MANUAL DE INSTALACION Y CONFIGURACION INTERENET SECURITY AND ACCELERATION (ISA) SERVER.

TITULACIN: ADMINISTRACION DE REDES DE COMPUTADORES

APRENDICES: GERMAN SEBASTIAN CADAVID LOAIZA JHONATAN BETANCUR ARREDONDO ANDRES RESTREPO GONZALES EDER GARCIA DURAN DAVID LOAIZA

CENTRO DE SERVICIOS Y GESTION EMPRESARIAL SENA ANTIOQUIA Medelln, abril 3 de 2009

pg. 1

TABLA DE CONTENIDO.

Pg. 1. Introduccin 3 2. instalacin de isa server 4 3. creacin de reglas de acceso en isa server. 12 4. Configuracin de una conexin de acceso remoto VPN usando radius para autenticar usuarios en active directory.... 20 4.1 implementacin de radius 20 4.2 Creacin de Usuario VPN en Active Directory.. 37 5. Creacin de una conexin para acceso remoto vpn en el cliente.. 40 6. Anexos. 47 7. Glosario.48 8. conclusiones50

pg. 2

INTRODUCCION

Este manual fue realizado con el fin de afianzar nuestros conocimientos en la definicin de un esquema de seguridad de red, conocer sus componentes y sus protocolos, sus caractersticas principales, sus aplicaciones y las diferencias con las dems aplicaciones similares. En este manual se presentan los conceptos bsicos de un esquema de seguridad los cuales son listas de acceso, polticas, firewall, VPNs, Radius, protocolos de cifrado. Este manual fue hecho con el fin de afianzar nuestros conocimientos sobre lo que es un esquema de seguridad.

pg. 3

2. INSTALACION DE ISA SERVER 2.1 una vez ponemos el Cd ROM de instalacin de nuestro servidor isa server, se nos muestra una pantalla en donde se puede leer la versin del software, la gua de instalacin y actualizacin, para nuestro caso escogemos la opcin instalar ISA Server que es la tarea que queremos realizar 2006:

2.2. Inmediatamente damos clic en instalar isa server aparecer en pantalla el asistente de instalacin, en el cual debemos escoger la opcin siguiente:

pg. 4

2.3. Como el software isa server es propietario de Microsoft, debemos aceptar la licencia de uso del programa y luego hacer clic en el botn siguiente:

2.4. En la siguiente pantalla del asistente debemos ingresar el nmero de serie del producto, como este es una versin de evaluacin el asistente nos la pone automticamente, de no ser as deberamos pagar por el:

pg. 5

2.5. Escogemos el tipo de instalacin tpica para que el asistente nos instale todos los componentes del programa, la instalacin personalizada nos permite escoger que componentes queremos que el asistente instale en nuestra maquina:

2.6. En la siguiente pantalla el asistente nos pide que ingresemos el rango de direcciones ip con los que contara nuestra red interna, hacemos clic en el botn agregar:

pg. 6

2.7. Luego de hacer clic en agregar, damos clic nuevamente en el botn agregar adaptador. Nota: Antes de hacer esto debemos tener configurado el adaptador en donde vamos a recibir todo el trfico de la red interna con una direccin ip esttica para que al agregarlo el asistente tome el rango de ips automticamente:

2.8. Ac activamos el adaptador que hemos configurado como nuestra red interna y hacemos clic en aceptar:

pg. 7

2.9. Cuando escogemos el adaptador de nuestra red interna el asistente toma el rango de direcciones ip de nuestra LAN automticamente. Damos clic en aceptar:

2.10. El asistente nos da la opcin de cambiar el rango de direcciones de nuestra re local, para nuestro ejercicio este bien, as que daremos clic en siguiente:

pg. 8

2.11. Se nos advierte que el asistente de instalacin reiniciara todos los servicios instalados en nuestra maquina, pulsamos siguiente:

pg. 9

2.12. Una vez hecho todo lo anterior el asistente nos dice que ya los pasos previos a la instalacin estn listos y que proceder a realizarla, damos clic en el botn instalar:

2.13. En esta pantalla el asistente nos muestra los procesos que esta realizando:

pg. 10

2.14. Cuando el asistente termine de instalar los binarios necesarios para el funcionamiento de isa server nos mostrara la siguiente pantalla, en la cual debemos dar clic en finalizar:

2.15. Por ultimo nos dice que debemos reiniciar nuestra maquina para que los cambios que hemos hecho con la instalacin de isa server surtan efecto:

pg. 11

3 CREACION DE REGLAS DE ACCESO EN ISA SERVER. 3.1. Para crear una regla de acceso en nuestro firewall debemos primero ingresar a la consola de administracin del servidor isa, para ello damos clic en inicio, todos los programas

3.2. En la pestaa donde dice DIRECTIVA DE FIREWALL hacemos clic derecho, nuevo y la opcin regla de acceso:

pg. 12

3.3. Una ves hecho lo anterior, se iniciara automticamente el asistente que nos guiara en el proceso de creacin de nuestra regla de acceso, pidindonos que pongamos un nombre a nuestra regla para que podamos identificarla. Luego de nombrar nuestra regla de acceso damos clic en siguiente para continuar:

3.4. En la siguiente pantalla debemos escoger la accin que realizara nuestro firewall: escogemos permitir y luego damos clic en siguiente:

pg. 13

3.5. En este punto de la configuracin de la regla de acceso debemos agregar los protocolos, direcciones, puertos, servicios etc. A los cuales queremos permitir el acceso. Para ello damos clic en el botn agregar:

3.6. A continuacin el asistente nos muestra una ventana que nos permite agregar los protocolos que vamos a permitir el acceso de una red a otra:

pg. 14

3.7. Luego de agregar los protocolos que permitiremos, damos clic en el botn siguiente:

3.8. En la pantalla siguiente damos clic en el botn agregar para aadir el equipo o red de donde vendr el trfico que vamos a permitir:

pg. 15

3.9. En esta ventana agregamos el equipo o en nuestro caso la red de donde se origina el trfico que vamos a permitir en nuestro firewall, luego de agregarla damos clic en cerrar:

3.10. Despus de agregar nuestra red de origen de trfico, hacemos clic en siguiente:

pg. 16

3.11. En este punto de la configuracin el asistente para la creacin de reglas de acceso nos pide que agreguemos la red a donde se dirigir el trfico que vamos a permitir, damos clic en agregar:

3.12. En esta pantalla debemos seleccionar la red a donde se dirigir el trfico, desplegamos el men redes, seleccionamos la red y hacemos clic en agregar:

pg. 17

3.13. En la siguiente pantalla tenemos la posibilidad de permitir la regla a ciertos usuarios pero en nuestro caso lo haremos para todos:

3.14. Con este paso termina la creacin de la regla de acceso, el asistente nos mostrara un resumen de las polticas de regla, debemos hacer clic en finalizar:

pg. 18

3.15. Luego de crear nuestra regla de acceso nos vamos a la consola de administracin de nuestro isa Server y damos clic en la opcin aplicar que se encuentra en la parte superior, para que los cambios hechos en la configuracin tengan efecto:

3.16. Despus de hacer clic en aplicar, el asistente comienza a realizar los cambios efectuados en la configuracin y por ultimo los guarda, clic en aceptar.

pg. 19

4. Configuracin de una conexin de acceso remoto VPN usando radius para autenticar Usuarios en active directory.

4.1 IMPLEMENTACION DE RADIUS 4.1.1 Nos vamos para inicio, panel de control, agregar o quitar programas, agregar o quitar componentes de Windows, en esta opcin escogemos servicios de red y damos clic en detalles y hay seleccionamos servicio de autenticacin de Internet, damos clic en aceptar y despus damos clic en siguiente, y esperamos a que se efectu la instalacin. 4.1.2 Ahora nos vamos para inicio, herramientas administrativas y seleccionamos servicio de autenticacin de Internet.

4.1.3 Nos aparece el entorno de Radius, lo primero que hacemos es dar clic derecho en servicio de autenticacin de Internet (local), y damos clic en la opcin registrar directorio de active directory.

pg. 20

nos saldr un mensaje dicindonos que el registro a iniciado

4.1.4 Ahora nos vamos para clientes REDIUS, damos clic derecho y escogemos la opcin nuevo cliente RADIUS.

pg. 21

4.1.5 En esta opcin colocamos el nombre del nuevo cliente, y colocamos la IP o el DNS de nuestro equipo, y damos clic en siguiente.

4.1.6 En la siguiente opcin es donde le daremos el secreto compartido, este secreto compartido debe de ser el mismo que se efecta en ISA Server, y damos clic en finalizar, y nuestro cliente RADIUS a sido creado.

pg. 22

4.1.7 Ahora nos vamos para Registro de acceso remoto y damos clic en configuracin y seleccionamos las tres opciones que nos aparece, damos clic en aceptar.

pg. 23

4.1.8 Ahora nos vamos para Directivas de acceso remoto y le damos clic derecho, nos saldr una ventana y escogemos la opcin, nueva directiva de acceso remoto.

4.1.9 Nos aparecer el asistente de la nueva directiva, damos clic en siguiente.

pg. 24

4.1.10 En la siguiente opcin escogemos utilizar este asistente para configurar una directiva tpica para un escenario comn, y le colocamos el nombre a la directiva, y damos clic en siguiente.

4.1.11 En la siguiente opcin escogemos el mtodo de acceso que en este caso es VPN, damos clic en siguiente.

pg. 25

4.1.12 Ahora nos aparecer la opcin de Acceso de usuario o grupo, y escogemos la opcin de grupo, y damos clic en Agregar.

4.1.13 Nos aparece un recuadro en el cual vamos a seleccionar los grupos, damos clic en avanzadas.

pg. 26

4.1.14 Nos sale un recuadro en el cual buscaremos nuestro grupo, damos clic en buscar ahora.

4.1.15 Nos aparece todos los grupos que hay registrados y escogemos el de usuarios del dominio, y damos clic en aceptar.

pg. 27

4.1.16 En la siguiente opcin damos clic en aceptar.

4.1.17 Ahora nos saldr nuestro grupo seleccionado y damos clic en siguiente.

pg. 28

4.1.18 Ahora nos aparecer la opcin mtodo de autenticacin, y dejamos la opcin por defecto, y damos clic en siguiente.

4.1.19 En el siguiente recuadro dejamos las opciones por defecto y damos clic en siguiente.

pg. 29

4.1.20 Nos saldr el asistente de finalizacin, el cual nos avisa que la nueva directiva a sido creada, clic en finalizar.

pg. 30

-Ahora vamos a integrar el usuario VPN al grupo del IAS, nos vamos para el directorio activo y damos clic en la carpeta user. 4.1.21 Ahora escogeremos el grupo RAS e IAS este grupo se crea cuando se instala el IAS para integrar nuestro cliente VPN a este grupo.

4.1.22 Nos aparece el recuadro con la informacin del grupo seleccionado, damos clic en miembros, damos clic en agregar.

pg. 31

4.1.23 Ahora damos clic en avanzadas, para buscar nuestro usuario.

4.1.24 Damos clic en buscar ahora.

pg. 32

4.1.25 Escogemos el usuario que vamos a integrar y damos clic en aceptar.

4.1.26 Nos aparece el recuadro con el usuario que vamos a integrar en el grupo, damos clic en aceptar.

pg. 33

4.1.27 ahora nos aparece nuestro usuario en el grupo, damos clic en aplicar y despus en aceptar.

4.1.28 Ahora nos paramos en el usuario VPN y le damos clic derecho, damos clic en propiedades.

pg. 34

4.1.29 Ahora daremos clic en marcado para decirle al cliente VPN que tiene permisos de acceso.

4.1.30 Nos saldr un recuadro en el cual escogeremos las opciones permitir acceso y la opcin sin devolucin de llamada, y damos clic en aceptar.

pg. 35

4.2 CREACION DE USUARIO VPN EN ACTIVE DIRECTORY 4.2.1 Nos vamos para inicio, herramientas administrativas, y damos clic en usuarios y equipos de active directory.

4.2.2 Nos sale el entorno administrativo del directorio activo, damos clic derecho en la carpeta user y damos clic en nuevo, y seleccionamos la opcin usuario.

pg. 36

4.2.3 Nos aparecer el asistente de creacin del usuario. Colocamos el nombre del usuario y colocamos el nombre con el cual va a iniciar seccin, en este caso es el mismo, y damos clic en siguiente.

4.2.4 Ahora le vamos a dar la contrasea a nuestro usuario VPN, le colocamos la contrasea y escogemos las opciones; el usuario no puede cambiar su contrasea y la contrasea nunca caduca, damos clic en siguiente.

pg. 37

-Y finalizamos la creacin de nuestro usuario..

5. creacin de una conexin para acceso remoto vpn en el cliente 5.1 Nos situamos en panel de control - conexiones de red. Se desplegar una ventana, desde la cual, en el panel izquierdo, podr crear una nueva conexin. Haga clic sobre dicho vnculo, con lo que se iniciar el ayudante de creacin de conexin.

5.2 Haga clic en Siguiente.

pg. 38

5.3 Seleccin Conectar a la red de mi lugar de trabajo.

pg. 39

5.4 Seleccione red privada virtual.

pg. 40

5.5 Ingrese un nombre descriptivo para la conexin. En este caso le recomendamos utilizar el nombre del lugar a conectar.

5.6 Para esta conexin, no se requiere una conexin inicial, por lo que seleccione No usar la conexin inicial..

5.7 Ingrese en esta ventana la direccin IP pblica por la cual se podr conectar al servidor VPN.

pg. 41

5.8 Esta conexin deber ser utilizada exclusivamente por usted. Por seguridad seleccione la opcin Slo para mi uso

5.9 Haga clic sobre el botn Propiedades y seleccione la TAB Funciones de red. En dicha pantalla seleccione de la lista el tem Protocolo de Internet TCP/IP.

pg. 42

5.10 Haga clic en el botn Propiedades teniendo resaltado el tem Protocolo Internet (TCP/IP).

pg. 43

5.11 Ahora pulse el botn Opciones avanzadas

pg. 44

5.12 Seleccione el TAB DNS y en el campo Sufijo DNS para esta conexin el nombre del dominio, haga clic en el botn Aceptar, nuevamente en Aceptar y un ltimo Aceptar para llevarlo a la venta de conexin.

5.13 En la ventana de conexin ingrese su nombre de usuario de la red (nombre, apellido) y su clave. Este usuario y clave son los mismos que utiliza para ingresar a su computador.

Haga clic en el botn Conectar y el proceso de conexin iniciar. Espere unos 5 segundos (dependiente del ancho de banda de su conexin)

pg. 45

6. Anexos. ERRORES Y SOLUCIONES Al realizar la autenticacin del los usuarios remotamente el servidor no autenticaba ya que en el directorio de Registro de acceso remoto no seleccionamos las opciones que se nos presenta, las cuales son: Solicitud de cuenta, Solicitud de Autenticacin y Estado peridico. Estas opciones son de suma importancia ya que si estas no se tienen en cuanta durante el proceso de configuracin del servicio de IAS no se pude establecer la comunicacin entre el cliente y el Servidor RADIUS.

pg. 46

7. Glosario.

ESQUEMA DE SEGURIDAD Este se utiliza o se implementa para garantizar que los recursos de informacin de una red estn disponibles y protegidos para no recibir ataque y tener perdidas, es decir, que no estn daados o alterados por circunstancias o factores externos

FIREWALL Un firewall es software o hardware que comprueba la informacin procedente de Internet o de una red en el cual se definen polticas para denegar o admitir acceso. Un firewall puede ayudar a impedir que hacker informticos obtengan acceso al equipo a travs de una red o Internet.

DMZ (Zona desmilitarizada) Es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet, esta es creada con el fin de que los usuarios de una red local y lo usuarios externos puedan tener un acceso ms fcil. VPN (Red privada virtual) Es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son, la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet.

POLITICAS DE SEGURIDAD Es el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en trminos generales qu est y qu no est permitido en una red.

PROXY Este sirve para permitir el acceso a Internet a todos los equipos de una organizacin, con este se puede restringir y permitir pginas, las cuales no son confiables y consumen recursos en horas laborales.

LISTAS BLANCAS

pg. 47

La lista blanca es una lista de direcciones de paginas web las cuales siempre deseamos visitar. Lo que hacemos al incluir en la lista blanca una direccin de pagina web es decirle al sistema que deje pasar las peticiones hacia estas paginas.

LISTAS NEGRAS Esta es una lista en la cual hay pginas Web y Urls de las cuales nunca deseamos visitar, las incluimos en el archivo ya que no queremos que se hagan peticiones hacia estas pginas.

ISA SERVER ISA Server 2006 es un Gateway integrado de seguridad perimetral que contribuye a la proteccin del un entorno de TI frente a amenazas procedentes de Internet, y adems ofrece a los usuarios un acceso remoto rpido y seguro a sus aplicaciones y datos corporativos.

IAS Servicio de autenticacin de Internet es la implementacin de Microsoft de un servidor y proxy RADIUS. Como servidor RADIUS, IAS ejecuta autenticacin, autorizacin y seguimiento centralizado de la conexin para varios tipos de acceso a la red, como pueden ser accesos inalmbricos y conexiones por Red Privada Virtual (VPN). Como proxy RADIUS, IAS propaga los mensajes de autenticacin y seguimiento a otros servidores RADIUS. Est pgina contiene enlaces a recursos sobre IAS en Windows Server 2003.

pg. 48

8. CONCLUSIONES.

-Este proyecto fue realizado con el fin de implementar un esquema de red de seguridad, implementado con isa server, una red LAN en la que hay un PDC, directorio activo integrado con un servidor de autenticacin Radius, una DMZ en la cual haba un servidor Ftp y Web, un cliente VPN.

-El proyecto tuvo ciertas dificultades a la hora de realizarse ya que hubo poco tiempo, espacios, equipos para trabajar.

-De este proyecto hemos adquirido nuevas competencias las cuales nos ayudaran en nuestro proceso formativo, como l implementacin de firewalls, VPNs, restricciones a sitios web, reglas de acceso.

-Durante la ejecucin de este proyecto desarrollamos la capacidad de tomar decisiones en un ambiente productivo en cuanto la poltica de acceso y restriccin.

-El firewall ISA Server es una buena herramienta con la cual se pueden tomar polticas de seguridad respeto a la red de datos, de cualesquier LAN.

-La implementacin de IAS, VPN, ISA Server ofrecen una solucin al momento de implementar una red a la cual se desea que los clientes ingresen remotamente y de forma segura.

pg. 49