Fase 2 Actividad Firewall Windows ISA Server 2006

Seguridad de la red

Diseño del plan de seguridad de la información

Fase 2 – Firewall común Windows Server 2003

ISA Server 2006

GRUPO “MiNdWiDe”

JUAN ALEJANDRO BEDOYA

JOSE DE ARLEX DOMINGUEZ

NEIFER ERNEY GIRALDO

JHON FREDY HERRERA

YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL

SENA (MEDELLIN)

2010

Mind Wide Open™ BLOG – http://jfherrera.wordpress.com

Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”

MiNdWiDe - Group 2

INDICE

Introducción ......................................................................................................................... 3

Objetivo ............................................................................................................................... 3

Topología de red ................................................................................................................... 4

Tabla de direccionamiento .................................................................................................... 5

Configuración del Firewall ..................................................................................................... 6

Requisitos de ISA Server ............................................................................................................................ 6

Creando nuestra VM .................................................................................................................................. 7

Instalación de ISA Server 2006................................................................................................................. 12

Interface VMNet2 ................................................................................................................................ 13

Interface VMNet3 ................................................................................................................................ 14

Interface Bridge ................................................................................................................................... 15

Administrador de ISA Server 2006 ...................................................................................................... 22

Secciones de ISA Server ........................................................................................................................... 22

Sección 1(Configuración de nuestro entorno) .................................................................................... 23

Redes ............................................................................................................................................... 26

Reglas de red ................................................................................................................................... 26

Sección 2(Definición de las reglas) ...................................................................................................... 32

Permitir que los usuarios de la LAN_LOCAL naveguen en internet. ............................................... 32

Publicar el servidor HTTP a internet ............................................................................................... 41

Permitir tráfico de los servidores de la DMZ hacia internet ........................................................... 50

Publicar el servicio de FTP a internet .............................................................................................. 52

Conclusiones ....................................................................................................................... 57

Bibliografía ......................................................................................................................... 57



MiNdWiDe - Group 3

Introducción

ISA Server es un Gateway integrado de seguridad perimetral que protege su entorno de IT frente a

amenazas basadas en Internet y permite a los usuarios un acceso remoto rápido y seguro a las

aplicaciones y los datos

La publicación segura de aplicaciones con ISA Server 2006 permite el acceso de forma protegida a

aplicaciones Exchange, SharePoint y otros servidores de aplicaciones Web. Los usuarios remotos

pueden acceder a ellas desde fuera de la red corporativa con el mismo nivel de seguridad y

privacidad que desde dentro.

ISA Server 2006 puede utilizarse como Gateway para redes de oficinas. Permite conectar y

proteger los enlaces entre oficinas remotas y departamentos centrales y optimizar el uso del

ancho de banda.

La protección del acceso a la Web que proporciona ISA Server 2006 aumenta la seguridad a los

entornos de IT corporativos frente a amenazas internas y externas basadas en Internet.

Objetivo

Realizar la instalación y configuración de un firewall en la plataforma Windows más

concretamente Microsoft Windows Server 2003 R2, para la topología planteada a continuación.

Para llevar a cabo dicha tarea nos apoyaremos en los aplicativos VMWare Workstation y el

software para implementar el firewall en software será ISA Server 2006, esto con el fin de obtener

los conocimientos necesarios para llevar a cabo con éxito dicha tarea.

Topología de red



MiNdWiDe - Group 5

Tabla de direccionamiento

Dispositivo Interfaz Direccion IPMascara de

subred

Gateway

predeterminada

ISP Fa1/0 192.168.1.254 255.255.255.0 NO APLICABLE

VMNet2 172.16.1.254 255.255.255.0 NO APLICABLE

VMNet3 172.16.2.254 255.255.255.0 NO APLICABLE

Bridge 192.168.1.253 255.255.255.0 192.168.1.254

SVR-HTTP-01 NIC 172.16.2.253 255.255.255.0 172.16.2.254

ISA-SERVER



MiNdWiDe - Group 6

Configuración del Firewall

Requisitos de ISA Server

Ediciones Estándar y Enterprise

Necesitará los requerimientos mínimos de la tabla siguiente para utilizar ISA Server 2006

Ediciones Estándar y Enterprise.

Requisitos del sistema para ISA Server 2006

Procesador PC con Pentium III a 733 MHz o superior.

Sistema

Operativo

Microsoft Windows Server 2003 con Service Pack 1 (SP1) o Microsoft Windows

Server 2003 R2.

Memoria 512 MB de RAM mínimo. Recomendado 1 GB.

Disco duro Una partición local formateada con sistema NTFS y al menos 150 MB de

espacio libre. Será necesario más espacio disponible para guardar el contenido

de la cache Web.

Otros

dispositivos • Tarjeta de red compatible con el sistema operativo para la comunicación

con la red interna. Una tarjeta de red adicional, módem, o adaptador

RDSI para cada red adicional a la cual se desee conectar el servidor ISA

Server

• Un adaptador de red adicional, necesario para la comunicación intra-array

si se va a instalar el NLB integrado en la Ed. Enterprise

• Unidad de CD-ROM o DVD-ROM

• Monitor VGA o superior resolución

• Teclado y ratón o dispositivo compatible



MiNdWiDe - Group 7

Muy bien teniendo presente estos requisitos de hardware y de software procederemos a crear

nuestra VM en VMWare Workstation, a continuación presentaremos los Screenshot

correspondientes a la realización de dicha tarea.

Creando nuestra VM

Teniendo el aplicativo VMWare Workstation abierto nos vamos por File > New > Virtual Machine

o con la combinación de teclas CTRL + N, esto nos permitirá iniciar el asistente de creación de VM

y nos saldrá la siguiente ventana, siguiendo así el asistente.



MiNdWiDe - Group 8



MiNdWiDe - Group 9



MiNdWiDe - Group 10



MiNdWiDe - Group 11

Finalmente nuestra VM quedaría así:



MiNdWiDe - Group 12

Instalación de ISA Server 2006

Posteriormente a la realización de las tareas de Instalación del Sistema Operativo Windows Server

2003 y a la configuración del Stack de protocolos TCP/IP en la maquina virtual para poder realizar

las actualizaciones correspondientes a el Sistema Operativo por medio de Windows update, y

suponiendo que tenemos a nuestra disposición el paquete de software que nos permitirá

inicializar el asistente de instalación de ISA Server 2006, continuaremos con la tarea de instalación

de ISA Server 2006.

Paquete de software para la instalación de ISA Server 2006.



MiNdWiDe - Group 13

En ese orden de ideas nos disponemos a realizar la configuración del Stack de protocolos TCP/IP a

las tarjetas de red del servidor ISA Server 2006.

Interface VMNet2



MiNdWiDe - Group 14

Interface VMNet3



MiNdWiDe - Group 15

Interface Bridge

Nota: Como nos podemos dar cuenta solo permitimos los servicios de clientes para redes

Microsoft y archivos e impresoras compartidas para redes Microsoft en el VMNet2 que es de

nuestra red interna.



MiNdWiDe - Group 16

En este momento inicializamos en asistente de instalación para ISA Server 2006.

Opción Instalar ISA Server 2006



MiNdWiDe - Group 17



MiNdWiDe - Group 18

Especificamos el rango de direcciones internas o sea la interface GREEN de confianza o grupo de

redes de confianza.



MiNdWiDe - Group 19



MiNdWiDe - Group 20

Y finalmente iniciamos la instalación de ISA Server 2006.

Nos recomienda realizar actualizaciones posteriormente a la instalación.



MiNdWiDe - Group 21

Herramientas que podemos utilizar después de la instalación de ISA Server 2006.

Monitor de tráfico desde y hacia el ISA Server.



MiNdWiDe - Group 22

Administrador de ISA Server 2006

Este es nuestro entorno donde realizaremos todas las configuraciones para el ISA Server 2006.

Secciones de ISA Server

En este apartado podemos especificar y/o configurar el tipo de red de nuestra

organización, red interna, externa, DMZ.

En esta sección se especifican las políticas que se implementaran para la organización

ya sea permitir, denegar, etc.

Nos ofrece la posibilidad de definir reglas que se aplicaran a él cache de ISA Server

2006.

Nos permite definir, crear los servicios de VPN para permitir el acceso remoto por

parte de clientes VPN.



MiNdWiDe - Group 23

Finalmente nos ofrece una sección en la cual podemos realizar el seguimiento a todo lo

relacionado con ISA Server 2006, igualmente generar reportes, etc.

Sección 1(Configuración de nuestro entorno)

Accedemos a el panel derecho pulsamos sobre la pestaña template para acomodarnos a nuestro

diseño de red.

Seleccionamos la plantilla Perímetro de 3 secciones.



MiNdWiDe - Group 24

Nos ofrecerá un asistente para configurar el nuevo diseño de red muy parecido cuando

configuramos la red interna, pero también nos ofrece para configura zona DMZ y WAN.



MiNdWiDe - Group 25

Por el momento definimos Bloquear a todos, finalizamos el asistente y aplicamos la nueva

configuración quedando así:



MiNdWiDe - Group 26

Redes

Nos ofrece la posibilidad de configurar las redes que estarán de lado interno, del lado de la DMZ

(perimetral), y del lado Externo (WAN), Clientes VPN, etc.

Reglas de red

Nos permite realizar enrutamiento (FORWARD), NAT de los diferentes tipos de redes como interna,

Perimetral y Externa.

Teniendo ISA Server en ejecución vamos a probar conectividad básica a nivel de respuestas echo

reguest ICMP.

Desde la red perimetral (DMZ) hacia el servidor ISA Server.



MiNdWiDe - Group 27

Nos podemos dar cuenta de que no obtenemos respuesta, igualmente desde un cliente de la LAN

INTERNA el cual tiene la ip 172.16.1.1/24.



MiNdWiDe - Group 28

Pero desde el servidor de ISA Server si obtenemos respuesta, esto es por que el ISA Server ya viene

con unas reglas por defecto. Para visualizarlas damos clic derecho sobre el árbol directivas de

firewall:

Con esto listamos 30 reglas de firewall predeterminadas.



MiNdWiDe - Group 29

Entre ellos está la resaltada en azul la cual permite solicitudes de ICMP desde el servidor ISA Server

(Local Host) hacia cualquier destino (DMZ, WAN…).

Modificamos la regla nro 11 y agregamos el rango de redes de la LAN_LOCAL debemos tener

presente que la ultima regla que se examina cuando un paquete entra a el servidor ISA Server es la

de DENY ALL tanto entrante como saliente. Es importante resaltar que si agregamos nuevas reglas

tendrán como prioridad las creadas por nosotros inicialmente, después examina las reglas por

defecto del sistemas que son las que listamos anteriormente 30 y finalmente la regla implícita

DENY ALL.



MiNdWiDe - Group 30

Esta imagen nos ofrece una visión general sobre cómo trabaja ISA Server.

Igualmente a continuación se muestra una imagen la cual describe el orden en que el ISA Server

examina los criterios de un paquete para decidir si permite o deniega determinado paquete.



MiNdWiDe - Group 31

Entonces Protocolo lo revisa con base al puerto de destino en la capa de transporte refiriéndonos

al modelo OSI, si coincide pasa al punto nro. 2, si no pasara a la siguiente regla y así sucesivamente

con IP de origen, a qué hora, a que destino, que usuario, que tipo de contenido.



MiNdWiDe - Group 32

Sección 2(Definición de las reglas)

Permitir que los usuarios de la LAN_LOCAL naveguen en internet.

Para comprobar que las reglas que permiten el acceso a internet sean correctas nos basaremos en

el cliente web de la LAN_LOCAL 172.16.1.1/24.

En este punto no se puede navegar en internet ya que no se ha

definido las reglas para permitir dicho tráfico.



MiNdWiDe - Group 33

Servicios involucrados con la navegación:

DNS.

HTTP.

HTTPS

Clic derecho sobre Directiva de firewall > New > Regla de acceso con esto ya nos ofrece el

asistente para la creación de una nueva política que se aplicara en el servidor de ISA Server.

Seleccionamos un protocolo el cual es DNS.



MiNdWiDe - Group 34

Estos puertos son definidos actuando nosotros como clientes

de DNS, o sea como puestos de destino en el segmente de la

capa de transporte.

Especificamos el origen de esas peticiones de ese servicio (DNS).



MiNdWiDe - Group 35

Especificamos el destino y ese destino son las direcciones de los servidores DNS de OpenDNS.



MiNdWiDe - Group 36

Aplicamos los cambios y

comprobamos que la salida de

consultas DNS por parte de los

clientes sea satisfactoria, y el

resultado es el esperado como

se puede observar en la

captura de pantalla.



MiNdWiDe - Group 37



MiNdWiDe - Group 38

Aplicado los cambios al servidor de ISA Server ya de momento observamos que nos permite la

navegación tanto para DNS, HTTP y HTTPS, FTP (transacciones seguras, e-mail, etc.).



MiNdWiDe - Group 39

Una pregunta que puede surgir, pero como puedo navegar si el router del ISP que tenemos el

nuestra organización, teniendo en cuenta nuestro diagrama de topología no conoce la red

172.16.1.0/24.

Esta es una captura de las rutas que tiene el router de la organización que da salida hacia internet

no hay rutas a la red 172.16.1.0/24, y 72.16.2.0/24.



MiNdWiDe - Group 40

Habilitamos temporalmente el ping para cualquier parte desde la LAN_LOCAL y realizamos una

captura con wiredshark, el resultado que se muestra en la imagen nos indica que todo lo que sale

se enmascara con la dirección Global la cual es 192.168.1.253 que a su vez está asociada a la

interface Externa (Bridge).

Que nos permite esto pues el NAT que está configurado por defecto, la cual esta resaltada en azul.



MiNdWiDe - Group 41

Publicar el servidor HTTP a internet

Iniciamos el asistente para nueva regla pero seleccionamos la opción Regla de publicación de sitio

web.



MiNdWiDe - Group 42



MiNdWiDe - Group 43



MiNdWiDe - Group 44



MiNdWiDe - Group 45



MiNdWiDe - Group 46

Modificamos un parámetro remplazando blog.homeunix.net en la columna A por 172.16.2.253.



MiNdWiDe - Group 47

Esta captura se realizo desde un equipo que simula estar en

internet como podemos observar está en la red 10.0.0.0./29.



MiNdWiDe - Group 48

Nota: para poder acceder desde internet teniendo en cuanta nuestra topología aplicamos en el

router del ISP la redirección del puerto 80 a la dirección IP que tiene asignado el ISA Server y a

subes el servidor ISA Server nos lo re direcciono a 172.16.2.253/24 que es el servidor correcto en

el que se ejecuta el website, igualmente esta regla aplica para los host de la red interna ya que no

hay un servidor dns interno y la resolución del nombre blog.homeunix.net lo realizan los

servidores de internet.



MiNdWiDe - Group 49

En esta captura comprobamos que efectivamente la política también se aplica a la LAN_LOCAL.



MiNdWiDe - Group 50

Permitir tráfico de los servidores de la DMZ hacia internet

Debemos permitir todo tráfico que se origine desde la DMZ hacia internet para poder actualizar

repositorios y demás, resoluciones DNS, etc.

Esta tarea la definimos en el apartado Configuración, submenú Redes y en directivas de firewall

permitimos los servicios.



MiNdWiDe - Group 51

Con esto hemos definido en primer lugar el enmascaramiento de todo origen DMZ (172.16.2.0/24)

hacia WAN (Internet), segundo permitimos todo tipo de tráfico desde DMZ hacia WAN.



MiNdWiDe - Group 52

Publicar el servicio de FTP a internet

El servidor de HTTP también está ejecutando el servico de FTP.

Como podemos observar esta en LISTEN.

Para publicar ese servicio navegamos por políticas de firewall, new, Regla de publicación de

protocolo de servidor no web…



MiNdWiDe - Group 53



MiNdWiDe - Group 54



MiNdWiDe - Group 55

Igualmente este servicio se le debe realizar la redirección de puerto en el router ISP para que todo

tráfico se dirija hacia el ISA Server 192.168.1.253/24.



MiNdWiDe - Group 56

Observamos que accedimos correctamente al servidor FTP e igualmente visualizamos que se ha

establecido satisfactoriamente la sección entre el cliente FTP y el servidor FTP.

Es importante resaltar que en el caso del servicio de FTP por defecto el ISA Server nos permite solo

lectura, para modificar esta regla nos posicionamos sobre la regla y le damos clic derecho opción

configurar FTP, este procedimiento se puede seguir para los demás servicio a publicar en la DMZ.



MiNdWiDe - Group 57

Conclusiones

ISA Server es un firewall muy potente y funcional ya que se pueden agregar características

adicionales a las disponibles en su instalación por defecto.

Su implementación es sencilla ya su configuración es basada en ventanas (GUI) y es fácil de

comprender para una persona que no tenga conocimientos avanzados, adicionalmente

disponemos de una amplia documentación en internet y principal mente en la web de su

fabricante Microsoft.

Podemos testear esta solución de Firewall gratis durante 180 días, lo cual nos permite el estudio

de su implementación a nivel de administración y operatividad para nuestro entorno de red.

Después de la caducidad de el periodo de prueba tenemos que tomas decisiones para poder seguir

con las prestaciones de esta solución de Firewall, esto acarreara costos, lo importante es tener

claro si realmente sé justifica ese gasto para suplir las necesidades de la entidad.

Se tiene soporte por parte de los fabricantes al momento de la adquisición de su licencia.

Bibliografía

http://www.microsoft.com/spain/isaserver/prodinfo/whatis.mspx

http://www.tooltorials.com/

http://www.microsoft.com/spain/isaserver/prodinfo/whatis.mspx

http://www.tooltorials.com/Como_se_evalua_el_trafico_en_ISA_Server



MiNdWiDe - Group 58

Gracias…

Juan Alejandro Bedoya

Jose De Arlex Dominguez

Neifer Erney Giraldo

Jhon Fredy Herrera

Yojan Leandro Usme

Fase 2 Actividad Firewall Windows ISA Server 2006

Documents

Transcript of Fase 2 Actividad Firewall Windows ISA Server 2006