12º Unidad Didáctica Microsoft Internet Security and Acceleration Server ISA SERVER 2006 Eduard Lara 1
ISA SERVER Es un firewall de stateful packet inspection (analiza el encabezado de los paquetes IP) y de application layer (analiza la trama de datos en busca de tráfico sospechoso) También es un firewall de red, VPN y web cache. ISA Server 2006 es la última versión, manteniendo siempre el esquema de ediciones estándar y enterprise, y los appliances de distintos fabricantes de hardware. 2
ISA SERVER A partir de febrero de 2007, Microsoft liberó una edición especial de ISA Server llamada Intelligent Application Gateway 2007. IAG 2007 es un servicio de VPN por medio de SSL, además de incorporar políticas de seguridad como zonas de cuarentena, chequeos de seguridad en las conexiones entrantes, y definición de perfiles de uso de las aplicaciones publicadas. IAG 2007 es el producto de la adquisición que realizó Microsoft de la empresa Whale Communications en Junio de 2006. Microsoft IAG 2007 solamente está disponible por medio de appliances. 3
VERSIONES ISA SERVER 2007 2006 2004 2000 1999 1996 Intelligent Application Gateway 2007 (liberado en Febrero de 2007) ISA Server 2006 (liberado el 6/9/2006) ISA Server 2004 ISA Server 2000 Proxy Server 2.0 Proxy Server 1.0 4
LICENCIAS DEL PRODUCTO ISA Server 2006 Ed. Estándar ISA Server 2006 Ed. Enterprise ISA Server 2006 Ed. Enterprise, paquete de 25 procesadores Microsoft Windows Server 2003 Gateway perimetral integrado que protege el entorno de IT frente a amenazas basadas en Internet y ofrece a los usuarios remotos un acceso rápido y seguro a las aplicaciones y datos Diseñado para grandes organizaciones que necesitan opciones de instalación flexibles con los máximos niveles de disponibilidad, escalabilidad y capacidad de gestión. El paquete de licencias para 25 procesadores de ISA Server 2006 Enterprise se ofrece con un descuento del 50% para clientes que necesitan ISA Server en escenarios de grandes despliegues, como son las redes de oficinas. ISA Server 2006 Ediciones Estándar y Enterprise requieren el sistema operativo Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft Windows Server 2003 R2. 5
PUBLICACIÓN SEGURA DE APLICACIONES La publicación segura de aplicaciones con ISA Server 2006 permite el acceso de forma protegida a aplicaciones Exchange, SharePoint y otros servidores de aplicaciones Web. Los usuarios remotos pueden acceder a ellas desde fuera de la red corporativa con el mismo nivel de seguridad y privacidad que desde dentro. 6
PUBLICACIÓN SEGURA DE APLICACIONES Su organización necesita Publicación rápida de correo electrónico y otros contenidos Acceso seguro para cualquier aplicación Web y desde cualquier dispositivo de cliente Control riguroso de la identidad Experiencias de usuario transparentes Publicar un número elevado de servidores Integración flexible con el Active Directory Una gestión más sencilla de SSL Protección frente a ataques desde sistemas externos Bloqueo para ataques con paquetes cifrados ISA Server 2006 le ofrece Herramientas para la publicación automática de Exchange y SharePoint Autenticación basada en formularios Web personalizable Autenticación multifactorial mejorada (con soporte para tarjetas inteligentes, RADIUS OTP), y delegación (NTLM, Kerberos) Logon único (SSO, Single Sign-on), y traducción automática de enlace Balanceo de carga para la publicación Web Soporte para LDAP Administración de certificados mejorada Integración de cuarentena para VPNs Bridging basado en SSL 7
GATEWAY PARA REDES DE OFICINAS ISA Server 2006 puede utilizarse como Gateway para redes de oficinas. Permite conectar y proteger los enlaces entre oficinas remotas y departamentos centrales y optimizar el uso del ancho de banda. 8
GATEWAY PARA REDES DE OFICINA Su organización necesita Mínima exposición a ataques externos de Denegación de Servicio (DoS) y DDOS Protección contra gusanos que se propagan internamente Medidas de mitigación del impacto en caso de ataque. Detección de ataques más rápida Control e informes de actividad de los gateways remotos Detección de ataques sofisticados Adaptabilidad ante cambios en las modalidades de amenaza Gestión rápida y sencilla de políticas complejas ISA Server 2006 le ofrece Mayor resistencia a ataques por inundación. Mayor resistencia ante ataques de gusanos Registro y control del consumo de memoria y peticiones DNS pendientes. Sistema de alertas, condiciones de disparo y respuestas completo y totalmente automatizado Integración con Microsoft Operations Manager (MOM) 2005 Inspección de contenidos multinivel y en profundidad. SDK Flexible para crear complementos de protección, como filtros antivirus y Web Herramientas de gestión sencillas y fáciles de aprender y utilizar. 9
PROTECCIÓN DEL ACCESO A LA WEB La protección del acceso a la Web que proporciona ISA Server 2006 aumenta la seguridad a los entornos de IT corporativos frente a amenazas internas y externas basadas en Internet. 10
PROTECCIÓN DEL ACCESO A LA WEB Su organización necesita Configuración sencilla de las conexiones de oficinas remotas Actualización rápida de los sistemas de las oficinas remotas Uso eficiente de un ancho de banda limitado Reducir los costes de soporte de las infraestructuras remotas Una mejor gestión de prioridades del tráfico de red Acceso rápido con enlaces de ancho de banda mínimo Gestión centralizado y seguro de las oficinas remotas Aprovechar al máximo la infraestructura existente ISA Server 2006 le ofrece Herramientas automatizadas y soporte para instalaciones desatendidas Cache basada en BITS para la distribución de actualizaciones de software Compresión y cache de HTTP Propagación más rápida de políticas y optimización de conexiones de escaso ancho de banda Soporte para DiffServ Cache distribuido jerárquicamente cache para contenidos Web Funcionalidades de gestión central y remota Arquitectura multirred con plantillas de administración de redes. 11
CONFIGURACIÓN MÍNIMA PARA ISA SERVER 2006 Procesador Sistema Operativo Memoria Disco duro Adaptador de red PC con procesador Pentium III a 733 MHz o superior. ISA Server 2004 Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft Windows Server 2003 R2. Se recomienda 512 megabytes (MB) de RAM o más Partición en disco duro local con formato NTFS con 150 Mb de espacio de disco disponible; puede necesitarse más espacio para cache Web Adaptador de red para la conexión a la red interna. Otro adaptador de red adicional, modem o adaptador RDSI para cada una de las redes a las que se conecta el equipo. Otra tarjeta de red adicional para comunicaciones internas si el servidor pertenece a un array con balanceo de carga (NLB) de ISA Server 2006 Enterprise Edition. 12
PRACTICA 12. CONFIGURACIÓN DEL ISA SERVER 2006 Paso 1. Instalar la versión de Windows Server 2003 Enterprise en Castellano que os proporcionará el profesor. Se trata de una versión con licencia correcta bajada del MSDN. Durante el proceso de instalación poner como nombre del equipo el vuestro propio. Paso 2. Para utilizar las ediciones Estándar o Enterprise de ISA Server 2006 es necesario instalar el paquete SP1 de Windows Server 2003 Enterprise que también os proporcionará el profesor. Copiar el paquete en el escritorio y realizar la instalación. Paso 3. Copiar en el escritorio el programa ISA Server. Realizar la instalación. Paso 4. Arrancar ISA Server y desplegar las opciones de administración para realizar una captura (recuerda que la máquina Windows Server ha de tener tu nombre). Paso 5. Ir a la opción de Directiva de Firewall. Que se observa? Qué regla hay y que crees que hace realmente? 13
PRACTICA 12. CONFIGURACIÓN DEL ISA SERVER 2006 Paso 6. Abrir un navegador (p.e. Internet Explorer) y dirigirse a la página web de google. Indica el mensaje que se obtiene. Qué código de error http ocurre y quien lo provoca? Paso 7. Debemos habilitar el tráfico añadiendo una nueva regla. Hacer click botón derecho del ratón sobre Directivas de Firewall. Seleccionar Nuevo/Regla de acceso. Indicar el nombre de la regla como Habilitar Navegación. Paso 8. Indicar regla de tipo Permitir. Paso 9. En la pantalla protocolos, debemos agregar los protocolos HTTP y HTTPS, buscándolos en protocolos comunes o en todos los protocolos. Paso 10. En la pantalla Orígenes de regla de acceso, debemos indicar las redes que originan el tráfico que queremos permitir. Ir a Agregar/Conjunto de redes y seleccionar Todas las redes (y host local). 14
PRACTICA 12. CONFIGURACIÓN DEL ISA SERVER 2006 Paso 11. En la pantalla Destinos de regla de acceso, debemos indicar las redes que son destino del tráfico que queremos permitir. Ir a Agregar/Conjunto de redes y seleccionar Todas las redes (y host local). Paso 12. En la pantalla Conjunto de usuarios, dejaremos la opción por defecto Todos los usuarios y finalizamos la regla (obtener 2 capturas, la primera de la pantalla de usuarios y la segunda con el resumen de la regla diseñada). Paso 13. Indica el número que el sistema aplica a la nueva regla está antes o después de la regla por defecto? Aplica la regla creada para que el sistema la incorpore a su operativa. Paso 14. Abrir un navegador y dirigirse a la página web de google. Funciona ahora? 15
PRACTICA 12. CONFIGURACIÓN DEL ISA SERVER 2006 Paso 15. Crear una regla de acceso que impide el acceso a youtube y facebook. Sobre la opción de Directiva de Firewall hacer click botón derecho del ratón y seleccionar Nuevo/Regla de acceso. - Nombre regla: Deniega sitios. - Denegar - Protocolos seleccionados: HTTP y HTTPS. - Orígenes de regla de acceso: Todas las redes (y host local) Paso 16. En el pantalla Destino de regla de acceso, pulsar Agregar y hacer click en el botón superior Nuevo. Seleccionar Conjuntos de direcciones URL. En la nueva pantalla que obtenemos, poner el nombre Bloqueo de ciertas páginas Paso 17. Haciendo click en el botón Agregar, añadir URL s de páginas que queramos bloquear www.youtube.com y www.facebook.com. Al acabar, hacer click en Aceptar. 16
PRACTICA 12. CONFIGURACIÓN DEL ISA SERVER 2006 Paso 18. Nuestra opción de Bloqueo de ciertas páginas nos aparece en el menú de posibles destinos de regla de acceso. Seleccionarla y pasar a la siguiente pantalla. Paso 19. Aceptar Todos los usuarios y finalmente se observa el resumen de la regla. Paso 20. Aplicar la regla al sistema, en el mismo orden de entrada. Paso 21. Probar que se puede ir a cualquier web, menos a las webs bloqueadas explícitamente por ISA. Paso 22. Bajar la última regla anteriormente definida. Sobre la regla hacer click botón derecho del ratón y seleccionar Bajar. Aplicar el cambio en la configuración del firewall. Paso 23. Desde un navegador ir a las webs anteriormente bloqueadas. Se pueden ver? Qué crees que ha pasado? A que dispositivo te recuerda este funcionamiento? 17