Unidad 1: Introducción a ISA 2004

Cap 1. Nuevas funcionalidades

a. Asistentes para configuraciones
b. Asistentes de topología de red
c. Mejoras en VPN
d. Bloqueo de contenido
e. Mejoras en caching
f. Redirección de puertos en publicación de Server
g. Mejoras en Reportes y monitoreo
Cap 2. Requerimientos
a. Evaluando entorno
b. Requisitos de Hardware
c. Requisitos de Software
Cap 3. Deploy de ISA 2004.
a. Instalar ISA Server 2004
b. Laboratorio Práactico Deploy ISA 2004
Cap 4. Configuración de acceso a internet para la red corporativa.
a. Revisar la política de Sistema
b. Configuración de Access Policy
c. Laboratorio Practico Configurando Access Policy
ISA Server 2004 SE permite aumentar los niveles de seguridad de las aplicaciones
Microsoft mediante una arquitectura de seguridad mejorada, con filtrado de nivel de
aplicación, funcionalidades VPN totalmente integradas con la plataforma, y sistemas
de autentificación completos y flexibles, como RSA SecurID y RADIUS.
Entre las nuevas características se encuentran: soporte para arquitecturas de red
muy diversas, plantillas de red mejoradas y asistentes automatizados; un editor de
políticas con interfaz gráfica robusto y un entorno amigable de funciones para la
solución de problemas. ISA Server 2004 SE también aporta notables avances en el
capítulo del rendimiento y permite una mejora sensible de velocidad en el uso de
filtros de nivel de aplicación, para aquellos casos en que se pueda necesitar
protección de nivel de aplicación adicional para Microsoft Exchange Server, IIS,
SharePoint u otras aplicaciones.
ISA Server 2004 está optimizado para un amplio sector de clientes, desde pequeñas
empresas que solamente requieren un producto sencillo pero integrado de seguridad
perimetral, a grandes corporaciones que necesitan los máximos niveles de
protección.

Antes de comenzar, haremos algunas precisiones importantes:

• Se trata de una versión Beta, no debe instalarse en un entorno de producción.

• ISA Server 2004 se puede instalar sobre Windows 2000 y Windows Server
2003
• ISA Server 2004 aplica políticas de firewall sobre todos los interfaces, por lo
que su modo de trabajo es distinto a como era con ISA Server 2000
• Tras instalar ISA Server 2004, conviene dedicar un rato a conocer la nueva
interfaz de usuario.
 1. Nuevas funcionalidades

ISA Server 2004 incluye numerosas características y mejoras, particularmente

cuando se instala en un sistema donde se ejecuta Windows Server 2003. Por
ejemplo:
• Una interfaz de usuario nueva y simplificada
• Compatibilidad con varias redes
• Compatibilidad mejorada con VPN
• Capacidades de cuarentena VPN
• Capacidad para crear grupos de usuarios personalizados de servidor de seguridad
• Una mayor compatibilidad con protocolos
• Definiciones personalizadas de protocolos
• OWA Publishing Wizard
• Compatibilidad mejorada con la directiva para cargar y descargar en FTP
• Una publicación en Web mejorada
• Redirección de puertos con reglas de publicación en servidores
• Reglas de caché mejoradas para el almacenamiento centralizado de objetos
• Asignación de rutas para las reglas de publicación en Web
• Compatibilidad con RADIUS para la autenticación de clientes proxy Web
• Delegación de la autenticación básica
• Autenticación de identificadores seguros
• Formularios generados por los servidores de seguridad (autenticación basada en
formularios)
• Un filtro de mensajes SMTP mejorado
• Un filtrado HTTP mejorado
• Traducción de vínculos
• Mayores capacidades de supervisión y elaboración de informes
 a. Asistentes para configuraciones

ISA Server 2004 incorpora un nuevo conjunto de asistentes que hacen más fácil que
nunca la creación de políticas de acceso. Las políticas de acceso saliente antes, en
ISA Server 2000, necesitaban Filtros de paquetes IP, reglas asociadas a sitios,
contenidos y protocolos. Las políticas de acceso de ISA Server 2004 pueden crearse
mediante un asistente de creación de reglas de firewall avanzado que permite
configurar cualquier elemento de política necesario sobre la marcha. No necesita salir
del asistente de creación de reglas para crear un objeto de red, y cualquier objeto de
red o relación puede crearse dentro del nuevo asistente.
 b. Asistentes de topología de red

ISA Server 2004 proporciona cinco plantillas de red correspondientes a topologías de

red comunes. Los administradores las pueden utilizar para configurar fácil y
automáticamente las relaciones de enrutamiento y las políticas de firewall para el
tráfico entre redes externas, internas, de VPN y de DMZ.
 c. Mejoras en VPN

Administración VPN:
ISA Server incluye mecanismos mucho más integrados de red privada virtual,
basados en la funcionalidad de Windows Server 2003.

Inspección dinámica del contenido en VPN:

Los clientes de redes privadas virtuales (VPN) se configuran como una red
independiente. Por consiguiente, se pueden crear políticas diferentes para ellos. El
motor de reglas valida de forma distinta las peticiones de clientes VPN,
inspeccionando el contenido de estas peticiones y abriendo dinámicamente las
conexiones, a partir de la aplicación de las políticas de acceso.

Soporte de cliente SecureNAT para clientes VPN conectados al servidor VPN de ISA
Server 2004:
En ISA Server 2000, únicamente los clientes VPN configurados como clientes de
firewall podían acceder a Internet a través del servidor VPN ISA Server 2000. ISA
Server 2004 amplía el soporte de cliente VPN permitiendo a clientes SecureNAT el
acceso a Internet sin tener el cliente de firewall instalado en la máquina. Además se
puede mejorar la seguridad de la red corporativa aplicando la política de firewall
basada en usuarios/grupos a los clientes VPN SecureNAT.

Filtrado e inspección dinámica de contenido para comunicaciones a través de un

túnel VPN intersite:
ISA Server 2004 introduce la inspección y filtrado de contenido para todas las
comunicaciones que se establecen a través de una conexión VPN entre redes. Esto
permite controlar a qué recursos pueden acceder qué máquinas o redes en el
extremo opuesto del enlace. Las políticas de acceso basadas en usuario/grupo se
pueden aplicar para obtener un control granular sobre el uso de recursos a través del
enlace.

Cuarentena VPN:
ISA Server 2004 potencia la funcionalidad de cuarentena VPN de Windows Server
2003. La cuarentena VPN permite ubicar los clientes VPN en una red separada hasta
comprobar que cumplen una serie de requisitos de seguridad. Los clientes VPN que
superan los test de seguridad quedan admitidos para acceder a la red de acuerdo
con las políticas de cliente de firewall VPN. Los clientes VPN que no superan los test
de seguridad solamente disponen de acceso limitado a los servidores que les
permitirán cumplir con los requisitos de seguridad.

d. Bloqueo de contenido

Filtro HTTP basado en reglas:

La política HTTP de ISA Server 2004 permite al firewall realizar una inspección
profunda del contenido HTTP (filtro de nivel de aplicación). La amplitud de esta
inspección se configura mediante reglas. Esto posibilita configurar restricciones
específicas para el acceso HTTP entrante y saliente.

Bloqueo de acceso a todo contenido ejecutable:

Se puede configurar una política HTTP en ISA Server 2004 para bloquear todo
intento de conexión para transferir contenido ejecutable bajo Windows,
independientemente de la extensión del archivo utilizado en el recurso.
Control de descargas HTTP mediante extensión de archivo:
La política HTTP de ISA Server 2004 posibilita permitir todas las extensiones de
archivo excepto un grupo concreto de extensiones, o bloquear todas las extensiones
excepto un grupo determinado.

El filtro HTTP se aplica a todas las conexiones cliente de ISA Server 2004:
ISA Server 2000 podía bloquear el contenido para conexiones HTTP y FTP a sus
clientes Web Proxy mediante MIME Enter (para HTTP) o por extensión de archivo
(para FTP). La política de HTTP de ISA Server 2004 permite el control de acceso
HTTP para todas las conexiones de cliente de ISA Server 2004.
Control de acceso HTTP basado en “firmas HTTP” La inspección en profundidad de
HTTP de ISA Server 2004 permite crear “firmas HTTP” que se pueden comparar
contra la URL Solicitada, cabeceras solicitadas, cuerpo solicitado, cabeceras de
respuestas y cuerpo de respuesta. Esto permite un control muy preciso de a qué
contenido pueden acceder los usuarios internos y externos a través del firewall ISA
Server 2004.

Control de métodos HTTP permitidos:

Se puede controlar cuáles métodos HTTP están permitidos a través del firewall
mediante la aplicación de controles de acceso para restringir el acceso a usuarios a
diversos métodos. Por ejemplo, se puede limitar el uso del método HTTP POST para
impedir a los usuarios el envío de datos a sitios Web.

Conexiones Exchange RPC seguras obligatorias desde clientes Outlook MAPI:

Las reglas de publicación de Servidor Exchange Seguro que incluye ISA Server 2004
permiten a los usuarios remotos conectarse a Exchange utilizando plenamente las
funcionalidades del cliente MAPI Outlook sobre Internet. Sin embargo, el cliente
Outlook debe configurarse para utilizar RPC seguro, y forzar el cifrado de la
conexión. La política RPC de ISA Server 2004 permite bloquear todas las conexiones
no cifradas de cliente MAPI Outlook.

Política FTP:
La política FTP de ISA Server 2004 se puede configurar para admitir descargas desde
o hacia la red corporativa utilizando FTP, o bien limitando el acceso de los usuarios a
descargas FTP en sentido entrante.

Traductor de enlaces:
Algunos sitios Web publicados pueden incluir referencias a nombres de máquina
internos. Puesto que solamente se admiten que el firewall ISA Server 2004 y el
espacio de nombres externo, y nunca el espacio de nombres interno, queden
disponibles para clientes externos, estas referencias aparecerán como enlaces rotos.
ISA Server 2004 incorpora un traductor de vínculos que permite crear un diccionario
de definiciones de nombres de máquinas internas mapeados a nombres públicos
disponibles desde el exterior.

Control granular sobre opciones IP:

El sistema de prevención de ataques de ISA Server 2000 permitía el bloqueo de
todas las opciones IP. Sin embargo, en algunas ocasiones puede ser necesario
habilitar algunas opciones IP para tareas de gestión de la red y resolución de
problemas. ISA Server 2004 permite configurar opciones IP de forma más granular y
permitir únicamente aquellas opciones IP que se necesitan, bloqueando las demás.
 e. Mejoras en caching

Cache de Web de alto rendimiento:

Para los clientes internos que acceden a servidores Web de Internet, se acelera el
rendimiento, así como el de los usuarios externos que acceden a contenidos de
servidores Web corporativos. ISA Server 2004 realiza un cache en RAM rápido y un
cache a disco optimizado para proporcionar el mejor rendimiento posible en la
navegación Web.

Cache inteligente:
Los usuarios reciben el contenido Web más reciente gracias al proceso de cache
proactivo de los objetos más frecuentemente accedidos. ISA Server 2004 determina
de forma automática qué sitios Web son los más utilizados y con qué frecuencia debe
refrescarse su contenido basándose en el tiempo que el objeto ha permanecido en la
cache o el momento en el que el objeto se cargó por última vez. ISA Server 2004
puede precargar contenido Web en la cache en momentos de baja actividad, sin
intervención del administrador de la red. Aparte esto, el cache Web de ISA Server
2004 puede precargar contenido offline almacenado en CD o DVD.

Cache planificado:
La cache se puede precargar con contenidos de sitios Web completos siguiendo una
planificación temporal. Las descargas planificadas garantizan el acceso al contenido
más actual para todos los usuarios, y les permite el acceso a contenido Web en
sistemas fuera de servicio.

Cache jerárquico:
ISA Server 2004 amplía aún más los beneficios del cache Web permitiendo
configurar una jerarquía de cache, encadenando matrices de máquinas basadas en
ISA Server 2004, de modo que los clientes pueden acceder al cache más próximo.
Este es un escenario bien conocido de configuración de redes de oficinas.
 f. Redirección de puertos en publicación de Server

Redirección de puertos para reglas de publicación de servidores:

Las reglas de publicación de servidores de ISA Server 2000 redirigían las conexiones
entrantes a un servidor de publicación en el mismo puerto que el indicado en la
petición original. ISA Server 2004 permite recibir una conexión en un número de
puerto y redirigir la petición a un número de puerto distinto en el servidor publicado.
Esta característica conocida también como PAT (Port Address Redirection) permite
publicar varios servicios internos en diferentes puertos externos sin necesidad de
modificar el puerto interno del sevicio. Por Ejemplo usted podria publicar dos
Terminal Services en su puerto por defecto 3389 a la misma IP publica en dos
puertos diferentes ej: 3389 y 3390.
 g. Mejoras en Reportes y monitoreo

Monitorización e informes en tiempo real:

ISA Server 2004 permite ver logs de firewall, Proxy Web y Delimitador de Mensajes
SMTP en tiempo real. La consola de monitorización muestra las entradas del log a
medida que se van grabando en el archivo de log del firewall.

Facilidades de consulta al log incorporadas:

Es posible lanzar consultas a los archivos de log utilizando las facilidades de
consultas a log incorporadas. Pueden consultarse los logs para obtener información
de cualquiera de los campos que contienen. Se puede limitar el alcance de las
consultas a un marco temporal concreto. Los resultados aparecen en la consola de
ISA Server 2004 y pueden copiarse al portapapeles y pegarse en otra aplicación para
realizar análisis más detallados.

Monitorización y filtrado en tiempo real de las sesiones de firewall:

ISA Server 2004 permite ver todas las conexiones activas en el firewall. En la vista
de una sesión se pueden ordenar o desconectar sesiones individuales o grupos de
ellas. Además se pueden filtrar las entradas en la interfaz de sesión para centrarse
en las sesiones de interés utilizando la facilidad de filtrado de sesiones incorporada.

Verificadores de conexión:
Se puede verificar la conectividad monitorizando regularmente las conexiones a
máquinas o URL concretas desde una máquina ISA Server 2004 usando los
Verificadores de Conexión. Se puede seleccionar el método a emplear para
comprobar la conectividad: ping, TCP, conexión a un puerto o HTTP GET. Se puede
seleccionar la conexión a monitorizar especificando una dirección IP, un nombre de
máquina o URL.

Personalización de informes de ISA Server 2004:

ISA Server 2000 permitía una personalización limitada de los informes generados por
el firewall. ISA Server 2004 incorpora una funcionalidad mejorada de personalización
de informes que permite incluir más información en los reports del firewall.

Publicación de informes:
Los trabajos de informes de ISA Server 2004 se pueden configurar para guardar
automáticamente una copia del report en una carpeta local o compartida en otra
máquina. Esta carpeta o recurso compartido se puede mapear a un directorio virtual
de un sitio Web, de modo que otros usuarios pueden leer el informe. Se pueden
publicar manualmente los informes que no se han configurado para su publicación
automática después de generarse.

Notificación por e-mail tras la creación de un informe:

Se puede configurar un trabajo de informe para que envíe un mensaje por correo
electrónico una vez completado el trabajo de generación del informe.
Ventana de tiempo personalizable para la creación de resúmenes del log ISA
Server 2000 incluía en su programación la creación de resúmenes de log a las 12:30
AM. Los informes se basaban en la información contenida en los resúmenes de log.
ISA Server 2004 permite modificar fácilmente el momento de creación de estos
resúmenes de log, ofreciendo una gran flexibilidad a la hora de definir el momento
de creación de los informes.

Log mejorado en SQL:

Se pueden volcar los logs a una base de datos SQL emplazada en otra máquina
dentro de la red interna. El log de ISA Server 2004 sobre SQL ha sido optimizado
para obtener un rendimiento muy superior en comparación con el log a SQL que
ofrecía ISA Server 2000.

Log en una base de datos MSDE:

Los logs se pueden almacenar ahora también en formato MSDE. La grabación de
registros de log en una base de datos local mejora la velocidad de respuesta en las
consultas y la flexibilidad.

2. Requerimientos
a. Evaluando entorno

ISA Server 2004 resulta muy valioso para los administradores de tecnologías de la
información, administradores de red y profesionales de seguridad de la información
preocupados por la seguridad, el rendimiento, la facilidad de administración y los
costos operativos de las redes de las que se ocupan. Resulta igualmente ventajoso
para las organizaciones de tamaño pequeño, mediano o grande. En las secciones
siguientes se describen algunos de los escenarios de red en los que se puede
emplear ISA Server 2004.
Consiga de forma segura y sencilla que el correo electrónico esté a
disposición de los usuarios que trabajan fuera de la red
ISA Server 2004 ofrece un grado único de protección para los sitios Web OWA.
Gracias a la interfaz de ISA Server 2004, fácil de utilizar, las organizaciones pueden
configurar con rapidez una regla de publicación en Web que exija una autenticación
segura basada en formularios. ISA Server 2004 también impide los ataques contra
servidores de correo electrónico, ya sea a través del descifrado Secure Sockets Layer
(SSL), que permite que el tráfico SSL sea inspeccionado en busca de código
peligroso, o gracias al filtrado HTTP, que hace posible la inspección minuciosa del
contenido de las aplicaciones. Además, ISA Server 2004 usa una autenticación
previa para impedir los inicios de sesión de usuarios anónimos, que constituyen un
método de ataque clave en servidores internos.
ISA Server 2004 aprovecha la autenticación existente, en la que intervienen varios
factores, y proporciona un sistema de autenticación tanto en el caso de que el correo
remoto emplee RADIUS (Remote Authentication Dial-In User Service) como si utiliza
RSA SecurID. De este modo, ISA Server 2004 le ayuda a impedir que las solicitudes
anónimas, potencialmente peligrosas, lleguen a Microsoft Exchange Server. Una
protección adicional se deriva de las capacidades de tiempo de espera de sesión y
bloqueo de archivos adjuntos que ISA Server 2004 proporciona, con lo que se impide
que las sesiones de correo electrónico de los usuarios se queden abiertas
indefinidamente para que otros las usen.
La figura 1 ilustra el modo en que ISA Server 2004 contribuye a proteger el acceso al
correo electrónico para los usuarios que trabajan fuera de la red corporativa.

Figura 1. ISA Server 2004 permite poner el correo

electrónico a disposición de usuarios fuera de la red
corporativa de forma fácil y segura

Proporcione la información de la intranet a través de Internet de un modo

sencillo y seguro
Gracias a la publicación en Web y en los servidores, ISA Server 2004 hace posible
que las aplicaciones de una intranet publiquen información a través de Internet de
una forma segura. Los asistentes integrados para publicación en servidores y en Web
automatizan las operaciones comunes y reducen el riesgo de que se produzcan
errores en la configuración. Además, la funcionalidad de traducción de vínculos de
ISA Server 2004 permite la traducción inteligente de vínculos internos en sitios
accesibles públicamente. ISA Server 2004 también puede inspeccionar el tráfico para
comprobar su legitimidad, exigir el uso de direcciones URL válidas y realizar una
autenticación previa de los usuarios a través de las estructuras de autenticación
existentes, de modo que pueda impedir que las solicitudes anónimas potencialmente
peligrosas lleguen a los servidores de publicación. La figura 2 ilustra el modo en que
ISA Server 2004 puede ayudarle a proteger la red corporativa al tiempo que
consigue que la información de la intranet esté disponible a través de Internet.

Figura 2. ISA Server 2004 permite publicar la

información de la intranet de forma segura y sencilla
a través de Internet

Permita que sus partners tengan acceso a la información relevante de la red

corporativa de un modo seguro
Gracias a la capacidad de VPN integrada en ISA Server 2004, puede conectar con
seguridad a sus asociados comerciales (partners) a la red corporativa mientras limita
su acceso a servidores y aplicaciones específicos. ISA Server 2004 cifra todo el
tráfico entre el partner y la red corporativa, garantizando la confidencialidad e
impidiendo que los datos sean modificados. Además, los servidores del extremo de la
red privada virtual se autentican entre sí y, una vez autenticados, ISA Server 2004
aplica directivas de enrutamiento y acceso que limitan el modo en que los partners
pueden recorrer la red corporativa. También puede usar ISA Server 2004 para
aplicar reglas estrictas de filtrado de aplicaciones que ayudarán a proteger la red
corporativa frente a ataques avanzados del nivel de aplicación. La figura 3 muestra
la forma en que ISA Server puede proteger la red corporativa al tiempo que permite
que la información relevante siga estando disponible para sus partners.
 Figura 3. Con ISA Server 2004, puede proporcionar
a sus partners un acceso seguro a la información
corporativa relevante

Proporcione un acceso remoto seguro y flexible a los usuarios mientras

contribuye a proteger la red corporativa del tráfico perjudicial
A través del filtrado avanzado del nivel de aplicación, que permite inspeccionar y
analizar el tráfico con el fin de impedir el paso de gusanos y virus, ISA Server 2004
puede ayudar a proteger una red corporativa de los equipos remotos no
administrados que tienen acceso a ella a través de una VPN. También puede utilizar
ISA Server para asignar directivas flexibles de red a los grupos y usuarios de VPN,
permitiéndoles tener acceso únicamente a servidores y aplicaciones específicos. Para
conseguir una seguridad avanzada, ISA Server 2004 puede poner en cuarentena a
los clientes que no cumplan las directivas corporativas preconfiguradas en relación a
la instalación de actualizaciones de software, software antivirus u otras
configuraciones específicas para los equipos. La figura 4 muestra el modo en que ISA
Server ayuda a proteger la red corporativa al tiempo que proporciona acceso remoto
a los usuarios de la empresa.
 Figura 4. ISA Server 2004 permite proporcionar a
los usuarios un acceso remoto seguro y flexible a la
red corporativa mientras contribuye a proteger la red
del tráfico peligroso

Permita que las sucursales se comuniquen con la oficina principal a través

de Internet con seguridad
Una puerta de enlace VPN de ISA Server 2004 se usa para que los administradores
unan redes enteras a través de vínculos entre sitios VPN, por ejemplo, conectando
las sucursales y la oficina principal entre sí. La característica de enrutador VPN en el
modo de túnel de Seguridad de Protocolo Internet (IPSec) incluida en ISA Server
2004 permite que los administradores del servidor de seguridad establezcan
controles estrictos de acceso, por ejemplo, específicos del nivel de aplicación,
usuario, grupo, sitio, equipo y protocolo sobre el tráfico que pasa por el vínculo entre
los sitios. Con estos controles implantados, los usuarios de la red local pueden tener
acceso únicamente al contenido permitido en la red remota y los usuarios de ésta
sólo pueden tener acceso a los recursos designados de la red local. La figura 5 ilustra
el modo en que ISA Server ayuda a proteger las conexiones entre las sucursales y la
oficina principal.
 Figura 5. ISA Server 2004 ayuda a proteger las
conexiones entre las sucursales y la oficina principal

Controle el acceso a Internet y proteja a los clientes del tráfico peligroso en

Internet
Con ISA Server 2004, puede controlar y aplicar fácilmente directivas de acceso en
Internet destinadas a grupos de usuarios, además de protegerles del tráfico
peligroso de Internet. Las flexibles directivas de servidor de seguridad tienen en
cuenta tanto el bloqueo de sitios Web como el filtrado de contenido, en ambos casos
para mejorar la productividad de los usuarios y bloquear el contenido inapropiado.
ISA Server 2004 también se puede integrar con Active Directory, con lo que se
permite la creación de controles de acceso personalizados para diferentes funciones
organizativas y tipos de trabajo.
Además, el filtrado de aplicaciones en ISA Server 2004 posibilita la mejora de la
confiabilidad del entorno al proteger los equipos de escritorio y los servidores de
ataques avanzados. Por ejemplo, el filtrado HTTP avanzado puede impedir el uso de
las aplicaciones incrustadas, por ejemplo, las aplicaciones comunes de mensajería
instantánea y de elementos del mismo nivel. El filtrado del tráfico en ISA Server
2004 también frustra muchas formas comunes de ataque al impedir el acceso desde
el exterior a los clientes internos, comprobar la validez del tráfico entrante de
replicación y confirmar que los complementos de terceros no contienen gusanos ni
virus. La figura 6 ilustra el modo en que ISA Server controla el acceso a Internet y
ayuda a proteger a los clientes frente al tráfico peligroso en Internet.
 Figura 6. ISA Server 2004 controla el tráfico en
Internet y ayuda a proteger a los clientes del tráfico
peligroso

Garantice un acceso rápido al contenido Web que más se usa

Las capacidades de almacenamiento en caché de ISA Server 2004 garantizan un
acceso rápido al contenido Web más usado. Con el almacenamiento en caché y la
característica de recuperación previa, ISA Server 2004 puede aprender patrones de
tráfico Web y descargar automáticamente los sitios Web que se suelen solicitar para
que estén disponibles en seguida. ISA Server también puede enrutar las solicitudes
específicas para los servidores de almacenamiento en caché que preceden en la
cadena si la caché de los que siguen en la cadena está llena. Las figuras 7 y 8
muestran cómo usa ISA Server sus capacidades de almacenamiento en caché con
servidores estructurados en cadena para proporcionar un acceso rápido al contenido
Web más utilizado.

Figura 7. El almacenamiento en caché en los

servidores que siguen en la cadena proporciona un
acceso rápido a contenido Web popular
Figura 8. El almacenamiento en caché en los
servidores que preceden en la cadena está disponible
cuando las cachés de los servidores que siguen en la
cadena se llenan
 b. Requisitos de Hardware

Para usar Internet Security and Acceleration (ISA) Server 2004 Standard Edition, necesita un sistema con la
siguiente configuración, como mínimo:

Requisitos mínimos

Procesador Pentium III a 550 MHz o superior (ISA Server 2004 Standard Edition admite hasta
cuatro CPU en un servidor)

Memoria 256 MB de RAM o más (se recomienda)

Disco duro Partición local con formato NTFS y 150 MB de espacio disponible en el disco duro; se
requiere espacio adicional para el contenido de la caché Web

Otros dispositivos • Adaptador de red compatible con el sistema operativo del equipo para
comunicarse con la red interna; un adaptador de red adicional, módem o
adaptador RDSI (ISDN) para cada red adicional conectada al equipo ISA Server

• Unidad de CD-ROM o DVD-ROM

• Monitor VGA o de resolución superior

• Teclado y Microsoft Mouse o dispositivo señalador compatible

 c. Requisitos de Software

Requisitos mínimos

Sistema operativo Microsoft Windows 2000 Server o Advanced Server con Service Pack 4 o una versión
posterior; Windows 2000 Datacenter Server o Windows Server 2003 Standard Edition o
Enterprise Edition

Notas:
• Si instala ISA Server 2004 Standard Edition en un sistema operativo Windows
2000 Server, debe instalar lo siguiente: Service Pack 4 de Windows 2000 o una
versión posterior, e Internet Explorer 6 o una versión posterior.
• Si usa la versión Windows 2000 Server o Advanced Server con Service Pack 4,
debe instalar el hotfix especificado en el artículo 821887 de Microsoft Knowledge
Base.

3. Deploy de ISA 2004.

a. Instalar ISA Server 2004
El siguiente paso consiste en instalar el software de ISA Server 2004. La instalación
es un proceso relativamente simple, pero iremos siguiendo en detalle cada paso para
asegurarnos de que entiende adecuadamente todo cuanto sucede.
Siga estos pasos para instalar el software de ISA Server 2004 en una máquina
Windows Server 2003 con dos tarjetas de red:

1. Obtenga su CD-Rom de ISA Server 2004 Standard Edition, introduzca el CD, si

su PC no tiene Autoplay haga doble click sobre el archivo isaautorun.exe.
2. En la página Microsoft Internet Security and Acceleration Server 2004
Setup haga click sobre el vínculo Review Release Notes y lea las notas de
versión. Este documento no es muy largo y contiene información útil sobre las
características que funcionan y las que no, así como consejos interesantes para
saber cómo acceder a Internet desde la propia máquina del firewall ISA Server
2004. Una vez leídas las notas de versión, haga click sobre Read Setup and
Feature Guide. No es preciso leerse toda la guía ahora, pero recomendamos
que la imprima para leerla después. Finalmente, haga click sobre el vínculo
Install ISA Server 2004.
3. Pulse Next en la página Welcome to the Installation Wizard for Microsoft
ISA Server 2004 Beta 2.
4. Seleccione la opción I accept the terms in the license agreement en la
página License Agreement y pulse Next.
5. En la página Customer Information, introduzca su nombre y el de su organización
en los cuadros de texto User Name y Organization. El Product Serial Number se
genera automáticamente. Pulse Next.
6. En la página Setup Type, seleccione la opción Custom. Si no quiere instalar el
software de ISA Server 2004 en el disco C:, pulse el botón Change para modificar la
ubicación de los archivos de programa en el disco duro. Pulse Next.
7. En la página Custom Setup puede elegir los componentes a instalar. Por defecto, se
instalan Firewall Services, ISA Server Management y Firewall Client Installation
Share. El componente Message Screener, utilizado para controlar el paso de spam y
archivos adjuntos de correo desde o hacia Internet, no se instala por defecto.
Necesitará instalar el servicio SMTP de IIS 6.0 en el firewall ISA Server 2004 antes
de instalar el Message Screener. En el futuro editaré algunos artículos sobre cómo
instalar el Message Screener en el firewall ISA Server 2004 para controlar el flujo
entrante y saliente de spam y archivos adjuntos en mensajes de correo. Acepte los
valores por defecto y pulse Next.

8. En la página Internal Network, pulse el botón Add. El concepto de red interna es

diferente a como ISA Server 2000 utilizaba la LAT. En el caso de ISA Server 2004,
la red interna contiene servicios de red de confianza con los cuales el firewall ISA
Server 2004 debe comunicarse. Por ejemplo, los controladores de dominio del
Directorio Activo, DNS, DHCP, clientes de servicios de terminal y otros. La Política
de Sistema del firewall se aplica automáticamente a la red interna.
9. En la página de configuración de Internal Network, pulse el botón Configure
Internal Network.
10. En el cuadro de diálogo Configure Internal Network, borre las marcas de selección
de Add the following private ranges… Mantenga seleccionada la opción Add
address ranges based on the Windows Routing Table. Marque en el cuadro de
selección junto a la tarjeta de red conectada a la red interna y pulse OK.

11. Pulse OK en el cuadro de diálogo que informa de que se ha definido una red interna
basándose en la tabla de rutas de Windows.
12. Pulse OK en la lista de rangos de direcciones de la red interna.

13. Pulse Next en la página Internal Network.

14. Pulse Install en la página Ready to Install the Program.
15. En la página Installation Wizard Completed, marque la opción Invoke ISA Server
Management when Wizard closes y después, pulse Finish.
16. Se abre la consola de administración de Microsoft Internet Security and Acceleration
Server 2004. Por defecto el usuario es dirigido hacia el nodo superior en el panel de la
izquierda. Nótese que la consola de ISA Server 2004 necesita algo más de espacio
para visualizarse que la ISA Server 2000. Para sacar el máximo provecho de la
interfaz gráfica, cambie su resolución a 1024x768 o superior. Yo he tenido que
mantener la resolución de 640x480 para obtener las capturas de pantalla en un tamaño
adecuado para visualizarse en páginas web. Por eso utilizaré el botón Show/Hide
Console Tree en la barra de botones de la consola con cierta frecuencia.
4. Configuración de acceso a internet para la red corporativa.
a. Revisar la Política de Sistema
Por defecto, ISA Server 2004 no permite el acceso de salida a Internet y no permite
a los sistemas de Internet acceder al firewall. No obstante, se instala una Política de
Sistema por defecto en el firewall que permite completar las tareas de administración
de la red.
Siga estos pasos para ver la Política de Sistema por defecto del firewall:

En la consola de administración de Microsoft Internet Security and Acceleration

Server 2004, extienda el nodo del servidor en el panel de búsqueda (panel
izquierdo) y pulse sobre el nodo Firewall Policy. Pulse con el botón derecho sobre
el nodo Firewall Policy, seleccione View y pulse en Show System Rules.

b. Configuración de Access Policy

1. Pulse el botón Show/Hide Console Tree y después, en la flecha Open/Close

Task Pane (la flechita azul en el borde izquierdo del panel de tareas en la parte
derecha de la consola). Verá que la Política de Acceso de ISA Server 2004
aparece en una lista ordenada. Las políticas se procesan desde arriba a abajo, lo
que es un cambio sustancial con respecto a como lo hacía ISA Server 2000. La
Política de Sistema representa una lista de reglas que controlan el acceso al
firewall ISA Server 2004 por defecto. Desplace la lista de System Policy Rules
hacia abajo. Puede comprobar que las reglas se definen por:
Número de orden
Nombre
Acción (permitir o denegar)
Protocolos
Desde (red o máquina de origen)
Hacia (sistema o red de destino)
Condición (a quién o a qué se aplica la regla)

Puede que le interese ampliar la columna Name para observar por encima las
reglas. Verá que no todas están activadas. Las Reglas de Política de Sistema que
están deshabilitadas por defecto tienen un puntito rojo en su esquina inferior
derecha. Las reglas de Política de Sistema deshabilitadas se activarán
automáticamente al hacer cambios de configuración en el firewall ISA Server 2004,
como podrían ser el habilitar acceso VPN.

Fíjese en que una de las reglas de Política de Sistema permite al firewall realizar
consultas DNS a servidores DNS en todas las redes.

2. Compruebe las reglas de Política de Sistema y ocúltelas pulsando el botón

Show/Hide System Policy Rules en la barra de botones de la consola. Es el
botón pulsado que se ve en la figura siguiente:
3.

Crear una Política de Acceso de tráfico de salida “Todo abierto”

La primera cosa que prácticamente todos queremos hacer es comprobar si ISA

Server está funcionando realmente. Se puede ver creando una política de acceso de
tráfico de salida “todo abierto” que permite a los clientes SecurreNAT acceder a
Internet. Conviene tener en cuenta que esta política “todo abierto” es solamente
para fines de test. Las redes seguras no permiten que pase todo el tráfico hacia
afuera, y a los usuarios solamente se les dará acceso a los protocolos que necesitan.
Esta es la diferencia entre un firewall ISA Server 2004 y un firewall tradicional,
basado en el filtrado de paquetes.
Siga estos pasos para crear una política de acceso de tráfico de salida “todo abierto”:
1. En la consola de administración de Microsoft Internet Security and Acceleration
Server 2004, pulse el botón Show/Hide Console Tree para exponer el panel de
visualización. Haga click con el botón derecho sobre el nodo Firewall Policy,
seleccione New y pulse Access Rule.
2. En la página Welcome to the New Access Rule Wizard, introduzca el texto
All Open Outbound en el cuadro de texto de Access policy rule name. Pulse
OK.
3. En la página Rule Action, seleccione la opción Allow y pulse Next.
4. En la página Protocols, seleccione la opción All outbound protocols y pulse
Next.
5. En la página Access Rule Sources, pulse el botón Add. En el cuadro de diálogo
Add Network Entities, seleccione la carpeta Networks. Haga doble click en la
red Internal, y luego pulse el botón Close en el diálogo Add Network Entities.
Si lo desea, puede pulsar en cada una de las carpetas, para poder ver las
Entidades de Red que vienen predefinidas en el firewall ISA Server 2004. Estas
Entidades de Red le proporcionan un control muy bien ajustado sobre los accesos
de entrada y salida. Pulse Next en el diálogo Access Rule Sources.
6. Pulse el botón Add en la página Access Rule Destinations. En el diálogo Add
Network Entities, seleccione la carpeta Networks. Haga doble click sobre la
entrada External y pulse Close en el diálogo Add Network Entities. Pulse
Next en la página Access Rule Destinations.
7. En la página User Sets, acepte la configuración por defecto de All Users. ISA
Server 2004 permite la creación de configuraciones de usuario personalizadas
basadas en grupos del Directorio Activo o SAM local. Esto permite a los
administradores del firewall crear grupos de usuarios particulares del firewall sin
tener que acudir al Directorio Activo y crear los grupos aquí. Pulse Next.

8. Verifique los parámetros y pulse Finish en la página Completing the New

Access Rule Wizard.
9. Pulse el botón Apply para guardar los cambios y actualizar la política del
firewall. Este botón está en la parte superior del panel de Detalles (panel central)
de la consola. El botón Apply permite hacer múltiples cambios en la política del
firewall antes de que se apliquen. Los cambios se producen de inmediato en
cuanto se pulsa el botón Apply.
10. Pulse el botón Show/Hide Console Tree para poder visualizar toda la línea de
la Política de Acceso en el panel de Detalles.

Los clientes de la red interna ahora tienen acceso libre a Internet. Los clientes
Secure NAT tienen acceso a todos los protocolos enumerados en la lista de
Protocols en la caja de herramientas de Firewall Policy. Siga los pasos indicados a
continuación para ver la caja de herramientas de Firewall Policy:

1. En la consola de administración de Microsoft Internet Security and

Acceleration Server 2004, despliegue el panel de contenidos si no está visible,
usando el botón Show/Hide Console Tree.
2. Si el panel de tareas no queda visible en la parte derecha de la consola, pulse el
botón Open/Close Task Pane.
3. En el Panel de Tareas, pulse la solapa Toolbox. Haga click sobre la etiqueta
Protocols. Verá los protocolos agrupados en grupos lógicos. Pulse en la carpeta
All protocols. Aquí se visualiza una lista de protocolos predefinidos en el firewall
ISA Server 2004. Puede crear sus propios protocolos, si lo desea, más adelante.
Los clientes SecureNAT que quieren acceder a protocolos complejos necesitarán,
además, un filtro de aplicación. Los clientes de firewall pueden acceder a todos
los protocolos, incluso a aquellos no expresamente incluidos en la lista (también
a los protocolos complejos).
La siguiente regla que tenemos que crear es una Política de Sistema que permita a
los clientes de la red interna conectar al servidor DNS en el firewall ISA Server 2004.
Recuerde que ISA Server 2004 es distinto de ISA Server 2000; la Política de Acceso
se aplica a todos los interfaces, de modo que la interfaz de red interna está igual de
protegida que el resto de interfaces.
Siga estos pasos para crear una regla de DNS que permitirá a los usuarios de la red
interna acceder al DNS:
1. Pulse el botón Show/Hide Console Tree para ampliar el panel de visualización.
Haga click con el botón derecho sobre el nodo Firewall Policy, seleccione New y
pulse en Access Rule.
2. En la página Welcome to the New Access Rule Wizard, introduzca DNS from
Internal Network en el cuadro de diálogo Access policy rule name. Pulse
Next.
3. Elija Allow en la página Rule Action y pulse Next.
4. En la página Protocols, seleccione la opción Selected protocols de la lista This
rule applies to. Pulse el botón Add.
5. En el cuadro de diálogo Add Protocols, pulse en la carpeta Infrastructure.
Haga doble click sobre el protocolo DNS y pulse Close en el cuadro de diálogo
Add Protocols. Pulse Next en la página Protocols.
6. En la página Access Rule Sources, pulse Add. Seleccione la carpeta Networks
y haga doble click en la red Internal. Pulse Close en el cuadro de diálogo Add
Network Entities. Pulse Next en la página Access Rule Sources.
7. En la página Access Rule Destinations, pulse el botón Add. En el diálogo Add
Network Entities, marque la carpeta Networks. Haga doble click en la entrada
Local Host. Pulse Close en el diálogo Add Network Entities. Pulse Next en la
página Access Rule Destinations.

8. Acepte el valor por defecto de All Users en la página User Sets. Pulse Next.
9. Pulse Finish en la página Completing the New Access Rule Wizard.
10. Pulse Apply para guardar los cambios y actualizar las políticas del firewall.

Crear una política HTTP que impide descargas mediante HTTP

La política HTTP de ISA Server permite un control muy exhaustivo sobre aquello a
que los usuarios pueden acceder mediante el protocolo HTTP. La política HTTP puede
utilizarse para impedir a los usuarios el acceso a un sitio cualquiera, cualquier tipo de
contenido o cualquier protocolo que pueda tunelizarse dentro de una cabecera HTTP.
En el futuro entraremos en los detalles de la política HTTP, pero en este artículo
introductorio solamente veremos cómo se puede impedir de forma rápida y sencilla
que los usuarios se descarguen archivos ejecutables usando HTTP. Conviene advertir
que la política HTTP no puede examinar el interior de archivos .ZIP para saber si hay
algún ejecutable de Windows dentro de él.
Siga estos pasos para configurar una Política HTTP que impide el acceso a archivos
ejecutables de Windows:
1. Haga click con el botón derecho en la Política de Acceso All Open Outbound y
pulse en el comando Configure HTTP.
2. En la solapa General del diálogo Configure HTTP policy for rule, marque la
casilla de Block responses with Windows executable content. Pulse Apply,
y después, OK.

3. Pulse el botón Apply para guardar los cambios y actualizar las políticas de
firewall.

Ahora podemos probar la política desde un cliente de la red interna. El cliente de la

red interna es un cliente SecureNAT, lo que significa que no es un cliente de Web
Proxy o de firewall. El gateway por defecto del cliente está apuntando a la dirección
IP interna del firewall ISA Server 2004. El servidor DNS en el cliente también está
configurado con la dirección IP interna del firewall ISA Server 2004.
Realice estos pasos en el cliente SecureNAT detrás del firewall ISA Server 2004:

1. Abra Internet Explorer y visite un sitio Web. Bien! Se puede acceder a la

página web.
2. Ahora, visite el sitio Web http://www.microsoft.com/downloads/details.aspx?
FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9&DisplayLang=en y mueva la
barra de desplazamiento hacia el final de la página. Pulse sobre el vínculo
isafp1.exe.
3. El firewall ISA Server 2004 bloquea la petición porque se ha configurado la
política HTTP para impedir el acceso a archivos ejecutables de Windows.