISA Server 2000: el equipo remoto (Se aplica a) actualizado a ISA Server 2004: Propiedad "De" de regla de acceso

    Todos los equipos remotos Este equipo remoto Este intervalo de equipos

    Nota Si la direccin del filtro de paquetes de ISA Server 2000 es Ambas (o Recibido y enviado), se crean dos reglas en ISA Server 2004, con las propiedades A y De alternadas para la segunda regla. Ejemplo Las reglas de acceso (creadas para reemplazar los filtros de paquetes de ISA Server 2000) que deniegan el acceso se ordenan primero. Las reglas que permiten el acceso se ordenan posteriormente, como se muestra en la siguiente tabla. ISA Server 2000 Filtro de paquetes con estas propiedades Protocolo: UDP Direccin: Enviar y recibir Puerto local: 53 Puerto remoto: 78 Equipo local se aplica a: direcciones IP predeterminadas de la interfaz externa Equipo remoto: Todos los equipos remotos ISA Server 2004 Regla de acceso con estas propiedades: El valor de la red de origen se establece en Host local Puerto: 53 Red de destino se establece en Todas las redes externas Definicin de protocolo con estas propiedades: Protocolo: UDP Puerto: 78 Direccin: Enviar y recibir

    Filtros de paquetes IP: predefinidos ISA Server 2000 incluye varios filtros predefinidos para paquetes IP. La herramienta de migracin crea reglas de directiva del sistema, basadas en estos filtros de paquetes IP, como se detalla en la siguiente tabla. Filtro de paquetes IP de ISA Server 2000 Cliente DHCP Filtro DNS ICMP saliente Regla de directiva del sistema de ISA Server 2004 Permitir peticiones DHCP del servidor ISA a todas las redes Permitir DNS del servidor ISA hacia servidores seleccionados Permitir peticiones ICMP del servidor ISA a servidores

    seleccionados Respuesta del ping de ICMP (entrante), Excedido el tiempo de espera de ICMP en, Paquete de control de flujo ICMP, No se puede obtener acceso a ICMP en IP Replay (out) Permitir peticiones ICMP (ping) de equipos seleccionados al servidor ISA Permitir peticiones ICMP del servidor ISA a servidores seleccionados

    Al ejecutar la herramienta de migracin del servidor ISA, puede elegir si se permite el trfico desde la red interna al equipo servidor ISA. Si selecciona esta opcin, se crea una regla que permite el trfico desde la red interna a la red de host local y viceversa. Reglas de protocolo La directiva de acceso de ISA Server 2000 estaba formada por reglas de protocolo, as como reglas de sitio y contenido. ISA Server 2004 incluye slo reglas de acceso, que se basan en una combinacin de las reglas de protocolo originales, y reglas de sitios y contenido. Las reglas de protocolo de ISA Server 2000 se actualizan a las reglas de acceso de ISA Server 2004. La mayor parte de las propiedades se actualizan directamente a ISA Server 2004. La propiedad Se aplica a se actualiza, como se detalla en la siguiente tabla. Regla de protocolo de ISA Server 2000 Cualquier peticin Conjuntos de direcciones de clientes Regla de acceso de ISA Server 2004 El valor de la red de origen se establece en Interno y Host local. De se establece en un conjunto de equipos con direcciones IP especficas en el conjunto de direcciones de clientes original. La red de origen se establece en Interna. De se establece en un conjunto de usuarios con los usuarios concretos especificados originalmente. La red de origen se establece en Interna.

    Usuarios y grupos

    Tenga en cuenta que los filtros de aplicacin de terceros no se actualizan. De la misma forma, tampoco se actualiza ninguna definicin de protocolo instalada con el filtro de aplicacin. No se actualiza ninguna de las reglas que se aplican a estas definiciones de protocolo. Puede configurar una clave del registro de ISA Server 2000, IgnoreContentTypeIfNotApplicable, que determine si se omite un grupo de contenido para las reglas de protocolo que no se apliquen a HTTP. Si se habilita esta clave del registro, la herramienta de migracin crea dos reglas de acceso para cualquier regla de protocolo aplicada tanto a protocolos HTTP como a protocolos adicionales. Por ejemplo, si ISA Server 2000 incluye una regla de protocolo que se aplica a los protocolos POP3 y HTTP, la herramienta de migracin crea dos reglas de acceso en ISA Server 2004: una para POP3 y otra para HTTP. Reglas de sitio y contenido La directiva de acceso de ISA Server 2000 estaba formada por reglas de protocolo, as como reglas de sitio y contenido. ISA Server 2004 incluye slo reglas de acceso, que se basan en una combinacin de las reglas de protocolo originales, y reglas de sitios y contenido.

    Las reglas de sitio y contenido de ISA Server 2000 se actualizan a las reglas de acceso de ISA Server 2004. La mayor parte de las propiedades se actualizan directamente a ISA Server 2004. La propiedad Se aplica a se actualiza, como se detalla en la siguiente tabla. Regla de sitio y contenido de ISA Server 2000 Cualquier peticin Conjuntos de direcciones de clientes Regla de acceso de ISA Server 2004 El valor de la red de origen se establece en Interno y Host local. De se establece en un conjunto de equipos con direcciones IP especficas en el conjunto de direcciones de clientes original. El valor de la red de origen se establece en Interno y Host local. De se establece en un conjunto de usuarios con los usuarios concretos especificados originalmente. La red de origen se establece en Interna.

    Usuarios y grupos

    Puede configurar una clave del registro de ISA Server 2000, IgnoreContentTypeIfNotApplicable, que determine si se omite un grupo de contenido para las reglas de protocolo que no se apliquen a HTTP. Si se habilita esta clave del registro, la herramienta de migracin crea dos reglas de acceso para cualquier regla de protocolo aplicada tanto a protocolos HTTP como a protocolos adicionales. Por ejemplo, si ISA Server 2000 incluye una regla de protocolo que se aplica a los protocolos POP3 y HTTP, la herramienta de migracin crea dos reglas de acceso en ISA Server 2004: una para POP3 y otra para HTTP. Migrar reglas de protocolo, as como de sitio y contenido Algunas reglas de protocolo, as como las reglas de sitio y contenido, se combinan en una sola regla de acceso al actualizar a ISA Server 2004.

    Convenciones de nomenclatura La siguiente tabla detalla las convenciones de nomenclatura de las nuevas reglas de acceso. Regla de ISA Server 2000 Regla de denegacin de protocolo Regla de denegacin de sitio y contenido Filtro de paquetes Filtro de paquetes bidireccionales Regla de protocolos combinados, as como de sitio y contenido Nombre de la regla de ISA Server 2004 ISANmero-Nombre_regla_ISA Ejemplo ISA12-DenyNimda

    ISANmero-Nombre_regla_ISA

    ISA13-BlockBadStuff

    ISANmero-Nombre_regla_ISA ISANmeroNombre_regla_ISA(Entrante) ISANmeroNombre_regla_ISA(Entrante) ISANmeroNombre_regla_ISA+Nombre_regla_ISA

    ISA14-ICMP ISA18-NNMP(Entrante) ISA19-NNMP(Saliente)

    ISA15_InternetAccess+BlockBadStuff

    Actualizar la configuracin de la directiva de publicacin de ISA Server 2000 Las reglas de publicacin de ISA Server 2000 se actualizan a ISA Server 2004, como se detalla en las secciones siguientes. Tenga en cuenta que en ISA Server 2000, puede configurar una regla que bloquee el trfico entre el equipo servidor ISA (host local) y la red externa. No obstante, en ISA Server 2004, la directiva del sistema controla cmo el equipo servidor ISA (host local) accede a todas las redes. Como las reglas de directiva del sistema se procesan en primer lugar, stas reemplazarn las reglas de directiva que puede configurar especficamente para denegar el acceso desde la red de host local a la red externa. Reglas de publicacin de servidor Por cada regla de publicacin del servidor de ISA Server 2000, se crea una regla correspondiente en ISA Server 2004. Algunas propiedades se modifican durante el proceso de actualizacin, como se detalla en la siguiente tabla.

    Propiedad Accin

    Valor de ISA Server 2000 Direccin IP del servidor de la red interna Direccin IP externa Protocolo

    Valor de ISA Server 2004 Se establece el valor de Para en el objeto de equipo con la direccin IP especfica. Se establece el valor de Direccin IP de la escucha externa en la direccin IP especfica. Valor igual al de ISA Server 2000. El valor de red de Origen se establece en Externa y De en Todos los usuarios. El valor de De se establece en un conjunto de equipos con direcciones IP especficas del conjunto de direcciones cliente. El valor de red de Origen se establece en Externa y De en Todos los usuarios.

    Se aplica a

    Cualquier peticin Conjuntos de direcciones de clientes Usuario y grupo

    Puede configurar una clave del registro de ISA Server 2000, UseISAAddressInPublishing, que determine si se habilita el servicio proxy. Si se configura una clave del registro en el equipo con ISA Server 2000, se activa la casilla de verificacin Habilitar proxy en ISA Server 2004. Observe que la direccin IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la informacin de configuracin. Si ISA Server 2004 est instalado en un equipo distinto, debe corregir la direccin IP despus de importar el archivo .xml. Reglas de publicacin de Web Por cada regla de publicacin de Web de ISA Server 2000, se crea una regla correspondiente en ISA Server 2004. Algunas propiedades se modifican durante el proceso de actualizacin, como se detalla en la siguiente tabla.

    Propiedad Accin

    Valor de ISA Server 2000 Descartar la peticin

    Valor de ISA Server 2004 Denegado. La regla se ordena en primer lugar, despus de las reglas cuyo objetivo es denegar el acceso. Permitido. A se establece en el equipo especificado de ISA Server 2000. Igual que en ISA Server 2000. A se establece en el equipo especificado de ISA Server 2000. Igual que en ISA Server 2000, especificado en la ficha Enlazar. No compatible. No se exporta la regla. Se genera un mensaje de registro. No compatible. No se exporta la regla. Se genera un mensaje de registro. Todas las peticiones. En ISA Server 2004, se pueden crear varias reglas de publicacin de Web si se aplic dicha regla de ISA Server 2000 a varios destino pblicos. Se establece en la primera direccin IP del intervalo.

    Redirigir la peticin Enviar la peticin original Seleccin de puerto Destino Todos los destinos Todos los internos Todos los externos El destino seleccionado se establece en direccin IP nica o dominio El destino seleccionado se establece en un intervalo de direcciones IP Todos los destinos salvo el seleccionado Protocolo de puente HTTP a HTTP y SSL a HTTP HTTP a HTTP y SSL a SSL HTTP a SSL y SSL a SSL HTTP a FTP y SSL a FTP HTTP a HTTP y SSL a FTP HTTP a SSL y SSL a HTTP HTTP a SSL y SSL a FTP HTTP a FTP y SSL a HTTP HTTP a FTP y SSL a SSL

    No compatible. No se exporta la regla. Se genera un mensaje de registro. Valor igual. No cambia Valor igual. Valor igual. HTTP a HTTP y SSL a SSL. HTTP a HTTP y SSL a SSL. HTTP a HTTP y SSL a SSL. HTTP a HTTP y SSL a SSL. HTTP a HTTP y SSL a SSL.

    En ISA Server 2000, las escuchas de web se asignan implcitamente por cada regla de publicacin de Web. En ISA Server 2004, la escucha de web se asigna explcitamente a cada regla de publicacin de Web. Si se aplica una regla de publicacin de Web de ISA Server 2000 a varias escuchas, se crean las reglas correspondientes en ISA Server 2004 por cada escucha de web de ISA Server 2000. Por ejemplo, si se aplica una regla de publicacin de Web de ISA Server 2000 a tres escuchas de web, se crean tres reglas de publicacin de Web de ISA Server 2004, una por cada escucha de web especificada en la regla de publicacin de Web de ISA Server 2000 original. Si se aplica una regla de publicacin de Web de ISA Server 2000 a un conjunto de destinos con dos o ms direcciones IP distintas, o nombres de dominio, y dos o ms rutas de acceso diferentes, se crean reglas de publicacin de Web de ISA Server 2004 por cada par de rutas de acceso y direcciones IP. Observe que la direccin IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la informacin de configuracin. Si ISA Server 2004 est instalado en un equipo distinto, debe corregir la direccin IP despus de importar el archivo .xml. En ISA Server 2000, una regla de publicacin de Web puede aplicarse a un conjunto de destinos con una ruta de acceso vaca. Convenciones de nomenclatura La siguiente tabla detalla las convenciones de nomenclatura de las nuevas reglas de publicacin. Regla de ISA Server 2000 Regla de publicacin de servidor Regla de publicacin de Web Nombre de la regla de ISA Server 2004 ISANmero-Nombre_regla_ISA Ejemplo ISA12-PublishSMTP

    ISANmero-Nombre_regla_ISA para Nombre_escucha para dominio/ruta de acceso

    ISA13-Publishing para External IP: 122.11.223.123 para microsoft.com/foo

    Actualizar los elementos de directiva de ISA Server 2000 La mayora de los elementos de la directiva de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes. Conjuntos de direcciones de clientes En ISA Server 2000, los conjuntos de direcciones de clientes incluan direcciones IP e intervalos de direcciones IP. Se utilizaban conjuntos de direcciones de clientes en las reglas de sitio y contenido, as como en las reglas de protocolo, y no en las de publicacin. En ISA Server 2004, los conjuntos de direcciones de clientes se sustituyen por conjuntos de equipos. Por cada regla de ISA Server 2000 que se aplique a un conjunto de direcciones cliente que se actualice, se crea un nuevo conjunto de equipos en ISA Server 2004. Las reglas actualizadas se aplican al nuevo conjunto, que incluye las mismas direcciones IP que el conjunto de direcciones cliente originales de ISA Server 2000. Grupos de contenido Los grupos de contenido de ISA Server 2000 se actualizan directamente a ISA Server 2004. Si existe un grupo de contenido con el mismo nombre en ISA Server 2004, no se importa el grupo de ISA Server 2000. Conjuntos de destinos

    Los conjuntos de destinos de ISA Server 2000 podan incluir nombres de equipo, direcciones IP, intervalos de direcciones IP, nombres de dominio y rutas de acceso en los equipos. Estos conjuntos se utilizan en las reglas de sitio y contenido, as como en las reglas de publicacin. ISA Server 2004 no utiliza conjuntos de destinos. En su lugar, se presentan otros elementos que pueden utilizarse de forma flexible con reglas de acceso y de publicacin. La siguiente tabla describe cmo se asignan los conjuntos de destinos de ISA Server 2000 a diversos objetos de red de ISA Server 2004. Elemento de directiva de ISA Server 2000 Conjunto de destinos con comodines Conjunto de destinos con ruta de acceso Conjunto de destinos con una sola direccin IP Conjunto de destinos con una sola direccin IP con ruta de acceso Conjunto de destinos con intervalo de direcciones IP Conjunto de destinos con intervalo de direcciones IP y ruta de acceso Objeto de red de ISA Server 2004 Conjunto de nombres de dominio Conjunto de direcciones URL Conjunto de direcciones URL Conjunto de direcciones URL

    Conjunto de equipos

    Conjunto de direcciones URL Nota Si el conjunto de destinos del servidor ISA incluye ms de cinco direcciones IP, no se crea ninguna direccin URL. En este caso, se incluye una advertencia en el archivo de registro. Adems, si se aplica una regla a este conjunto de destino, no se actualiza y se incluye un mensaje en el archivo de registro.

    La siguiente tabla muestra ejemplos de cmo se actualizan los conjuntos de destino de ISA Server 2000. Conjunto de destinos en ISA Server 2000 Conjunto de destinos con mayah.microsoft.com Conjunto de destinos con eitanh.microsoft.com y con ruta de acceso foo Conjunto de destinos con intervalo de direcciones IP 192.168.123.134 (IP nica) y ruta de acceso foo Conjunto de destinos con yairh.microsoft.com y ruta de acceso /foo, con direccin IP 1.2.3.4 y ruta de acceso boo y con intervalo de direcciones IP entre 1.2.3.4 y 1.2.3.5, y ruta de acceso /home Objeto de red en ISA Server 2004 Conjunto de nombres de dominio con mayah.microsoft.com Conjunto de nombres de dominio con eitanh.microsoft.com y conjunto de direcciones URL con http://eitanh.microsoft.com/foo/ Conjunto de equipos con intervalo entre 192.168.123.134 y 192.168.123.134 Conjunto de direcciones URL con http://192.168.123.134/foo/ Conjunto de equipos con intervalos de direcciones IP entre 1.2.3.4 y 1.2.3.4, e intervalos de direcciones IP entre 1.2.3.4 y 1.2.3.5. Conjunto de nombres de dominio con yairh.microsoft.com y conjunto de direcciones URL con http://yairh.microsoft.com/foo, http://1.2.3.4/boo, http://1.2.3.4/home y http://1.2.3.5/home

    Conjuntos y reglas de destinos La siguiente tabla describe la configuracin de reglas de ISA Server 2004 de los conjuntos de destinos originalmente utilizados en las reglas actualizadas desde ISA Server 2000. ISA Server 2000 Todos los destinos Todos los destinos internos Todos los destinos externos Destino seleccionado ISA Server 2004 El valor de la propiedad Para se establece en En cualquier lugar. El valor de la propiedad Para se establece en Red interna. El valor de la red de destino se establece en Interno. El valor de la propiedad Para se establece en Red externa. El valor de la red de destino se establece en Externo. El valor de la propiedad A se establece en los conjuntos de equipos, nombres de dominio y conjuntos de direcciones URL, que corresponden al conjunto de destinos original.

    Definiciones de protocolo ISA Server 2000 inclua dos tipos de definiciones de protocolo: Definiciones de protocolo explcitamente definidas. Elementos de protocolo creados en la instalacin, por el servidor ISA, o creados posteriormente por un usuario. Definiciones de protocolo implcitamente definidas. Utilizadas por filtros de aplicacin especficos o por filtros de paquetes IP.

    La herramienta de migracin crea definiciones de protocolo correspondientes en ISA Server 2004 para todos los elementos de protocolo definidos explcitamente. Si ISA Server 2004 ya tiene una definicin de protocolo con el mismo nombre, no se importar la definicin de protocolo de ISA Server 2000. No se actualizan las definiciones de protocolo definidas implcitamente, creadas por filtros de aplicacin de terceros. Un mensaje de advertencia as lo indica en el archivo de registro de migracin. Se actualizan las definiciones de protocolo definidas implcitamente, utilizadas con filtros de paquetes IP. No se actualizan las definiciones de protocolo que no se puede identificar mediante la herramienta de migracin. Se eliminan todas las reglas que se aplican a definiciones de protocolo no identificadas. Programacin ISA Server 2000 programa la actualizacin directamente en ISA Server 2004. Cualquier regla de ISA Server 2000 que no tenga especficamente un programa con el mismo nombre que la regla, har referencia a los programas creados, con dicho nombre, en ISA Server 2004. Se puede crear un nuevo programa en ISA Server 2004 cuando se utilicen dos programas mediante una regla de sitio y contenido, y mediante una regla de protocolo en ISA Server 2000. Escuchas de web ISA Server 2000 inclua escuchas entrantes y salientes en una direccin IP especfica. En ISA Server 2004, las escuchas de web se pueden asignar a una red completa o a una direccin IP especfica. Las escuchas entrantes de ISA Server 2000 se actualizan a ISA Server 2004 como escuchas de web de la red externa. Las escuchas salientes predeterminadas de ISA Server 2000 se actualizan a ISA Server 2004 como escuchas de web de la red interna. Si no se utiliza la escucha predeterminada, no se actualiza ninguna escucha. Esto se anota en el archivo de registro. Observe que la direccin IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la informacin de configuracin. Si ISA Server 2004 est instalado en un equipo distinto, debe corregir la direccin IP despus de importar el archivo .xml. Convenciones de nomenclatura La siguiente tabla detalla las convenciones de nomenclatura de los nuevos elementos de regla. Elemento de directiva de ISA Server 2000 Conjunto de destinos, crea el conjunto de equipos Conjunto de destinos, crea el conjunto de direcciones URL Escucha de web predeterminada Programa combinado Elemento de regla de ISA Server 2004 Conjunto de equipos con Nombre_conjunto_destinos Conjunto de direcciones URL con Nombre_conjunto_destinos Escucha de web predeterminada externa NombrePrograma1_NombrePrograma2

    Actualizar la configuracin de clientes y redes de ISA Server 2000 La configuracin de red y cliente de ISA Server 2000 se actualiza a ISA Server 2004, tal como se detalla en las siguientes secciones. Redes

    ISA Server 2000 admite solamente dos tipos de redes: interna y externa. Se puede admitir una red perimetral (tambin conocida como DMZ, zona desmilitarizada o subred filtrada) mediante la creacin de filtros de paquetes para enrutar el trfico desde la red externa a esta red. ISA Server 2004 es compatible con muchas redes. Las redes siguientes se crean de forma predeterminada en ISA Server 2004: Interna, derivada de la tabla de direcciones locales (LAT) de ISA Server 2000. La red interna de ISA Server 2004 no incluye direcciones IP del grupo de direcciones estticas de VPN de ISA Server 2000. Tampoco incluye la direccin de difusin. Externa Host local Clientes de VPN La herramienta de migracin crea las siguientes reglas de red en ISA Server 2004: Regla de red que define una relacin de ruta entre el host local y la red interna. Regla de red que define una relacin de ruta entre la red perimetral y la red externa. Regla de red que define una relacin NAT entre la red interna y la red perimetral. Tabla de dominios locales La tabla de dominios locales (LDT) se migra, tal y como est, a ISA Server 2004 . Si la tabla LDT de ISA Server 2000 incluye direcciones IP, stas no se migrarn a ISA Server 2004. Configuracin de cliente En ISA Server 2004, la configuracin de cliente se establece en la red correspondiente. La configuracin de cliente de ISA Server 2000 se actualiza directamente a la configuracin de cliente de la red interna de ISA Server 2004. Como ocurre en ISA Server 2000, la configuracin de aplicacin de cliente del servidor de seguridad de ISA Server 2004 se aplica a todas las peticiones de cliente. La configuracin de aplicacin del cliente del servidor de seguridad se actualiza directamente a ISA Server 2004. Actualizar la configuracin de enrutamiento, encadenamiento y marcado de ISA Server 2000 La mayor parte de los valores de configuracin de enrutamiento, encadenamiento y marcado de ISA Server 2000 se actualizan a ISA Server 2004, como se detalla en las secciones siguientes. Conexiones de acceso telefnico En ISA Server 2000, se podan crear varias conexiones de acceso telefnico, pero slo una poda estar activa cada vez. En ISA Server 2004, slo se puede crear una nica conexin. En ISA Server 2000, la conexin de acceso telefnico se defina por cliente del servidor de seguridad y por cliente proxy Web. En ISA Server 2004, la conexin de acceso telefnico se define por redes. Como parte del proceso de actualizacin, slo se actualiza la conexin de acceso telefnico activa. Se asigna a la red externa. No se actualizan las dems conexiones de acceso telefnico. Esta informacin se incluye en el archivo de registro de actualizacin. Encadenamiento del servidor de seguridad La configuracin de encadenamiento de ISA Server 2000 se actualiza directamente a ISA Server 2004. La nica excepcin es la conexin de acceso telefnico especificada

    en ISA Server 2000. En ISA Server 2004, la conexin de acceso telefnico se crea en la red externa. Reglas de enrutamiento Cada regla de enrutamiento de ISA Server 2000 se duplica en ISA Server 2004 como una regla de cach y como una regla de enrutamiento. La regla de enrutamiento de ISA Server 2004 se crea con las mismas propiedades que la regla de enrutamiento original de ISA Server 2000. Los destinos especificados para la regla de enrutamiento de ISA Server 2000 se asignan a redes especficas en la pgina de propiedades A de las propiedades de la regla de enrutamiento de ISA Server 2004. Si la regla de enrutamiento de ISA Server 2000 utiliza una entrada de acceso telefnico, se crea una entrada de acceso telefnico con las mismas propiedades en la red externa de ISA Server 2004. Se crea tambin una regla de cach nueva basada en la regla de enrutamiento original de ISA Server 2000. Los destinos especificados para la regla de enrutamiento de ISA Server 2000 se asignan a redes especficas en la pgina de propiedades A de las propiedades de la regla de enrutamiento de ISA Server 2004. Las siguientes propiedades no son compatibles con las reglas de cach de ISA Server 2004 y, por consiguiente, no se actualizan desde la regla de enrutamiento original de ISA Server 2000: enlazar y accin. Actualizar la configuracin de complementos de ISA Server 2000 La mayora de las reglas de directiva de acceso, las reglas de publicacin y los filtros de paquetes IP de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes. En ISA Server 2000, los filtros de aplicacin se aplicaban sin condiciones a un determinado trfico. En ISA Server 2004, algunos filtros pueden aplicarse de forma individual para cada regla. La tabla siguiente describe la forma en que se actualizan las funciones de los filtros de aplicacin de ISA Server 2000 a ISA Server 2004.

    Nota: Asegrese de eliminar todos los filtros de aplicacin o filtros Web propocionados por otros proveedores antes de realizar la actualizacin. Si estos filtros de aplicacin o Web tambin se encuentran disponibles para ISA Server 2004, puede volver a instalarlos despus de la actualizacin. Filtro de aplicacin o regla Acceso a FTP

    ISA Server 2000 Reglas de protocolo que se aplican a FTP Reglas de protocolo que se aplican a la descarga FTP Reglas de protocolo que se aplican al servidor FTP

    ISA Server 2004 Regla de acceso con la opcin Slo lectura del filtrado FTP deshabilitada Regla de acceso con la opcin Slo lectura del filtrado FTP habilitada Regla de publicacin de servidor con la opcin Slo lectura del filtrado FTP deshabilitada Filtrar escuchas en la red externa Filtrar escuchas en la red interna Igual que en ISA Server 2000 No se admite Sustituido por el filtrado por regla Igual que en ISA Server 2000 Se actualizan a una regla de publicacin de servidor de SMTP de forma individual para cada regla Escuchar peticiones de SOCKS iniciadas desde la red interna La misma configuracin que ISA Server 2000 No se admite la divisin de transmisin por secuencias MMS

    Filtro H.323

    Permitir llamada entrante Permitir llamadas salientes Resto de configuraciones

    Redireccin de HTTP Filtro RPC Filtro SMTP

    Todas las configuraciones Todas las configuraciones Comandos SMTP Datos adjuntos, usuarios y dominios, y palabras clave

    Filtro SOCKS V4 Medios de transmisin por secuencias

    Habilitado Filtro MMS, filtro PNM y filtro RTSP: cualquier configuracin

    Los valores de configuracin de los siguientes filtros de aplicacin se actualizan directamente a ISA Server 2004: Filtro de deteccin de intrusiones DNS Filtro de deteccin de intrusiones POP Si el filtro de mensajes no est instalado en el equipo que se va a actualizar a ISA Server 2004, se bloquear todo el trfico proveniente del equipo del filtro de mensajes a menos que configure especficamente ISA Server 2004 para permitir el trfico desde y a la red interna, y desde y a la red de host local. Del mismo modo, puede agregar una regla que permita el trfico de Control de Firewall de Microsoft desde el equipo del filtro de mensajes al equipo de host local. Algunas propiedades del filtro de aplicacin se configuran de distinta forma en ISA Server 2004 que en ISA Server 2000. Tenga en cuenta que los filtros de aplicacin de terceros no se actualizan. De la misma forma, tampoco se actualiza ninguna definicin de protocolo instalada con el

    filtro de aplicacin. No se actualiza ninguna de las reglas que se aplican a estas definiciones de protocolo. Actualizar la configuracin de la cach de ISA Server 2000 La mayora de los valores de configuracin de la cach de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes. Almacenamiento en cach La mayora de las propiedades de la cach de ISA Server 2000 se actualizan directamente, sin cambio alguno, desde ISA Server 2000 a ISA Server 2004. Tenga en cuenta las siguientes excepciones: Las propiedades generales de la cach que especifican si los objetos de la cach deben actualizarse se actualizan a los valores por defecto que ISA Server 2004 tiene para estas propiedades. No se actualizan las propiedades generales de la cach que especifican si deben actualizarse los objetos que superan un tamao determinado. Las propiedades generales de la cach que especifican si se almacena en la cach el contenido dinmico se establecen en la regla de cach predeterminada de ISA Server 2004. La configuracin de la unidad de la cach se mantiene en ISA Server 2004. Si la migracin se realiza a otro equipo, el equipo con ISA Server 2004 debe tener un hardware y una configuracin de unidades similares a las del equipo original con ISA Server 2000. Si ISA Server 2000 se instal en modo de cach, la herramienta de migracin realiza las siguientes operaciones: Configura la red interna de ISA Server 2004 para incluir todas las direcciones asociadas con el adaptador de red individual especificado en el equipo con ISA Server 2000. Crea un regla de acceso que permite el acceso HTTP, HTTPS y FTP desde la red interna a la red interna. Trabajos programados de descarga de contenido Los trabajos de descarga de contenido programados de ISA Server 2000 se actualizan directamente a ISA Server 2004. Actualizar Enrutamiento y acceso remoto de ISA Server 2000 Al instalar ISA Server 2004, puede actualizar la configuracin de Enrutamiento y acceso remoto. Es posible actualizar la configuracin a ISA Server 2004, est o no ISA Server 2000 instalado en el equipo. Tenga en cuenta las limitaciones siguientes sobre la actualizacin de la configuracin de Enrutamiento y acceso remoto: Para establecer el nmero mximo de clientes de redes privadas virtuales remotas (VPN) que pueden conectarse a ISA Server 2004 se tiene en cuenta el valor ms grande de los siguientes en Enrutamiento y acceso remoto: el nmero de puertos PPTP o el nmero de puertos L2TP. Si el nmero de direcciones IP asignadas estticamente es inferior al nmero de clientes de VPN, este nmero se reducir para que se ajuste al tamao del conjunto de direcciones estticas. Se emite una advertencia al usuario durante el proceso de actualizacin de Enrutamiento y acceso remoto. Las claves previamente compartidas para Enrutamiento y acceso remoto no se exportan. Se emite un mensaje de advertencia. Si se configura una direccin IP no vlida para el servidor DNS principal, sta no se exportar. En su lugar, se utilizarn los valores de DHCP y se emitir un

    mensaje de advertencia. Si se configura una direccin IP no vlida para el servidor DNS de reserva, sta no se exportar. Se emite un mensaje de advertencia. Si se configura una direccin IP no vlida para el servidor WINS principal, sta no se exportar. En su lugar, se utilizarn los valores de DHCP y se emitir un mensaje de advertencia. Si se configura una direccin IP no vlida para el servidor WINS de reserva, sta no se exportar. Se emite un mensaje de advertencia. Si una conexin de sitio a sitio se configura en Enrutamiento y acceso remoto primero como PPTP (y despus como L2TP), se actualizar a la red de un sitio remoto en ISA Server 2004 que utilice solamente PPTP. Se emite un mensaje de advertencia. Si una conexin de sitio a sitio se configura en Enrutamiento y acceso remoto primero como L2TP (y despus como PPTP), se actualizar a la red de un sitio remoto en ISA Server 2004 que utilice solamente L2TP. Se emite un mensaje de advertencia. Las claves previamente compartidas para conexiones de sitio a sitio en Enrutamiento y acceso remoto no se exportan. Se emite un mensaje de advertencia. Las credenciales configuradas para conexiones de sitio a sitio en Enrutamiento y acceso remoto tampoco se exportan. En ISA Server 2004, las conexiones VPN salientes se deshabilitan hasta que se vuelvan a configurar. Se emite un mensaje de advertencia.

    Actualizar la configuracin de revisiones y Feature Pack 1 de ISA Server 2000 Feature Pack 1 de ISA Server 2000 presenta varias funciones nuevas, que se incluyen en ISA Server 2004. La mayor parte de la informacin de configuracin de Feature Pack 1 de ISA Server 2000 se migra directamente a ISA Server 2004. Tenga en cuenta las siguientes excepciones: Traduccin de vnculos. Funcin directamente migrada a ISA Server 2004. Tenga en cuenta lo siguiente: Se crea un nuevo grupo de contenido para los grupos de contenido a los que se aplica el filtro de traduccin de vnculos de ISA Server 2000. Con la traduccin de vnculos de Feature Pack 1 de ISA Server 2000, puede configurar si se debe evitar el almacenamiento en cach de las respuestas en servidores proxy externos. Esta caracterstica ya no se admite en ISA Server 2004. Compatibilidad con autenticacin SecurID. Funcin directamente migrada a ISA Server 2004. Tenga en cuenta lo siguiente: En Feature Pack 1 de ISA Server 2000, la autenticacin SecurID se configuraba por regla de publicacin de Web. En ISA Server 2004, se configura para cada escucha de web. Si ISA Server 2000 tiene dos reglas de publicacin en Web con configuraciones distintas, se migran las reglas pero se deshabilita la configuracin de autenticacin SecurID. Para completar la migracin de la configuracin de autenticacin SecurID, proceda del modo siguiente: 1. Copie el archivo Sdconf.rec generado por el servidor de entrada de control de acceso (ACE) en %SystemRoot%\System32. 2. Cree una regla de acceso que permita la comunicacin entre el host local y el servidor ACE.

    URLScan. El nombre de este filtro cambia a filtro HTTP en ISA Server 2004. La siguiente funcionalidad, compatible con Feature Pack 1 de ISA Server 2000, no est disponible en ISA Server 2004: EnableLogging PerProcessLogging AllowLateScanning PerDayLogging RejectResponseUrL UseFastPathReject DenyUrlSequences Revisiones de ISA Server 2000 Todas las claves del registro instaladas como parte de las revisiones de ISA Server 2000 se migran directamente a ISA Server 2004.

    2. Configuraciones avanzadas de red (Firewall de 3 adaptadores,


    Firewall Back-to-Back)

    El servidor ISA presenta el concepto de redes mltiples. Puede utilizar las caractersticas de redes mltiples del servidor ISA para proteger la red frente a amenazas internas y externas a la seguridad, ya que limitan la comunicacin entre clientes, incluso dentro de la propia organizacin. Puede agrupar equipos de la red interna en conjuntos de redes y configurar una directiva de acceso especfica para cada uno de ellos. Tambin puede especificar relaciones entre las diversas redes y determinar, de este modo, la forma en que se comunican los equipos de cada red entre s mediante el servidor ISA. En un entorno de publicacin normal, quiz prefiera aislar los servidores publicados en su propia red, como una red perimetral. La funcionalidad de redes mltiples del servidor ISA es compatible con un entorno as, para que pueda configurar la forma

    en que tienen acceso a la red perimetral los clientes de la red corporativa y los clientes de la red externa. Puede configurar las relaciones entre las diversas redes y definir directivas de acceso diferentes entre cada red.

    a. Topologas de Red

    El servidor ISA incluye plantillas de red, que se corresponden con topologas de red comunes. Las plantillas de red se pueden utilizar para configurar la directiva de servidor de seguridad para el trfico entre redes. El servidor ISA incluye las siguientes plantillas de red: Firewall perimetral. Esta plantilla supone que hay una topologa de red con el servidor ISA en el lmite de la red. Un adaptador de red se conecta a la red interna y el otro se conecta a una red externa (Internet). Si selecciona esta plantilla, puede permitir todo el trfico saliente o limitar el trfico saliente para permitir solamente acceso a Web. 3-Leg Perimeter (Permetro de 3 secciones). Esta plantilla supone que hay una topologa de red con el servidor ISA conectado a la red interna, la red externa y una red perimetral (conocida tambin como DMZ, zona desmilitarizada o subred protegida). Cliente. Esta plantilla supone que hay una topologa de red con el servidor ISA en el lmite de la red, con otro servidor de seguridad configurado en el servidor de servicios de fondo, para proteger la red interna. Servidor de servicios de fondo. Esta plantilla supone que hay una topologa de red con el servidor ISA implementado entre una red perimetral y

    la red interna, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna. Adaptador de red nico. Esta plantilla supone que hay una configuracin de un adaptador de red nico en una red perimetral o corporativa. En esta configuracin, el servidor ISA se utiliza como servidor de envo a travs de proxy Web y almacenamiento en cach. b. Reglas de protocolos en configuraciones de firewall con 3 adaptadores

    El servidor ISA incluye plantillas de red, que se corresponden con topologas de red comunes. Un entorno implica la configuracin de un equipo servidor ISA con tres adaptadores de red: uno se conecta a Internet (red externa), otro a la red interna y el tercero a una red perimetral. La plantilla de red perimetral de tres secciones se aplica a este entorno. Al configurar el servidor ISA mediante la aplicacin de la plantilla de red perimetral de tres secciones, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad de acuerdo con la directiva concreta que se seleccione. Directiva de servidor de seguridad Como parte del proceso de aplicacin de plantillas de red, seleccione la directiva de servidor de seguridad que ms se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red perimetral de tres secciones e indica las reglas que se crean al seleccionar la directiva.

    Nombre de directiva

    Descripcin

    Reglas que se crean

    Esta directiva bloquea todos los accesos de red a travs del servidor ISA. Esta opcin no crea reglas de acceso, a excepcin de la Ninguna. Bloquear a todos regla predeterminada, que bloquea todos los accesos. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Bloquear el acceso a Internet, permitir el acceso a los servicios de red en la red perimetral Bloquear el acceso a Internet, pero permitir el acceso a los servicios de red del ISP Esta directiva bloquea todos los accesos de red a travs del servidor ISA, a excepcin del acceso a los servicios de red (DNS) de la red perimetral. Use esta opcin cuando desee definir la directiva de servidor de seguridad por cuenta propia. Esta directiva bloquea todos los accesos de red a travs del servidor ISA, a excepcin del acceso a los servicios de red externos, como DNS. Esta opcin es til cuando el ISP es el que proporciona los servicios de red. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Permitir trfico DNS desde la red interna y la red de clientes de VPN a la red perimetral. Permitir trfico DNS desde la red interna, la red de clientes de VPN y la red perimetral hacia la red externa (Internet).

    Permitir trfico HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hasta Esta directiva permite acceso a Web la red perimetral y la Permitir acceso a limitado mediante el uso exclusivo de red externa web limitado HTTP, HTTPS y FTP. Esta directiva bloquea (Internet). los restantes accesos de red. Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna. Permitir trfico HTTP, HTTPS y FTP desde la red interna y la red de Esta directiva permite acceso a Web clientes de VPN hacia limitado mediante el uso exclusivo de la red perimetral y la Permitir acceso a HTTP, HTTPS y FTP, y permite el acceso a red externa web limitado, los servicios de red de la red perimetral. (Internet). permitir el acceso Los restantes accesos de red estn Permitir trfico DNS a los servicios de bloqueados. desde la red interna y red de la red Esta opcin es til cuando los servicios de la red de clientes de perimetral infraestructura de red estn disponibles en VPN hacia la red la red perimetral. perimetral. Permitir todos los protocolos desde la red de clientes de VPN

    hacia la red interna. Permitir trfico HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red externa (Internet). Esta directiva permite el acceso limitado a Permitir acceso a Permitir DNS desde la Internet y permite el acceso a los servicios web limitado, red interna, la red de de red, como DNS, que proporciona su ISP. permitir servicios clientes de VPN y la Los restantes accesos de red estn de red del ISP red perimetral hacia bloqueados. la red externa (Internet). Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna. Permitir todos los protocolos desde la Esta directiva permite el acceso a Internet red interna y la red de sin restricciones a travs del servidor ISA. clientes de VPN hacia El servidor ISA prevendr el acceso de la red perimetral y la Permitir todos los Internet a las redes protegidas. red externa protocolos Puede modificar las reglas de acceso ms (Internet). tarde para bloquear determinados tipos de Permitir todos los acceso de red. protocolos desde la red de clientes de VPN hacia la red interna.

    c.

    Reglas de protocolos en configuraciones de firewall Back-toBack

    Plantilla de red de servidor de seguridad de cliente El servidor ISA incluye plantillas de red, que se corresponden con topologas de red comunes. Un entorno implica que el equipo servidor ISA se implementa en los lmites de una red, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna. En este entorno, el servidor ISA acta como lnea delantera de defensa en una configuracin opuesta de red perimetral. La plantilla de red de cliente se aplica a este entorno. Al configurar el servidor ISA mediante la aplicacin de la plantilla de red de cliente, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad conforme a la directiva concreta que se seleccione.

    Directiva de servidor de seguridad Como parte del proceso de aplicacin de plantillas de red, seleccione la directiva de servidor de seguridad que ms se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red de cliente e indica las reglas que se crean al seleccionar cada directiva. Nombre de Reglas que se Descripcin directiva crean Esta directiva bloquea todo el acceso a redes a travs del servidor ISA. Esta opcin no crea reglas de acceso, a excepcin de la Ninguna. regla predeterminada, que bloquea todos los accesos. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Permitir DNS desde la red de clientes de VPN y la red perimetral hacia la red externa (Internet). Permitir DNS desde la red interna y la red de clientes de VPN hacia la red perimetral. Permitir HTTP, HTTPS y FTP desde la red de clientes de VPN y la red perimetral hacia la red externa (Internet). Permitir todos los protocolos desde la red de clientes de VPN hacia la red perimetral.

    Bloquear a todos

    Esta directiva bloquea todo el acceso a redes a travs del servidor ISA, excepto el Bloquear acceso a acceso a los servicios de red externos, Internet, permitir como DNS. Esta opcin es til cuando el ISP acceso a servicios es el que proporciona los servicios de red. de red ISP Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Esta directiva bloquea todos los accesos de Bloquear acceso a red a travs del servidor ISA, a excepcin Internet (los del acceso a los servicios de red, como servicios de red DNS, de la red perimetral. Use esta opcin estn en la red cuando desee definir la directiva de servidor perimetral) de seguridad por cuenta propia.

    Permitir acceso a web limitado (los servicios de red estn en la red perimetral)

    Esta directiva permite el acceso a Web limitado. Los dems accesos a redes estn bloqueados.

    Permitir HTTP, HTTPS y FTP desde la red perimetral y Esta directiva permite el acceso de Web Permitir acceso de la red de clientes de limitado y permite el acceso a los servicios VPN hacia la red web limitado, de red, como DNS, que proporciona su ISP. permitir servicios externa (Internet). Los dems accesos a redes estn de red del ISP Permitir DNS desde bloqueados. la red interna, la red de clientes de VPN y la red perimetral

    hacia la red externa (Internet). Permitir todos los protocolos desde la red de clientes de VPN hacia la red perimetral. Permitir todos los protocolos desde la Esta directiva permite el acceso sin red perimetral y la restricciones a Internet a travs del servidor red de clientes de ISA. El servidor ISA prevendr el acceso VPN hacia la red Permitir acceso sin desde Internet hacia las redes protegidas. externa (Internet). restricciones Puede modificar las reglas de acceso ms Permitir todos los adelante para bloquear tipos especficos de protocolos desde la acceso a redes. red de clientes de VPN hacia la red perimetral. Plantilla de red de servidor de servicios de fondo El servidor ISA incluye plantillas de red, que se corresponden con topologas de red comunes. Un entorno implica que el equipo servidor ISA se implementa entre una red perimetral y la red interna, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna. En este entorno, el servidor ISA acta como lnea de fondo de defensa en una configuracin opuesta de red perimetral. La plantilla de red de servidor de servicios de fondo se aplica a este entorno. Al configurar el servidor ISA mediante la aplicacin de la plantilla de red de servidor de servicios de fondo, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad conforme a la directiva concreta que se seleccione.

    Directiva de servidor de seguridad Como parte del proceso de aplicacin de plantillas de red, seleccione la directiva de servidor de seguridad que ms se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red de servidor de servicios de fondo e indica las reglas que se crean al seleccionar cada directiva. Nombre de Descripcin Reglas que se crean directiva Esta directiva bloquea todo el acceso a redes a travs del servidor ISA. Esta opcin no crea reglas de acceso, a Sin acceso: Bloquear excepcin de la regla predeterminada, Ninguna. a todos que bloquea todos los accesos. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Sin acceso: Bloquear acceso a Internet (los servicios de red estn en la red perimetral) Esta directiva bloquea todo el acceso a redes a travs del servidor ISA, excepto el acceso a los servicios de red (DNS) de la red perimetral. Use esta opcin cuando desee definir directivas de servidor de seguridad por cuenta propia. Permitir DNS desde la red interna y la red de clientes de VPN hacia la red perimetral.

    Esta directiva bloquea todo el acceso a redes a travs del servidor ISA, excepto el acceso a los servicios de red Sin acceso: Bloquear externos, como DNS. Esta opcin es til cuando el ISP es el que acceso a Internet, permitir acceso a proporciona los servicios de red. servicios de red ISP Use esta opcin cuando desee definir las reglas de acceso de la directiva de servidor de seguridad por cuenta propia.

    Permitir DNS desde la red interna y la red de clientes de VPN hacia la red externa (Internet), excepto el intervalo de direcciones perimetrales

    Acceso restringido: Permitir acceso a web limitado

    Permitir HTTP, HTTPS y FTP desde la red interna y la red de Esta directiva permite el acceso a Web clientes de VPN hacia la limitado. Los dems accesos a redes red externa (Internet). estn bloqueados. Permitir todos los protocolos de la red de clientes de VPN hacia la red interna. Permitir HTTP, HTTPS y FTP desde la red interna y la red de Esta directiva permite el acceso a Web clientes de VPN hacia la limitado y el acceso a los servicios de red perimetral y la red red de la red perimetral. Los dems externa (Internet). accesos a redes estn bloqueados. Permitir DNS desde la red interna y la red de clientes de VPN hacia la

    Acceso restringido: Permitir acceso a web limitado (los servicios de red estn en la red perimetral)

    red perimetral. Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna. Permitir HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red externa (Internet). Permitir DNS desde la Acceso restringido: Esta directiva permite el acceso de red interna y la red de Permitir acceso de web limitado y permite el acceso a los clientes de VPN hacia la web limitado, servicios de red, como DNS, que red externa (Internet), permitir acceso a proporciona su ISP. Los dems accesos excepto el intervalo de servicios de red ISP a redes estn bloqueados. direcciones del permetro. Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna. Permitir todos los protocolos desde la red Esta directiva permite el acceso sin interna y la red de restricciones a Internet a travs del clientes de VPN hacia la servidor ISA. El servidor ISA prevendr red externa y el el acceso desde Internet hacia las intervalo de direcciones redes protegidas. Puede modificar las del permetro. reglas de acceso ms adelante para Permitir todos los bloquear tipos especficos de acceso a protocolos desde la red redes. de clientes de VPN hacia la red interna.

    Acceso a Internet sin restricciones: Permitir todos los protocolos

    3. Configuracin de acceso a sitios web corporativos (Web Publishing)

    Escuchas de red Al crear una regla de publicacin de servidor para publicar un servidor, en realidad, est configurando el servidor ISA para que est atento a las peticiones de clientes en nombre de ese servidor. En otras palabras, debe configurar una escucha de red en el equipo servidor ISA que espera peticiones de clientes. Al configurar una escucha de red, debe especificar la red correspondiente al adaptador de red en el equipo servidor ISA que estar atento a las peticiones entrantes para el servidor publicado. La escucha puede estar atenta a todas las direcciones IP asociadas a una red o a direcciones IP especficas. El servidor ISA est atento al adaptador de red especificado, utilizando el nmero de puerto asociado al protocolo que est publicando el servidor. Seleccin de redes de escucha (direcciones IP) La red o redes de escucha que seleccione dependen de las redes desde la que se conectarn los clientes al servidor publicado. Por ejemplo, si el servicio que va a publicar acepta peticiones de clientes de Internet (una red externa), debera seleccionar la red externa para la escucha. Al seleccionar la red externa, se seleccionan las direcciones IP en el equipo servidor ISA asociado al adaptador de red externo. Si no limita las direcciones IP, todas aqullas asociadas al adaptador de red externo se incluirn en la configuracin de la escucha. Adems, para que funcione la red, los orgenes de trfico (entidades de red) especificados en la ficha De de las propiedades de la regla de publicacin deben incluirse en una red seleccionada como escucha de red.

    a. Publicacin estndar

    El servidor ISA utiliza las reglas de publicacin de Web para aliviar los problemas asociados con el contenido de publicacin de Web sin comprometer la seguridad de red. Las reglas de publicacin de Web determinan cmo debe interceptar el servidor ISA las peticiones entrantes para los objetos HTTP (protocolo de transferencia de hipertexto) en un servidor Web y cmo debe responder el servidor ISA en representacin del servidor Web. Las peticiones se envan seguidamente al servidor Web ubicado detrs del equipo servidor ISA. Si es posible, la peticin se atiende desde la cach del servidor ISA. Las reglas de publicacin de Web asignan peticiones entrantes a los servidores Web correspondientes. Tambin permiten la configuracin de las funciones avanzadas de filtrado, publicando la informacin basada en Web mientras la protegen de un acceso malintencionado. Nota Las reglas nuevas slo se aplican a las conexiones nuevas. Cuando configure reglas de publicacin de Web, especifique lo siguiente: Nombre (o direccin IP) del servidor Web. Puede limitar la aplicacin de la regla a todos los sitios Web del servidor o a un sitio Web especfico. Asignacin de ruta de acceso. Antes de reenviar una peticin, el servidor ISA puede modificar la ruta externa especificada en la peticin y asignarla a la ruta interna correspondiente. Usuarios o equipos con acceso al servidor Web publicado. Origen. Los objetos de red que pueden tener acceso al servidor Web publicado. Tenga en cuenta que los objetos de red que especifique deben incluirse tambin en la escucha de web especificada para esta regla de publicacin de Web. Escucha de web. Se trata de la direccin IP del equipo servidor ISA que est atenta a las peticiones de los clientes. Protocolo de puente. Con el protocolo de puente, puede configurar el envo de las peticiones HTTP al servidor publicado. Traduccin de vnculos. Con la traduccin de vnculos, puede configurar cmo el servidor ISA examina las pgina Web en busca de vnculos y las actualiza con el nombre y la ruta externos. Adems, puede filtrar las peticiones efectuadas al servidor Web, configurarndo el filtrado HTTP. Importante Es recomendable no permitir la funcin de examinar directorios en el servidor Web publicado por el servidor ISA. Adems, el servidor Web no puede requerir autenticacin implcita ni bsica. En caso de que requiera autenticacin, es posible que el nombre interno o la direccin IP del servidor Web aparezcan en Internet. Accin Las reglas de publicacin de Web especifican el servidor, si existe alguno, que devolver el objeto solicitado. La peticin puede descartarse o redirigirse a un sitio alternativo, normalmente, a un servidor Web de la red corporativa. Al configurar la regla para redirigir las peticiones a un sitio alojado, el servidor ISA recupera el objeto a partir de la ruta especificada en la peticin del equipo host. Por ejemplo, imagine que especifica que el servidor ISA redirija las peticiones de

    example.microsoft.com/development a un equipo host llamado Dev. Cuando un cliente solicita un objeto de example.microsoft.com/development, el servidor ISA recupera el objeto en la carpeta de desarrollo en el equipo Dev. Las reglas de publicacin de Web determinan el destino solicitado al leer el encabezado del host. Asignacin de ruta de acceso Antes de reenviar una peticin a un servidor Web publicado, el servidor ISA comprueba la ruta (externa) especificada en la peticin. Si configura la asignacin de ruta de acceso, el servidor ISA reemplazar la ruta especificada por el nombre de ruta correspondiente. Tenga en cuenta que cada ruta que especifique debe ser distinta y nica. Siga esta directrices para especificar la asignacin de ruta de acceso: Al especificar la ruta interna a la que se asignar la peticin, emplee este formato: /miruta/*. No se puede utilizar un carcter comodn en la ruta. Por ejemplo, no especifique miruta*/ o /miruta*. Evite especificar un nombre de archivo cuando configure la asignacin de ruta de acceso. De lo contrario, tenga en cuanto que slo se atender una peticin para la ruta exacta. Protocolo de puente Al crear una regla de publicacin de Web, puede proteger an ms la comunicacin HTTP. Aunque la comunicacin inicial utilice HTTP, una vez el servidor ISA reciba la peticin, puede redirigirse la comunicacin utilizando SSL. Si la peticin se redirige como una peticin SSL, se cifrarn los paquetes. A esta redireccin tambin se le conoce como protocolo de puente. Puede establecer que las peticiones HTTP o SSL se procesen como peticiones FTP (protocolo de transferencia de archivos) en el servidor Web. Si el cliente externo solicita un objeto mediante HTTP o SSL, el servidor ISA puede redirigir la peticin al servidor Web interno mediante FTP. Si configura el protocolo de puente de esta forma, podr especificar el puerto que debe utilizarse al enlazar las peticiones de FTP. El servidor Web que precede en la cadena puede requerir un certificado de cliente. En tal caso, configure el servidor ISA para que se autentique con un certificado de cliente especfico. Si configura la regla de publicacin de Web para que requiera un canal seguro, todas las peticiones de clientes para los destinos especificados deben encontrarse en el puerto indicado para las conexiones SSL.

    Publicacin de sitios Web con el mismo nombre de dominio Los cliente identifican los sitios Web publicados por su nombre de dominio completo (FQDN), tal y como los public el servidor ISA. Es decir, el nombre de dominio completo del sitio Web es el nombre configurado en la regla de publicacin de Web.

    Si se publican varios servidores Web con el mismo nombre de dominio completo, el cliente supone que los dos sitios publicados son realmente el mismo. En otras palabras, el cliente Web puede enviar la informacin destinada a un servidor Web al otro servidor Web. Orden de reglas Las reglas de publicacin de Web se procesan junto con las reglas de directiva de servidor de seguridad. Se procesan en orden, para cada peticin de Web entrante. Cuando la regla coincide con una peticin, sta se enruta y se almacena en cach de la forma especificada. Si no coincide ninguna regla con la peticin, el servidor ISA procesa la regla predeterminada y descarta la peticin. b. Publicacin de OWA

    Microsoft Internet Security and Acceleration (ISA) Server 2004 y Microsoft Outlook Web Access pueden combinarse para mejorar la seguridad de los mensajes de correo electrnico. Puede publicar de forma segura servidores Outlook Web Access con reglas de publicacin de servidor de correo. Al publicar servidores Outlook Web Access mediante el servidor ISA, protege el servidor Outlook Web Access frente a un acceso externo directo, ya que el nombre y la direccin IP de este servidor no son accesibles para el usuario. El usuario accede al equipo servidor ISA, que reenva a continuacin la peticin al servidor Outlook Web Access en funcin de las condiciones de la regla de publicacin de servidor de correo. El Asistente para publicacin de servidor de correo le conduce por los pasos necesarios pata publicar servidores Outlook Web Access de forma segura. Dado que

    el servidor Outlook Web Access requiere que el cliente solicite el nombre de dominio completo (FQDN), el asistente configura el servidor ISA para que reenve el encabezado de host original al servidor Outlook Web Access publicado. Despus de completar el asistente, se especifican las siguientes rutas para la regla de publicacin de Web resultante:

    /exchange/* /exchweb/* /public/*

    Para obtener informacin detallada acerca de cmo publicar entornos Outlook Web Access con el servidor ISA, vea el documento "Publicacin del servidor Outlook Web Access en ISA Server 2004", disponible en el sitio Web del servidor ISA(http://www.microsoft.com/isaserver).

    Publicacin de servidores Outlook Web Access Al crear la regla de publicacin de servidor de correo, tenga en cuenta lo siguiente: Debe especificar slo puertos estndares, tanto en el servidor ISA como en el servidor OWA. El puerto estndar para HTTP es 80 y el puerto estndar para HTTPS es 443. Al publicar el servidor OWA, no puede configurar el protocolo de puente para que se reenven las peticiones HTTP como peticiones HTTPS. Si configura el protocolo de puente, especificando que las peticiones HTTPS deben reenviarse como peticiones HTTP al servidor OWA, no habilite la traduccin de vnculos.

    Publicar Outlook Mobile Access y Exchange Application Services Como parte del Asistente para publicacin de servidor de correo, puede seleccionar configurar la publicacin de Outlook Web Access y Exchange Application Services, que, al igual que Outlook Web Access, son servidores de correo basados en Web. Si publica Outlook Mobile Access y Exchange Application Services, se especificarn las rutas de acceso siguientes para la regla de publicacin resultante:

    /OMA/* /Microsoft-Server-ActiveSync/*

    Escuchas de web para la publicacin de Outlook Web Access La escucha de web que configure para la publicacin de Outlook Web Access puede configurarse para que utilice la autenticacin basadas en formas. Si configura conexiones seguras con los clientes, asegrese de que la escucha atiende las peticiones en un puerto HTTPS. En este caso, los formularios de autenticacin se atendern desde el equipo servidor ISA, habilitando la autenticacin basada en formas al publicar Exchange 2000 Server y Exchange Server versin 5.5. Importante

    Por razones de seguridad, se recomienda que la escucha de web configurada para la publicacin Outlook Web Access no se utilice para ningn otro entorno de publicacin.

    Autenticacin basada en formularios Como parte del asistente, especifique la escucha que desea utilizar para las peticiones Outlook Web Access entrantes. Cuando configure Outlook Web Access, le recomendamos que utilice la autenticacin basada en formas. Con esta autenticacin se evita el peligro inherente al almacenamiento en cach de credenciales de cliente en el equipo cliente. El almacenamiento en cach de credenciales es arriesgado en entornos de pantalla completa. Como las credenciales se almacenan en cach, aunque el usuario cierre la sesin, si la ventana del explorador se queda abierta, un usuario malintencionado puede lograr acceso a la sesin original de Outlook Web Access. Para habilitar la autenticacin basada en formas, debe especificar una escucha configurada para utilizar este tipo de autenticacin. El servidor ISA admite la autenticacin basada en formas al publicar Exchange Server 2003, Exchange 2000 Server y Exchange Server, versin 5.5. Nota La autenticacin basada en formas no se puede utilizar con clientes Outlook Mobile Access.

    Modo de protocolo de puente Como parte del asistente para la regla de publicacin de Outlook Web Access, puede especificar el modo de protocolo de puente que desea utilizar: Conexin segura a clientes. Si se selecciona esta opcin, el servidor ISA establece una conexin segura con los equipos cliente y una conexin estndar con el servidor de correo. Conexin segura a servidor de correo y clientes. Si se selecciona esta opcin, el servidor ISA establece una conexin segura tanto con el servidor de correo como con los clientes. Slo conexiones estndar. Si se selecciona esta opcin, el servidor ISA establece una conexin estndar tanto con el servidor de correo como con los clientes.

    La configuracin recomendada para la publicacin de Outlook Web Access es utilizar comunicacin con cifrado SSL (HTTPS), tanto desde el cliente externo hacia el equipo servidor ISA como desde ste al servidor Outlook Web Access. Esto se debe a que la informacin de las credenciales que se utiliza en el proceso de autenticacin debe protegerse y no debe exponerse, ni siquiera dentro de la red interna. Por este motivo

    debe instalar certificados digitales tanto en el equipo servidor ISA como en el servidor Outlook Web Access. Equipos pblicos (compartidos) y privados Outlook Web Access permite a los usuarios tener acceso a sus buzones de Exchange desde cualquier equipo. Dicho equipo puede ser tanto privado como pblico (compartido). La comodidad que ofrece la capacidad para tener acceso a mensajes de correo electrnico desde cualquier lugar se contrarresta con el peligro que supone dejar los datos en un equipo pblico. Para combatir estas amenazas, la autenticacin basada en formas del servidor ISA le ayuda a asegurarse de que los usuarios no dejan sus contraseas almacenadas en la cach de equipos pblicos. Cambiar contraseas de usuario Outlook Web Access incluye una funcionalidad opcional que permite a los usuarios cambiar sus contraseas. Si un usuario cambia su contrasea durante una sesin de Outlook Web Access, dejar de ser vlida la cookie proporcionada despus de que el usuario iniciara la sesin. Cuando la autenticacin basada en formas se configura en el servidor ISA, el usuario que cambie la contrasea durante una sesin de Outlook Web Access ver la pgina de inicio de sesin la prxima vez que se realice una peticin. Para permitir a los usuarios cambiar sus contraseas, asegrese de agregar la carpeta /IISADMPWD/* a la regla de publicacin del servidor de correo Outlook Web Access. Si no lo hace, el usuario recibir un error cada vez que haga clic en el botn Cambiar contrasea de Outlook Web Access. Bloquear datos adjuntos Con el servidor ISA se puede impedir que los usuarios abran y guarden datos adjuntos. El bloqueo se puede configurar para clientes Outlook Web Access en un equipo pblico, en uno privado o en ambos. Tenga en cuenta que el bloqueo de datos adjuntos del servidor ISA difiere del que realiza Exchange Server. El usuario puede ver que los mensajes tienen datos adjuntos, pero no pueden abrirlos ni guardarlos. Recuperar pginas previamente Los servidores Exchange Outlook Web Access incluyen una caracterstica de recuperacin previa, que permite descargar archivos al equipo cliente mientras el cliente transfiere las credenciales. Al utilizar la autenticacin basada en formas del servidor ISA, para habilitar esta caracterstica, debe quitar las marcas de comentario de la siguiente lnea de los archivos logoff_msierich.htm y logoff_msierich_smimecap.htm, que suelen encontrarse en la subcarpeta CookieAuthFilter (en la carpeta de instalacin del servidor ISA):

    "<IFRAME src="/exchweb/controls/preload.htm" style="display:none"></IFRAME>" Esta caracterstica de recuperacin requiere el acceso no autenticado a la carpeta /exchweb/* del servidor Outlook Web Access. Por lo tanto, si los clientes de correo basado en Web necesitan autenticarse en el servidor ISA, debe crear una regla de publicacin de Web que permita el acceso annimo a la carpeta /exchweb/* en el servidor Outlook Web Access. Posteriormente, no debera habilitarse la caracterstica de recuperacin si la escucha de web est configurada para requerir autenticacin.

    c.

    Publicacin de Sitios seguros (SSL)

    Con el servidor ISA puede crear reglas de publicacin de Web seguras para publicar sitios Web que alojen contenido HTTP. Las reglas de publicacin de Web seguras determinan la forma en que el servidor ISA va a interceptar las peticiones entrantes de objetos HTTPS en un servidor Web interno y cmo va a responder el servidor ISA en nombre del servidor Web. Las peticiones se reenvan al servidor Web interno, que se ubica detrs del equipo servidor ISA. Nota Las reglas nuevas slo se aplican a las conexiones nuevas.

    Protocolo de puente

    Con el protocolo de puente puede configurar cmo se debe transmitir el trfico al servidor Web. Por ejemplo, imaginemos que un cliente utiliza SSL (capa de sockets seguros) para comunicarse con el equipo servidor ISA y una regla de publicacin de Web asigna la peticin a un servidor Web interno. La comunicacin inicial utiliza SSL. Sin embargo, de forma predeterminada, el resto de comunicaciones utiliza un protocolo no seguro, como HTTP. Al crear una regla de publicacin de Web segura, se puede configurar la forma en que se van a redirigir las peticiones de SSL, como peticiones de HTTP o peticiones de SSL. Si se redirigen como peticiones de SSL, el servidor ISA vuelve a cifrar los paquetes antes de transmitirlos al servidor Web. Por lo tanto, se establece un nuevo canal seguro para la comunicacin con el servidor Web SSL. Esta redireccin tambin se denomina Protocolo de puente SSL. Protocolo de tnel Al configurar una regla de publicacin de Web segura para que utilice el modo de protocolo de tnel, el servidor ISA enva el trfico cifrado sin modificar al servidor Web publicado. En otras palabras, el servidor ISA no realiza filtrado adicional del trfico. Las reglas de publicacin de Web segura que utilizan el modo de protocolo de tnel (en lugar del modo de protocolo de puente) son ms similares a las reglas de publicacin de servidor que a las reglas de publicacin de Web. Muchas de las caractersticas de publicacin de Web no se pueden aplicar a estas reglas, incluyendo la traduccin de vnculos y la asignacin de rutas de acceso. La regla no se puede aplicar a usuarios especficos (slo a objetos de red). Escucha Al configurar reglas de publicacin de web seguras, se define la forma en que se va a tener acceso al contenido HTTPS en un servidor Web publicado. Debe especificarse una escucha adecuada, configurada para atender un puerto HTTPS, para la regla de publicacin de Web segura.

    4. Configuraciones de acceso a servicios en la red


    perimetral/corporativa (Server publishing) a. Publicacin de Mail Server

    Cuando se crean reglas de publicacin de servidor de correo, ISA Server 2004 crea las reglas de publicacin necesarias para permitir el acceso de los clientes a los servidores de correo. Segn el tipo de servidor de correo especificado, se configuran las reglas de publicacin de Web o de servidor, que permiten el acceso a los servidores de correo mediante los protocolos que especifique. Puede seleccionar uno de los tipos de acceso siguientes ofrecidos por el servidor de correo publicado: Acceso de cliente web. Permite el acceso de los clientes a servidores Microsoft Outlook Web Access, Outlook Mobile Access o Exchange Application Services. Si selecciona esta opcin, el servidor ISA configurar las reglas de publicacin de Web correspondientes. Acceso de cliente. Permite que los clientes usen la llamada a procedimiento remoto (RPC), el Protocolo de acceso de mensajes de Internet, versin 4rev1 (IMAP4), el Protocolo de oficina de correos, versin 3 (POP3) o el Protocolo simple de transferencia de correo (SMTP) para tener acceso al correo. Al seleccionar esta opcin, se crea una regla de publicacin de servidor para cada protocolo seleccionado. Comunicacin de servidor a servidor. Permite el acceso a los servidores SMTP (correo) y a los servidores NNTP (noticias). Al publicar un servidor de correo, es recomendable configurar el nombre FQDN del servidor de correo con el nombre DNS externo del equipo servidor ISA. De este modo, el nombre interno del servidor de correo no estar disponible pblicamente y, por lo tanto, no ser propenso a ataques.

    Filtrado SMTP Si el filtro SMTP est instalado y habilitado, puede aplicar el filtrado SMTP. Filtrado RPC Al publicar servidores de correo de tipo RPC, puede aplicar el filtrado RPC. b. Publicacin de otros servicios

    El servidor ISA utiliza la publicacin de servidor para procesar las peticiones entrantes en servidores internos como, por ejemplo, servidores FTP (protocolo de transferencia de archivos), servidores SQL (lenguaje de consulta estructurado), etc. Las peticiones se envan seguidamente al servidor interno que se ubica detrs del equipo servidor ISA. La funcin de publicacin de servidor permite a casi todos los equipos de la red interna publicar en Internet. La seguridad no se pone en peligro porque todas las peticiones entrantes y respuestas salientes se transfieren a travs del servidor ISA. Cuando un servidor se publica mediante un equipo servidor ISA, las direcciones IP publicadas coinciden con las direcciones IP del equipo servidor ISA. Los usuarios que solicitan objetos creen que estn estableciendo una comunicacin con el servidor ISA (al solicitar el objeto, ellos especifican el nombre o la direccin IP de dicho servidor). No obstante, en realidad, estn solicitando la informacin del servidor de publicacin. Esto se produce cuando la red en la que se encuentra el servidor publicado tiene una relacin NAT (traduccin de direcciones de red) desde la red en la que se encuentran los clientes que tienen acceso al servidor publicado. Al configurar una relacin de redes enrutadas, los clientes utilizan la direccin IP real del servidor publicado para obtener acceso a l. Las reglas de publicacin de servidor determinan el funcionamiento de la publicacin del servidor, sobre todo, el filtrado de todas las peticiones entrantes y salientes procesadas por el equipo servidor ISA. Las reglas de publicacin de servidor asignan peticiones entrantes a los servidores adecuados detrs del equipo servidor ISA. Estas

    reglas proporcionan, de un modo dinmico, el acceso de los usuarios de Internet al servidor de publicacin que se haya especificado. El servidor publicado es un cliente de SecureNAT. Por lo tanto, no se requiere ninguna configuracin especial del servidor publicado tras crear la regla de publicacin de servidor en el equipo servidor ISA. Observe que el servidor ISA debe configurarse como la puerta de enlace predeterminada en el servidor publicado. Notas No se admiten los protocolos principales de publicacin ICMP (protocolo de mensajes de control de Internet) y Nivel de IP. No obstante, s se admite, de forma excepcional, el protocolo PPTP (protocolo de tnel punto a punto), que es una combinacin de una conexin TCP y los paquetes GRE (Generic Routing Encapsulation). Las reglas nuevas slo se aplican a las conexiones nuevas. Las reglas de publicacin de servidor se aplican slo a un protocolo. Filtrado por regla El filtrado de aplicacin se configura por reglas. Esto quiere decir que puede utilizar la directiva de servidor de seguridad que mejor se adapte a sus necesidades de seguridad especficas. El filtrado por regla est disponible para las reglas de publicacin de servidor desde el filtro RPC de Exchange: Funcionamiento de la publicacin de servidor El servidor ISA lleva a cabo los siguientes pasos durante la publicacin del servidor: 1. Un equipo cliente de Internet solicita un objeto desde una direccin IP que corresponde a la del servidor de publicacin. La direccin IP est asociada en realidad al equipo servidor ISA. Se trata de la direccin IP del adaptador de red externo perteneciente al equipo servidor ISA. 2. El equipo servidor ISA procesa la peticin, asignando la direccin IP a una direccin IP interna de un servidor interno. 3. El servidor interno devuelve el objeto al equipo servidor ISA, y ste lo transfiere al cliente que lo solicit. Uso de la regla de publicacin de servidor En la mayora de los casos, puede utilizar una regla de acceso, en lugar de una regla de publicacin de servidor, para poner el servidor a disposicin de los clientes. A continuacin se describen algunos puntos que debe tener en cuenta: Debe utilizar una regla de publicacin de servidor cuando exista una relacin de redes NAT entre la red del servidor publicado y la red del cliente. Una regla de publicacin de servidor slo puede publicar un nico servidor identificado. Para publicar varios servidores, son necesarias varias reglas. Con las reglas de publicacin de servidor, puede configurar las opciones para sobrescribir puertos. Publicacin de servidores DNS El servidor ISA no traduce la direccin IP de los servidores DNS. Para publicar un servidor DNS, configure una relacin de redes enrutadas entre la red de host local y la red que incluye el servidor DNS. Asimismo, el servidor ISA debe conocer la direccin IP del servidor DNS. Deshabilitar reglas Al deshabilitar una regla de publicacin de servidor, cualquier intento de establecer conexin con el servidor ser rechazado. Sin embargo, tenga en cuenta que el servidor ISA no cierra las conexiones activas.

    Dichas conexiones pueden detenerse mediante la desconexin de las sesiones relacionadas. c. Publicacin usando PAT (Port Address Translation)

    De forma predeterminada, al crear una regla de directiva de servidor de seguridad, el servidor ISA est atento al puerto especificado, si bien acepta peticiones de clientes en cualquier puerto. Puede limitar la regla para aceptar peticiones slo de puertos de origen especificados para las reglas de acceso y las reglas de publicacin de servidor. Adems, para las reglas de publicacin de servidor, puede especificar el puerto que utilizar el servidor ISA para aceptar las peticiones de clientes entrantes destinadas al servidor publicado. Si decide publicar en un puerto distinto al predeterminado, el servidor ISA recibir las peticiones de clientes para el servicio publicado en el puerto no estndar y, a continuacin, reenviar las peticiones al puerto designado en el servidor publicado. Por ejemplo, una regla de publicacin de servidor puede especificar que las peticiones de clientes para los servicios del Protocolo de transferencia de archivos (FTP) se conecten a travs del puerto 22 en el equipo servidor ISA antes de redireccionarlas al puerto 21 en el servidor publicado. Adems, puede especificar, para las reglas de publicacin de servidor, que el servidor publicado acepte las peticiones de clientes para el servicio publicado en un puerto distinto al predeterminado. Por ejemplo, si desea publicar dos servidores FTP, puede publicar un servidor FTP en el puerto predeterminado para un conjunto de usuarios y publicar el otro en otro puerto no estndar para un conjunto de usuarios diferente.

    Para reemplazar los puertos predeterminados en las reglas de publicacin de servidor 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall. o Microsoft ISA Server 2004 o Nombre_servidor o Directiva de servidor de seguridad En el panel de detalles, haga clic en la regla aplicable. En la ficha Tareas, haga clic en Editar regla seleccionada. En la ficha Trfico, haga clic en Puertos. En Puertos del firewall, seleccione una de las opciones siguientes: o Publicar a travs del puerto predeterminado especificado en la definicin de protocolo. Si se selecciona esta opcin, el servidor ISA aceptar las peticiones entrantes de los clientes en el puerto predeterminado. o Publicar en este puerto en lugar del puerto predeterminado. Si se selecciona esta opcin, el servidor ISA aceptar las peticiones entrantes de los clientes en cualquier puerto que no sea el predeterminado. Si se selecciona un puerto alternativo, el servidor ISA recibe las peticiones de cliente para el servicio publicado en un puerto no estndar y, a continuacin, reenva las peticiones al puerto designado en el servidor publicado. En Puertos del servidor publicado, seleccione una de las opciones siguientes: o Enviar peticiones al puerto predeterminado en el servidor publicado. Si se selecciona esta opcin, el servidor ISA aceptar peticiones del servicio publicado en el puerto predeterminado, como se indica en la definicin del protocolo. o Enviar peticiones a este puerto en el servidor publicado. Si se selecciona esta opcin, el servidor ISA aceptar peticiones del servicio publicado en cualquier puerto que no sea el predeterminado. En Puertos de origen, seleccione una de las opciones siguientes: o Permitir trfico de cualquier puerto de origen permitido. Si se selecciona esta opcin, el servidor ISA aceptar peticiones de cualquier puerto de los equipos cliente permitidos. o Limitar acceso al trfico de este intervalo de puertos de origen. Si se selecciona esta opcin, el servidor ISA slo aceptar peticiones de los puertos que se especifiquen.

    2. 3. 4. 5.

    6.

    7.

    Nota Para abrir Administracin del servidor ISA, haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server y, a continuacin, haga clic en Administracin del servidor ISA.

    5. Monitoreo y reportes en ISA 2004. a. Generacin de reportes de utilizacin

    Puede utilizar la funcin de creacin de informes del servidor ISA para resumir y analizar los patrones de comunicacin. En particular, se pueden crear informes que muestren los patrones de uso comn. Por ejemplo: quin tiene acceso a los sitios y los sitios a los que se tiene acceso. qu protocolos y aplicaciones son los que se utilizan con ms frecuencia. patrones generales del trfico. proporcin de la cach. Los informes tambin se pueden utilizar para supervisar la seguridad de la red. Por ejemplo, se pueden generar informes que realicen un seguimiento de los intentos malintencionados de tener acceso a los recursos internos. De igual forma, mediante el seguimiento del nmero de conexiones a un servidor publicado o del trfico al servidor, se puede identificar un intento de denegacin de servicio. Informes peridicos El mecanismo de creacin de informes del servidor ISA permite programar informes peridicos en funcin de los datos recogidos de los archivos de registro. Se puede programar que los informes se generen de forma peridica y recurrente cada da, semana, mes o ao. El informe puede incluir datos diarios, semanales, mensuales o anuales. Al programar un trabajo de informes, especifique lo siguiente: periodo de actividad que abarcar el informe.

    cundo y con qu frecuencia se generar el informe.

    Cmo funciona el mecanismo de los informes El mecanismo de generacin de informes del servidor ISA combina los registros de resmenes de los equipos ISA Server en una base de datos en cada equipo servidor ISA. Dicha base de datos se encuentra en una carpeta del equipo servidor ISA; de forma predeterminada, en la carpeta ISASummaries. Al crearse un informe, todas las bases de datos de resmenes relevantes se combinan en una sola base de datos de informes. El informe se crea segn los resmenes combinados. Los informes del servidor ISA se basan en los registros del servicio proxy Web y del servicio del servidor de seguridad de Microsoft. La tabla siguiente muestra los campos del registro del servicio del servidor de seguridad y los campos de registro del proxy Web que se utilizan para generar informes. Campos del registro del Campos del registro del servicio del servidor proxy Web de seguridad Bytes recibidos Bytes enviados Agente del cliente IP de cliente Nombre de usuario de cliente Nombre de host de destino IP de destino Puerto de destino Cdigo de estado HTTP Hora de registro Fecha del registro Origen del objeto Tiempo de procesamiento Protocolo Transporte Direccin URL Accin Bytes recibidos Bytes enviados Diferencia de bytes enviados Agente del cliente Nombre de usuario de cliente IP de cliente Puerto del cliente IP de destino Puerto de destino Fecha del registro Hora de registro IP de cliente original Tiempo de procesamiento Diferencia de tiempo de procesamiento Protocolo Cdigo de resultados Transporte En un momento determinado, la aplicacin DailySum.exe, que se instala con el servidor ISA, resume la informacin del registro mostrada arriba. De forma predeterminada, DailySum.exe siempre se ejecuta en el equipo servidor ISA, independientemente de que se creen o se programen informes. Se guardan dos resmenes del registro: uno con un resumen diario y otro con un resumen mensual. Al principio de cada mes, Dailysum.exe crea tambin un resumen mensual que incluye todos los resmenes diarios del mes anterior. Se guardan, como mnimo, treinta y cinco resmenes diarios y trece mensuales. Puede configurar la forma y el lugar en que el servidor ISA guarda los resmenes del registro. Para generar los informes, el servidor ISA ejecuta la aplicacin ISARepGen.exe, que tambin se instala con l. Visualizacin y publicacin de informes Para ver un informe, puede hacer doble clic en el nombre del informe en Administracin del servidor ISA. El informe se muestra en Internet Explorer.

    El informe puede verse slo en el equipo en el que se ejecuta Administracin del servidor ISA. En cualquier otro equipo, el informe no mostrar ningn dato o mostrar una pgina con marcos vacos y el siguiente mensaje: "No se puede mostrar la pgina". Tenga en cuenta lo siguiente en relacin con los datos que se muestran en el informe: Las peticiones se calculan solamente cuando finaliza la conexin. Los bytes se cuentan en cada lnea del registro. Publicar informes Para hacer que los informes sean ms accesibles, puede publicarlos en una carpeta compartida. Todo aqul que necesite tener acceso a los informes deber contar con permisos de lectura en esta carpeta. De esta forma, el resto podr ver los informes sin necesidad de tener acceso al equipo servidor ISA y tampoco a travs de Administracin del servidor ISA. Cuando se publica un informe, se guardan varios archivos de informe y los grficos asociados en la carpeta de publicacin especificada. Credenciales para la publicacin de informes Al publicar cualquier informe, el proceso IsaRepGen.exe debe contar con permisos de escritura en la carpeta de publicacin. Puede configurar las credenciales utilizadas por IsaRepGen.exe para crear informes. De forma predeterminada, se utiliza la cuenta del sistema local. Sin embargo, tenga en cuenta que si publica informes en un equipo distinto, las credenciales de la cuenta del sistema local se transmiten como las de la cuenta del equipo (con servidor ISA). La cuenta del equipo debe tener permisos de escritura en la carpeta compartida de red. Si el servidor ISA est instalado en un dominio Windows NT 4.0 o en modo de grupo de trabajo, IsaRepGen.exe utiliza la cuenta no autenticada. En este caso, recomendamos que especifique las credenciales de usuario al publicar los informes en otro equipo. Contenido de los informes Puede configurar el contenido que quiere incluir en cada informe. Es posible incluir el siguiente tipo de contenido en un informe: Resumen. Al incluir el contenido de resumen, el informe incluye informacin resumida sobre el uso del trfico de red, ordenado por aplicacin. Estos informes son muy importantes para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa. Uso de web. Al incluir el contenido de uso del Web, el informe muestra informacin sobre los usuarios ms frecuentes del Web, las respuestas comunes y los exploradores. Estos informes son muy importantes para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa. Muestran cmo se utiliza el Web en una empresa. Uso de aplicaciones. Al incluir el contenido de uso de la aplicacin, el informe muestra informacin del uso de la aplicacin de Internet sobre los usuarios ms frecuentes, las aplicaciones del cliente y los destinos. Trfico y utilizacin. Al incluir el contenido de trfico y utilizacin, el informe muestra el uso total de Internet por aplicacin, protocolo y direccin. Estos informes tambin muestran el promedio del trfico y el nmero mximo de conexiones simultneas, la frecuencia de aciertos de la cach y otras estadsticas. Seguridad. Al incluir el contenido de seguridad, el informe enumera los intentos de quebrantar la seguridad de la red.

    b. Monitoreo en tiempo real

    La vista Escritorio digital del servidor ISA resume la informacin de supervisin de las sesiones, alertas, servicios, informes y conectividad, as como el estado general del sistema. La vista predeterminada Escritorio digital muestra la siguiente informacin: Conectividad. Comprueba la conectividad entre el servidor ISA y otros equipos o direcciones URL. Alertas. Enumera los sucesos que han tenido lugar en el equipo servidor ISA. Servicios. Enumera los servicios del equipo servidor ISA y su estado actual. Sesiones. Enumera el total de las sesiones de los clientes. Informes. Enumera los informes creados recientemente. Estado del sistema. Muestra la informacin de rendimiento del equipo servidor ISA. Cada rea del escritorio digital cuenta con una indicacin visual de estado. Una X en un crculo rojo indica un posible problema, un icono amarillo indica una advertencia y una marca de verificacin en un crculo verde indica que no hay ningn problema. Puede personalizar la vista Escritorio digital para ocultar cierta informacin. Utilizar el escritorio digital para supervisar el estado del servidor ISA El escritorio digital resulta til para identificar rpidamente problemas graves relacionados con el servidor ISA. Verificar el estado de los servidores y servicios principales puede formar parte de la rutina diaria.

    Por ejemplo, puede verificar que los servicios del servidor ISA funcionan correctamente y que los servidores principales tienen conectividad. Con echar un vistazo al escritorio digital podr saber si todo funciona correctamente. Una vez comprobado el estado del funcionamiento, puede revisar las alertas para comprobar si se han evitado ataques o si algn problema especfico requiere atencin inmediata. Si descubre algn problema en el escritorio digital, puede buscar ms informacin fcilmente. Haga clic en el encabezado del panel correspondiente para tener acceso a una ficha con informacin ms detallada. Puede confirmar y restablecer instancias de alertas en la vista Escritorio digital. c. Monitoreo de servicios y alertas

    Al instalar el servidor ISA, tambin se instalan los siguientes servicios del sistema operativo Microsoft Windows: Servicio del servidor de seguridad de Microsoft Servicio Control de Microsoft ISA Server Servicio Programador de trabajos de Microsoft ISA Server Motor de datos Microsoft La vista Servicios se puede utilizar para detener o iniciar los servicios del servidor de seguridad de Microsoft, Programador de trabajos de Microsoft ISA Server y Motor de datos Microsoft. Adems, el controlador del filtro de paquetes (fweng) es un controlador en modo de ncleo que captura todo el trfico del servidor de seguridad y toma las decisiones de filtrado de paquetes y traduccin de direcciones del trfico de red. Servicio del servidor de seguridad de Microsoft El servicio del servidor de seguridad de Microsoft (fwsrv) es un servicio de Windows que admite peticiones de clientes del servidor de seguridad y clientes SecureNAT.

    Puede utilizar Administracin del servidor ISA para supervisar el estado del servicio del servidor de seguridad de Microsoft. Asimismo, puede utilizar Administracin del servidor ISA para detener o iniciar el servicio del servidor de seguridad. El servicio del servidor de seguridad admite peticiones de cualquier explorador Web, lo que permite el acceso a Web a casi todos los sistemas operativos de escritorio, entre los que se incluyen Microsoft Windows Server 2003, Windows XP, Windows 2000, Windows Millennium Edition, Windows NT, Windows 98, Windows 95, Macintosh y UNIX. El servicio del servidor de seguridad funciona a nivel de aplicacin en nombre de un cliente que solicita un objeto de Internet que se puede recuperar con uno de los protocolos compatibles con los protocolos proxy Web: Protocolo de transferencia de archivos (FTP), protocolo de transferencia de hipertexto (HTTP) y HTTPS. Los clientes, normalmente exploradores, deben configurarse especficamente para utilizar el equipo servidor ISA. Cuando un usuario solicita un sitio Web, el explorador analiza la direccin URL. Si se utiliza una direccin punto com, como en un nombre de dominio completo (FQDN) o una direccin IP, el explorador considera que el destino es remoto y enva la peticin HTTP al equipo servidor ISA para que la procese. Al detener el servicio del servidor de seguridad, la informacin de la cach no se elimina. Sin embargo, al reiniciarlo, pueden pasar varios segundos antes de que la cach est totalmente habilitada y en funcionamiento. Si se produce un fallo en el servicio, el servidor ISA restaurar la informacin de la cach. Esta accin puede tardar un tiempo y es posible que el rendimiento no sea ptimo hasta que se restaure la cach. Servicio Control del servidor ISA El servicio Control del servidor ISA (mspadmin) es un servicio de Microsoft Windows responsable de: Reiniciar otros servicios del servidor ISA, segn sea necesario. Generar alertas y ejecutar acciones. Eliminar archivos de registro no utilizados. Administracin del servidor ISA no se puede utilizar para detener o iniciar el servicio Control del servidor ISA. Para detener el servicio, escriba el siguiente texto en el smbolo del sistema: net stop isactrl Si detiene el servicio Control del servidor ISA, tambin se detendrn el resto de servicios del servidor ISA. Programador de trabajos de Microsoft ISA Server El servicio Programador de trabajos de Microsoft ISA Server (w3prefch) es un servicio de Microsoft Windows que descarga contenido de la cach de los servidores Web, de acuerdo con los trabajos que configure con Administracin del servidor ISA. Puede utilizar Administracin del servidor ISA para supervisar el estado del servicio Programador de trabajos de Microsoft ISA Server. Asimismo, puede utilizar Administracin del servidor ISA para detener o iniciar el servicio Programador de trabajos de Microsoft ISA Server. Si este servicio se detiene, no se pueden ejecutar trabajos de descarga programada de contenido. Alertas El servicio de alertas del servidor ISA le notifica cundo se producen los sucesos especificados. Puede configurar las definiciones de alerta para que, al producirse un suceso, se desencadene una serie de acciones. El servicio de alertas del servidor ISA

    acta como distribuidor y como filtro de sucesos. Se encarga de captar sucesos, comprobar si se renen ciertas condiciones y de adoptar las acciones correspondientes. Administracin del servidor ISA muestra la lista completa de sucesos que han tenido lugar, clasificada por categoras de tipos de alerta: informacin, advertencia y error. Todas las alertas se muestran en la vista Alertas. Confirmar y restablecer alertas Cuando tiene lugar un suceso, el servidor ISA desencadena la accin configurada en la definicin de la alerta. La alerta aparece en la vista Alertas y se muestra un resumen de todos los sucesos en la vista Escritorio digital. Puede restablecer un grupo completo de instancias de alertas seleccionando el encabezado de la alerta. En la vista Alertas, las instancias de alertas se agrupan por categora (por ejemplo, Servicio desconectado). Puede expandir o contraer los encabezados de grupo para mostrar u ocultar los elementos que contienen. Puede utilizar Administracin del servidor ISA para indicar que est administrando un suceso o un grupo de sucesos concreto confirmando los sucesos. Cuando marca un suceso (o un grupo de sucesos) como confirmado, su estado cambia en la vista Alertas y dichos sucesos ya no se muestran en el escritorio digital. De forma similar, es posible restablecer una alerta quitndola de la vista Alertas. Nota Todas las alertas se restablecen cuando se reinicia el equipo servidor ISA. Crear definiciones de alertas Al instalar el servidor ISA, se preconfigura una alerta para cada tipo de evento. Puede definir ms sucesos especficos. Por ejemplo, considere la definicin de alerta preconfigurada para el suceso La configuracin de red cambi. Como administrador de la red, tal vez quiera precisar esta alerta general y crear dos definiciones de alerta nicas: Una definicin de alerta para el caso en que se deshabilite una red. Una definicin de alerta para el caso en que se habilite una red. La definicin de alerta de la primera opcin desencadenara una accin que ejecutase un archivo por lotes para desconectar el equipo de un clster con equilibrio de carga cada vez que se deshabilita una red. La definicin de alerta de la segunda opcin podra ser el envo de un mensaje de correo electrnico. Nota Las alertas con sucesos especficos tienen prioridad frente a las de sucesos menos especficos. Por ejemplo, suponga que tiene configuradas dos alertas, una para "Cualquier cambio de configuracin de red" y otra para "Red conectada". Cuando una red est conectada, tendrn lugar las acciones de alerta de la segunda opcin.

    Configurar definiciones de alertas Puede seleccionar el suceso y la condicin adicional que desencadena una accin de alerta. Tambin puede configurar los siguientes umbrales, que determinan cundo debe realizarse la accin de alerta. Nmero de veces por segundo que se produce el suceso antes de emitirse una alerta (tambin se denomina umbral de frecuencia de suceso). Nmero de sucesos que deben producirse antes de emitirse la alerta. Tiempo de espera antes de volver a emitir la alerta. Accin de alerta

    Puede establecer una o varias de las siguientes acciones para que se realicen al cumplirse una condicin de alerta: Enviar un mensaje de correo electrnico. Ejecutar una accin especfica. Registrar el suceso en el registro de sucesos de Windows. Detener o iniciar el servicio del servidor de seguridad de Microsoft o el servicio de descarga de contenido programado. Puede configurar las credenciales que deben utilizarse cuando se ejecuta una aplicacin. Utilice la directiva de seguridad local para configurar los privilegios del usuario. Nota Asegrese de que el usuario especificado tenga los privilegios de Inicio de sesin como trabajo en lote. Cuando la accin de alerta consiste en ejecutar un comando, la ruta de acceso especificada para la accin del comando debe existir en el equipo servidor ISA. Recomendamos utilizar variables de entorno (como %SystemDrive%) en el nombre de la ruta de acceso. Si configura una accin por correo electrnico para utilizar un servidor SMTP ubicado en la red interna, debe habilitar la regla de directivas del sistema que permita a la red del host local tener acceso a la red interna a travs del protocolo SMTP. En el Editor de directivas del sistema, en el grupo de configuracin Supervisin remota, selecione SMTP y, a continuacin, haga clic en Habilitar. Se habilita la regla Allow SMTP protocol from firewall to trusted servers. Si configura una accin por correo electrnico para utilizar un servidor SMTP externo, debe crear una regla de acceso que permita a la red del host local tener acceso a la red externa (o a la red en la que se ubica el servidor SMTP) a travs del protocolo SMTP.

    Sucesos La siguiente tabla enumera los sucesos y, cuando es necesario, las claves adicionales definidas por el servidor ISA. Al crear una alerta, especifique uno de los siguientes sucesos que la desencadenan. Suceso Descripcin Error en la accin de alerta Error al inicializar el contenedor de cach Recuperacin del contenedor de cach finalizada Error al cambiar el tamao del archivo de cach Error al inicializar la cach Restauracin de la cach finalizada Error de escritura en la cach Objeto almacenado en cach descartado Error al cargar el componente Error de configuracin Se super el lmite de conexiones Error en la accin asociada con esta alerta. Error de inicializacin del contenedor de cach, contenedor omitido. Finaliz la recuperacin de un contenedor simple. Ha fallado la operacin para reducir el tamao de la cach. La cach de proxy Web se deshabilit debido a un error global. Finaliz la restauracin del contenido de la cach. Error al escribir el contenido en la cach. Durante la recuperacin de la cach se detect un objeto con informacin conflictiva. El objeto se omiti. Error al cargar un componente de la extensin. Error al leer la informacin de configuracin. Un usuario o una direccin IP super el lmite de conexiones.

    Se super el lmite de Se super el nmero de conexiones permitidas por conexiones para una regla segundo para una regla. Mecanismo de deteccin de intrusiones "antipoisoning" de DHCP deshabilitado Error del marcado a peticin Se ha deshabilitado el mecanismo de deteccin de intrusiones "anti-poisoning" de DHCP. Error al crear una conexin de marcado a peticin, debido a que no se obtuvo respuesta o la lnea estaba ocupada.

    Intrusin de transferencia Se produjo un ataque de transferencia de zona. de zona DNS Error del registro de sucesos Se produjo un error al registrar la informacin del suceso en el registro de sucesos del sistema. Esta alerta est deshabilitada de forma predeterminada.

    Error de comunicacin del Error en la comunicacin entre el cliente Firewall y el firewall servicio del servidor ISA. El filtro FTP no pudo analizar los comandos ftp permitidos. Compruebe que los comandos se almacenan con el Advertencia de formato correcto. Cada comando no debera tener ms de inicializacin del filtro FTP 4 caracteres y cada uno debe estar separado del anterior por un carcter de espacio.

    Intrusin detectada

    Un usuario externo intent un ataque por intrusin. Se ha revocado el certificado de cliente debido a que la lista de revocacin de certificados (CRL) no exista o no era vlida. La CRL puede haber caducado y el servidor ISA no ha podido descargar una CRL vlida. Compruebe que el grupo de configuracin de directiva del sistema de descarga de CRL est habilitado y que hay conectividad entre los puntos de distribucin de CRL (CDP). La direccin IP de la oferta DHCP no es vlida. Se detectaron credenciales de marcado a peticin no vlidas. El nombre de usuario o la contrasea especificados para esta base de datos ODBC no es vlido. La direccin de origen del paquete IP no es vlida. Los cambios realizados en la configuracin slo se aplicarn tras reiniciar el equipo. Error en el registro <nombre del servicio>. Se ha alcanzado uno o varios de los lmites de almacenamiento del registro. Se detect un cambio en la configuracin de red que afecta al servidor ISA. No se pudo crear un socket de red porque no haba puertos disponibles. El servidor ISA no pudo establecer una conexin con el servidor solicitado. Existe un conflicto con uno los componentes del sistema operativo: editor NAT (conversin de direcciones de red), ICS (conexin compartida a Internet) o RRAS (enrutamiento y acceso remoto). El servidor ISA elimin un paquete UDP (protocolo de datagramas de usuarios) porque exceda el tamao mximo, como se especifica en la clave del registro. Se detect un desbordamiento del bfer en el protocolo de oficina de correos (POP). Se ha eliminado un usuario de la red de clientes de VPN en cuarentena. Esta alerta est deshabilitada de forma predeterminada. Se recibi un error mientras se generaba un resumen del informe a partir de los archivos de registro. Se produjo un error en la asignacin de recursos. Por ejemplo, el sistema se qued sin memoria. Se produjo un error al enrutar la peticin al servidor que precede en la cadena. El servidor ISA continu el enrutamiento a un servidor que precede en la cadena.

    Se encontr una CRL no vlida

    Oferta DHCP no vlida Credenciales de marcado a peticin no vlidas Credenciales de registro ODBC no vlidas Simulacin de IP El equipo servidor ISA debe reiniciarse Error de registro Lmites de almacenamiento del registro La configuracin de red cambi No hay puertos disponibles Sin conectividad Conflicto con el componente del SO Paquete UDP demasiado grande Intrusin POP Cambios de la red de clientes de VPN en cuarentena Error al generar el resumen del informe Error de asignacin de recursos Error de enrutamiento (encadenamiento) Recuperacin del enrutamiento (encadenamiento)

    Filtro RPC: error de enlace

    El filtro RPC no puede utilizar el puerto definido porque ya est siendo utilizado.

    Filtro RPC: la conectividad Cambi la conectividad con el <nombre del servidor> del cambi servicio RPC de publicacin. <clave adicional> Error de publicacin del servidor No se puede aplicar la publicacin de servidor. Recuperacin de la publicacin de servidor Error de inicializacin del servicio El servicio no responde Servicio desconectado Servicio iniciado Conectividad lenta Suceso del filtro SMTP Error en la configuracin de SOCKS Ataque de SYN Suceso no registrado Credenciales del encadenamiento precedente Error de conexin VPN La regla de publicacin de servidor se ha configurado incorrectamente. No se puede aplicar la regla de publicacin de servidor. Ahora se puede aplicar la regla de publicacin de servidor. Se produjo un error en la inicializacin del servicio. Un servicio del servidor ISA se interrumpi o se detuvo inesperadamente. Un servicio se detuvo correctamente. <%nombre del servicio%> Un servicio se inici correctamente. <%nombre del servicio%> El servidor ISA encontr una conexin lenta al servidor solicitado. Se ha infringido una regla de comando SMTP (protocolo simple de transferencia de correo). Otro protocolo est utilizando el puerto especificado en las propiedades de SOCKS. El servidor ISA detect un ataque de SYN. Se encontr un suceso no registrado. Las credenciales del encadenamiento precedente son incorrectas. Error en el intento de conexin de cliente de VPN.

    Das könnte Ihnen auch gefallen