Beruflich Dokumente
Kultur Dokumente
ISA Server 2004 incorpora un nuevo conjunto de asistentes que hacen más fácil que
nunca la creación de políticas de acceso. Las políticas de acceso saliente antes, en
ISA Server 2000, necesitaban Filtros de paquetes IP, reglas asociadas a sitios,
contenidos y protocolos. Las políticas de acceso de ISA Server 2004 pueden crearse
mediante un asistente de creación de reglas de firewall avanzado que permite
configurar cualquier elemento de política necesario sobre la marcha. No necesita salir
del asistente de creación de reglas para crear un objeto de red, y cualquier objeto de
red o relación puede crearse dentro del nuevo asistente.
b. Asistentes de topología de red
Administración VPN:
ISA Server incluye mecanismos mucho más integrados de red privada virtual,
basados en la funcionalidad de Windows Server 2003.
Soporte de cliente SecureNAT para clientes VPN conectados al servidor VPN de ISA
Server 2004:
En ISA Server 2000, únicamente los clientes VPN configurados como clientes de
firewall podían acceder a Internet a través del servidor VPN ISA Server 2000. ISA
Server 2004 amplía el soporte de cliente VPN permitiendo a clientes SecureNAT el
acceso a Internet sin tener el cliente de firewall instalado en la máquina. Además se
puede mejorar la seguridad de la red corporativa aplicando la política de firewall
basada en usuarios/grupos a los clientes VPN SecureNAT.
Cuarentena VPN:
ISA Server 2004 potencia la funcionalidad de cuarentena VPN de Windows Server
2003. La cuarentena VPN permite ubicar los clientes VPN en una red separada hasta
comprobar que cumplen una serie de requisitos de seguridad. Los clientes VPN que
superan los test de seguridad quedan admitidos para acceder a la red de acuerdo
con las políticas de cliente de firewall VPN. Los clientes VPN que no superan los test
de seguridad solamente disponen de acceso limitado a los servidores que les
permitirán cumplir con los requisitos de seguridad.
d. Bloqueo de contenido
El filtro HTTP se aplica a todas las conexiones cliente de ISA Server 2004:
ISA Server 2000 podía bloquear el contenido para conexiones HTTP y FTP a sus
clientes Web Proxy mediante MIME Enter (para HTTP) o por extensión de archivo
(para FTP). La política de HTTP de ISA Server 2004 permite el control de acceso
HTTP para todas las conexiones de cliente de ISA Server 2004.
Control de acceso HTTP basado en “firmas HTTP” La inspección en profundidad de
HTTP de ISA Server 2004 permite crear “firmas HTTP” que se pueden comparar
contra la URL Solicitada, cabeceras solicitadas, cuerpo solicitado, cabeceras de
respuestas y cuerpo de respuesta. Esto permite un control muy preciso de a qué
contenido pueden acceder los usuarios internos y externos a través del firewall ISA
Server 2004.
Política FTP:
La política FTP de ISA Server 2004 se puede configurar para admitir descargas desde
o hacia la red corporativa utilizando FTP, o bien limitando el acceso de los usuarios a
descargas FTP en sentido entrante.
Traductor de enlaces:
Algunos sitios Web publicados pueden incluir referencias a nombres de máquina
internos. Puesto que solamente se admiten que el firewall ISA Server 2004 y el
espacio de nombres externo, y nunca el espacio de nombres interno, queden
disponibles para clientes externos, estas referencias aparecerán como enlaces rotos.
ISA Server 2004 incorpora un traductor de vínculos que permite crear un diccionario
de definiciones de nombres de máquinas internas mapeados a nombres públicos
disponibles desde el exterior.
Cache inteligente:
Los usuarios reciben el contenido Web más reciente gracias al proceso de cache
proactivo de los objetos más frecuentemente accedidos. ISA Server 2004 determina
de forma automática qué sitios Web son los más utilizados y con qué frecuencia debe
refrescarse su contenido basándose en el tiempo que el objeto ha permanecido en la
cache o el momento en el que el objeto se cargó por última vez. ISA Server 2004
puede precargar contenido Web en la cache en momentos de baja actividad, sin
intervención del administrador de la red. Aparte esto, el cache Web de ISA Server
2004 puede precargar contenido offline almacenado en CD o DVD.
Cache planificado:
La cache se puede precargar con contenidos de sitios Web completos siguiendo una
planificación temporal. Las descargas planificadas garantizan el acceso al contenido
más actual para todos los usuarios, y les permite el acceso a contenido Web en
sistemas fuera de servicio.
Cache jerárquico:
ISA Server 2004 amplía aún más los beneficios del cache Web permitiendo
configurar una jerarquía de cache, encadenando matrices de máquinas basadas en
ISA Server 2004, de modo que los clientes pueden acceder al cache más próximo.
Este es un escenario bien conocido de configuración de redes de oficinas.
f. Redirección de puertos en publicación de Server
Las reglas de publicación de servidores de ISA Server 2000 redirigían las conexiones
entrantes a un servidor de publicación en el mismo puerto que el indicado en la
petición original. ISA Server 2004 permite recibir una conexión en un número de
puerto y redirigir la petición a un número de puerto distinto en el servidor publicado.
Esta característica conocida también como PAT (Port Address Redirection) permite
publicar varios servicios internos en diferentes puertos externos sin necesidad de
modificar el puerto interno del sevicio. Por Ejemplo usted podria publicar dos
Terminal Services en su puerto por defecto 3389 a la misma IP publica en dos
puertos diferentes ej: 3389 y 3390.
g. Mejoras en Reportes y monitoreo
Verificadores de conexión:
Se puede verificar la conectividad monitorizando regularmente las conexiones a
máquinas o URL concretas desde una máquina ISA Server 2004 usando los
Verificadores de Conexión. Se puede seleccionar el método a emplear para
comprobar la conectividad: ping, TCP, conexión a un puerto o HTTP GET. Se puede
seleccionar la conexión a monitorizar especificando una dirección IP, un nombre de
máquina o URL.
Publicación de informes:
Los trabajos de informes de ISA Server 2004 se pueden configurar para guardar
automáticamente una copia del report en una carpeta local o compartida en otra
máquina. Esta carpeta o recurso compartido se puede mapear a un directorio virtual
de un sitio Web, de modo que otros usuarios pueden leer el informe. Se pueden
publicar manualmente los informes que no se han configurado para su publicación
automática después de generarse.
2. Requerimientos
a. Evaluando entorno
ISA Server 2004 resulta muy valioso para los administradores de tecnologías de la
información, administradores de red y profesionales de seguridad de la información
preocupados por la seguridad, el rendimiento, la facilidad de administración y los
costos operativos de las redes de las que se ocupan. Resulta igualmente ventajoso
para las organizaciones de tamaño pequeño, mediano o grande. En las secciones
siguientes se describen algunos de los escenarios de red en los que se puede
emplear ISA Server 2004.
Consiga de forma segura y sencilla que el correo electrónico esté a
disposición de los usuarios que trabajan fuera de la red
ISA Server 2004 ofrece un grado único de protección para los sitios Web OWA.
Gracias a la interfaz de ISA Server 2004, fácil de utilizar, las organizaciones pueden
configurar con rapidez una regla de publicación en Web que exija una autenticación
segura basada en formularios. ISA Server 2004 también impide los ataques contra
servidores de correo electrónico, ya sea a través del descifrado Secure Sockets Layer
(SSL), que permite que el tráfico SSL sea inspeccionado en busca de código
peligroso, o gracias al filtrado HTTP, que hace posible la inspección minuciosa del
contenido de las aplicaciones. Además, ISA Server 2004 usa una autenticación
previa para impedir los inicios de sesión de usuarios anónimos, que constituyen un
método de ataque clave en servidores internos.
ISA Server 2004 aprovecha la autenticación existente, en la que intervienen varios
factores, y proporciona un sistema de autenticación tanto en el caso de que el correo
remoto emplee RADIUS (Remote Authentication Dial-In User Service) como si utiliza
RSA SecurID. De este modo, ISA Server 2004 le ayuda a impedir que las solicitudes
anónimas, potencialmente peligrosas, lleguen a Microsoft Exchange Server. Una
protección adicional se deriva de las capacidades de tiempo de espera de sesión y
bloqueo de archivos adjuntos que ISA Server 2004 proporciona, con lo que se impide
que las sesiones de correo electrónico de los usuarios se queden abiertas
indefinidamente para que otros las usen.
La figura 1 ilustra el modo en que ISA Server 2004 contribuye a proteger el acceso al
correo electrónico para los usuarios que trabajan fuera de la red corporativa.
Para usar Internet Security and Acceleration (ISA) Server 2004 Standard Edition, necesita un sistema con la
siguiente configuración, como mínimo:
Requisitos mínimos
Procesador Pentium III a 550 MHz o superior (ISA Server 2004 Standard Edition admite hasta
cuatro CPU en un servidor)
Disco duro Partición local con formato NTFS y 150 MB de espacio disponible en el disco duro; se
requiere espacio adicional para el contenido de la caché Web
Otros dispositivos • Adaptador de red compatible con el sistema operativo del equipo para
comunicarse con la red interna; un adaptador de red adicional, módem o
adaptador RDSI (ISDN) para cada red adicional conectada al equipo ISA Server
Requisitos mínimos
Sistema operativo Microsoft Windows 2000 Server o Advanced Server con Service Pack 4 o una versión
posterior; Windows 2000 Datacenter Server o Windows Server 2003 Standard Edition o
Enterprise Edition
Notas:
• Si instala ISA Server 2004 Standard Edition en un sistema operativo Windows
2000 Server, debe instalar lo siguiente: Service Pack 4 de Windows 2000 o una
versión posterior, e Internet Explorer 6 o una versión posterior.
• Si usa la versión Windows 2000 Server o Advanced Server con Service Pack 4,
debe instalar el hotfix especificado en el artículo 821887 de Microsoft Knowledge
Base.
11. Pulse OK en el cuadro de diálogo que informa de que se ha definido una red interna
basándose en la tabla de rutas de Windows.
12. Pulse OK en la lista de rangos de direcciones de la red interna.
Puede que le interese ampliar la columna Name para observar por encima las
reglas. Verá que no todas están activadas. Las Reglas de Política de Sistema que
están deshabilitadas por defecto tienen un puntito rojo en su esquina inferior
derecha. Las reglas de Política de Sistema deshabilitadas se activarán
automáticamente al hacer cambios de configuración en el firewall ISA Server 2004,
como podrían ser el habilitar acceso VPN.
Fíjese en que una de las reglas de Política de Sistema permite al firewall realizar
consultas DNS a servidores DNS en todas las redes.
Los clientes de la red interna ahora tienen acceso libre a Internet. Los clientes
Secure NAT tienen acceso a todos los protocolos enumerados en la lista de
Protocols en la caja de herramientas de Firewall Policy. Siga los pasos indicados a
continuación para ver la caja de herramientas de Firewall Policy:
8. Acepte el valor por defecto de All Users en la página User Sets. Pulse Next.
9. Pulse Finish en la página Completing the New Access Rule Wizard.
10. Pulse Apply para guardar los cambios y actualizar las políticas del firewall.
La política HTTP de ISA Server permite un control muy exhaustivo sobre aquello a
que los usuarios pueden acceder mediante el protocolo HTTP. La política HTTP puede
utilizarse para impedir a los usuarios el acceso a un sitio cualquiera, cualquier tipo de
contenido o cualquier protocolo que pueda tunelizarse dentro de una cabecera HTTP.
En el futuro entraremos en los detalles de la política HTTP, pero en este artículo
introductorio solamente veremos cómo se puede impedir de forma rápida y sencilla
que los usuarios se descarguen archivos ejecutables usando HTTP. Conviene advertir
que la política HTTP no puede examinar el interior de archivos .ZIP para saber si hay
algún ejecutable de Windows dentro de él.
Siga estos pasos para configurar una Política HTTP que impide el acceso a archivos
ejecutables de Windows:
1. Haga click con el botón derecho en la Política de Acceso All Open Outbound y
pulse en el comando Configure HTTP.
2. En la solapa General del diálogo Configure HTTP policy for rule, marque la
casilla de Block responses with Windows executable content. Pulse Apply,
y después, OK.
3. Pulse el botón Apply para guardar los cambios y actualizar las políticas de
firewall.