ISA_1_2

8/7/2019 ISA_1_2

1/51

Seguridad en la

infraestructura de red

ISA Server 2006(B)

8/7/2019 ISA_1_2

2/51

Seguridad en la infraestructura de red - ISA Server 2006 (B)

Blog http://jfherrera.wordpress.com

Microsoft ISA Server 2006

Blog: http://jfherrera.wordpress.com 2

INDICE

Tabla de direccionamiento .................................................................................................... 3

Documentacion de dispositivos finales .................................................................................. 4

SVR-SAV-01 ................................................................................................................................................ 5

Reglas de diagnostico ................................................................................................................................ 6

Implementando Symantec Antivirus ....................................................................................................... 13

Instalacin y configuracin de Symantec AntiVirus Client ....................................................................... 31

Implementacin basada en Web ............................................................................................................. 37

Personalizar los archivos de implementacin ..................................................................................... 45

Personalizando el archivo Files.ini .................................................................................................. 48

Personalizando el archivo start.htm ............................................................................................... 49

Client user considerations ............................................................................................................... 51

8/7/2019 ISA_1_2

3/51





Topologa de red

Tabla de direccionamiento

Device Name Interface Name IP Address Subnet Mask

Default

Gateway

SVR-DNS-DHCP-

01NIC 10.10.10.60 255.255.255.192 10.10.10.62

SVR-SAV -01 NIC 10.10.10.125 255.255.255.192 10.10.10.126

SVR-FW-01

NIC (LAN1 >

Interna)10.10.10.62 255.255.255.192 N/A

NIC (LAN2 >

DMZ)10.10.10.126 255.255.255.192 N/A

NIC (Bridge >

Externa)10.10.10.130 255.255.255.252 10.10.10.129

Winxp1 NIC (LAN1) DHCP DHCP DHCP

8/7/2019 ISA_1_2

4/51





Documentacion de dispositivos finales

Device

Name

(Purpose

)

Operating

System/Ver

sion

IP Address /

Suffix

Default

Gateway

Address

DNS

Server

Address

WINS

Serve

r

Addre

ss

Network

Applicati

ons

High

Bandwid

th

Applicati

ons

SVR-

DNS-

DHCP-01

(DNS/DH

CP)

Windows

Server 2003

SP2

10.10.10.60

/2610.10.10.62

10.10.10

.60

N/A

DNS

DHCP

N/A

SVR-SAV-

01 (SAV)

Windows

Server 2003SP2

10.10.10.12

5/26

10.10.10.12

6 8.8.8.8

N/A

SAV

N/A

SVR-FW-

01 (ISA

Server)

Windows

Server 2003

SP2

10.10.10.62

/26

N/A 10.10.10

.60

N/A ISA Sever

2006

N/A

10.10.10.12

6/26

N/A 10.10.10

.60

N/A N/A N/A

10.10.10.13

0/30

10.10.10.12

9/30

8.8.8.8

8.8.4.4

N/A N/A N/A

8/7/2019 ISA_1_2

5/51





SVR-SAV-01

Continuamos con la documentacin y vamos a agregar el servidor SVR-SAV-01 en la DMZ, este

ser un servidor que almacenara las actualizaciones del Antivirus Symantec, con el objetivo de

optimizar el ancho de banda.

En esta captura observamos que el servidor svr-sav-01 pertenece a la DMZ cuyo segmento IP es

10.10.10.64/26.

8/7/2019 ISA_1_2

6/51





Reglas de diagnostico

En esta seccin veremos cmo crear las reglas que nos permitir realizar diagnostico de red como

el Ping.

La regla resaltada en azul nos permite el ping desde Internal hacia Perimeter y External.

Igualmente debemos analizar que se modifico la regla de DNS ya que la red Perimeter realizara las

consultas DNS hacia internet, estas se deben permitir. Tambin se agrego la regla llamada

Allow_Ping_DMZ, la cual permite el pin desde la Perimeter hacia External (Internet).

Prueba de pings

8/7/2019 ISA_1_2

7/51





En esta captura observamos que el host (10.10.10.1/26) realiza una solicitud de ping hacia los

hosts 8.8.8.8 y 10.10.10.125/26 (svr-sav-01), obteniendo respuesta satisfactoria.

En la captura se observa que al realizar el ping desde el host 10.10.10.125/26 hacia 8.8.8.8 genera

un Request time out.

8/7/2019 ISA_1_2

8/51





Dicha respuesta se obtiene ya que al configurar la plantilla 3-Log Perimeter se crean varias reglas

de red que causan dicho comportamiento, observemos la regla de red llamada Perimeter Access.

Dicha regla se crea para enrutar el trafico de la DMZ hacia internet, esta configuracin existe ya

que se asume que agregaremos direccionamiento publico a la DMZ, como este no es nuestro caso

porque utilizaremos el segmento 10.10.10.64/26 para la DMZ entonces realizaremos algunas

modificaciones en la pestaa Networks Rules de la seccin Networks.

8/7/2019 ISA_1_2

9/51





Observemos la regla Perimeter Configuration resaltada en azul, esta regla establece que si la red

interna (entre otras redes) requieren acceso a la red Perimeter el ISA debe realizar un NAT

(Traduccin de direcciones de red), dicha traduccin la realizara sobre la direccin IP que este

asignada a la interface Perimeter (NIC > LAN2 > 10.10.10.126/26) con el objetivo de ocultar el

direccionamiento real de la red Internal (LAN1).

8/7/2019 ISA_1_2

10/51





Para comprobar realizamos un ping desde 10.10.10.60 (Servidor DNS) hacia una estacin con la

direccin IP de host 10.10.10.100. Podemos ratificar que el origen de dicha solicitud es

10.10.10.126 (NAT realizada por ISA).

8/7/2019 ISA_1_2

11/51





Como para nuestro entorno no utilizaremos direccionamiento pblico en la DMZ eliminamos dos

reglas llamadas Perimeter Configuracion y Perimeter Access.

Si probamos nuevamente el ping observamos que ya es exitoso y las consultas de DNS igualmente.

A continuacin agregamos una regla llamada Allow_Windows_Update, la cual permitir las

actualizaciones desde Windows Update. La regla se aplico a el origen Internal y Perimeter, es

8/7/2019 ISA_1_2

12/51





destino fue una asignacin de nombres de dominio que es creada por default al momento de

instalar el ISA Server llamada Microsoft Update Domain Name Set, que se encuentra en la carpeta

Domain Name Set de la seccin Network Objects, lo nico que se agrego a dicha lista fue

update.microsoft.com/*.

8/7/2019 ISA_1_2

13/51





Implementando Symantec Antivirus

En esta seccin veremos cmo implementar Symantec Antivirus Server y Symantec System Center,

los cuales nos permitirn la centralizacin de las actualizaciones para los clientes Symantec

Antivirus.

Anexo links de los manuales utilizados:

http://www.symantec.com/docs/DOC2208

Iniciamos la suite de SAV.

Damos click sobre Install Symantec Antivirus > Install Symantec System Center.
http://www.symantec.com/docs/DOC2208http://www.symantec.com/docs/DOC2208http://www.symantec.com/docs/DOC2208

8/7/2019 ISA_1_2

14/51





Nos inicia el asistente de instalacin pulsamos en Next.

Aceptamos los trminos de licenciamiento y seleccionamos los componentes a instalar, AMS es

opcional, pulsamos en Next.

8/7/2019 ISA_1_2

15/51





Seleccionamos la ruta en donde se instalara SSC, pulsamos en Next e Install.

Finalizada la instalacin nos pide reiniciar, lo hacemos.

Reiniciado el servidor instalaremos el Symantec AntiVirus Server, nuevamente levantamos el

asistente de instalacin de Symantec AntiVirus y seleccionamos Install Symantec AntiVirus > Install

Symantec AntiVirus Server.

8/7/2019 ISA_1_2

16/51





Seleccionamos Install Syantec AntiVirus server y pulsamos en Next.

8/7/2019 ISA_1_2

17/51





Aceptaos los trminos de licencia, Seleccionamos las opciones Server program y Reporting Agent

pulsando asi en Next.

8/7/2019 ISA_1_2

18/51





Como podemos observar en el panel derecho nos lista el servidor SVR-SAV-01, seleccionamos el

servidor y pulsamos en el botn Add y pulsamos en Next.

Realizaremos la instalacin en el directorio por default y pulsamos en Next.

8/7/2019 ISA_1_2

19/51





En este apartado debemos especificar el nombre que tenga el grupo de servidores, y pulsamos en

Next.

Al momento de crear el nuevo grupo nos pide ingresar un nombre de usuario y clave para dicho

grupo.

Nota: Si tenemos un grupo ya creado el asistente nos cargara dicho grupo.

Seleccionamos la opcin Automatic startup y pulsamos en Next.

8/7/2019 ISA_1_2

20/51





En esta ventana nos indica que debe estar instalado el SSC, igualmente nos especifica en que

ubicacin podemos ejecutarlo, pulsamos en Next.

Ahora nos presenta el progreso de la instalacin.

8/7/2019 ISA_1_2

21/51





Finalizada la instalacin el programa nos indica que la firma de definicin de archivos esa obsoleta

y que lleva ms de 30 das sin actualizarse, finalmente pulsamos en Close y reiniciamos el servidor.

Despus de reiniciado el servidor necesitamos configurara la mquina para que sea el servidor de

distribucin de actualizaciones primario.

8/7/2019 ISA_1_2

22/51





Iniciamos la SSC.

Expandimos la jerarqua de la consola y seleccionamos el grupo SAV_SERVERS creado durante la

instalacin.

8/7/2019 ISA_1_2

23/51





Damos clic derecho sobre el nombre del grupo y seleccionamos View > Symantec AntiVirus.

Nuevamente damos clic derecho sobre el nombre del grupo SAV_SERVERS y seleccionamos la

opcin Unlock Server Group, ingresando las credenciales de dicho Grupo.

8/7/2019 ISA_1_2

24/51





Desplegamos la lista y seleccionamos el servidor que ser principal para el grupo, clic derecho

sobre el mismo y seleccionamos la opcin Make Server a Primary Server.

8/7/2019 ISA_1_2

25/51





Ahora que tenemos configurado a SVR-SAV-01 como servidor primario configuraremos el origen

de las definiciones de Virus, damos clic derecho sobre el servidor (SVR.SAV-01) y seleccionamos All

tasks > Symantec AntiVirus > Virus Definition Manager...

En la ventana que nos levanta seleccionamos la opcin Update only the primary server of this

server group y pulsamos en Configure.

8/7/2019 ISA_1_2

26/51





En la ventana emergente que nos inicia seleccionamos en el botn Source

Nos aseguramos que la opcin Live Update (Win32)/FTP (Netware) este seleccionada y damos clic

en Ok.

8/7/2019 ISA_1_2

27/51





Lo siguiente ser dar clic en Schedule, dicha seccin nos permite configurar en qu momento se

realizaran las actualizaciones, seleccionamos la opcin Daily del recuadro Frequency, igualmente a

las 7:00 AM del recuadro When.

Damos clic en Advanced y verificamos que la casilla Perform update within plus or minus: este

desactivada, presionamos en el botn OK.

8/7/2019 ISA_1_2

28/51





Damos clic nuevamente en OK para regresar a la ventana Virus Definition Manager.

Regresando a la ventana Virus Definition Manager, debemos asegurarnos que la opcin Update

virus definitions from parent server este seleccionada, y que la opcin Schedule client for

automatic updates using LiveUpdate no est seleccionada del recuadro How Clients Retrieve Virus

Definitions Updates, pulsamos en OK.

8/7/2019 ISA_1_2

29/51





Ahora como no tenemos la definicin de virus actualizada entonces lo realizamos dando clic

derecho sobre el servidor y seleccionamos All Tasks > Symantec AntiVirus > Update Virus

Definitions Now

8/7/2019 ISA_1_2

30/51





Observamos que ya el servidor esta actualizado correctamente la definicin de virus.

8/7/2019 ISA_1_2

31/51





Instalacin y configuracin de Symantec AntiVirus Client

Seleccionamos la opcin Install Symantec AntiVirus, seguida de Install Symantec AntiVirus Client.

8/7/2019 ISA_1_2

32/51





Seleccionamos Next.

Aceptamos los trminos de licencia y seleccionamos la opcin Complete, pulsamos en Next.

8/7/2019 ISA_1_2

33/51





A continuacin seleccionamos la opcin Managed y pulsamos en Next.

Digitamos el nombre del servidor y pulsamos en el botn Find.

8/7/2019 ISA_1_2

34/51





Encontrado el servidor pulsamos en Ok.

Nota: si se requiere pasar por un firewall para poder contactar con el servidor necesitaremos abrir

el puerto 38293 de UDP (Utilizado para Descubrir el servidor Symantec) y el puerto 2967 de TCP

(Utilizado para la Configuracin y Actualizacin de los clientes).

Finalizada la instalacin el cliente se contacta con el servidor para realizar la actualizacin

respectiva.

8/7/2019 ISA_1_2

35/51





Otras configuraciones, seleccionamos All Tasks > Symantec AntiVirus > Client Administrator Only

Options

Seleccionamos la opcin Show Symantec AntiVirus icono on desktop de la pestaa General.

8/7/2019 ISA_1_2

36/51





En la pestaa Security podemos configurar el password que se debe asignar al momento de

desinstalar el antivirus en los clientes y presionamos en el botn OK.

Igualmente en la pestaa Scans podemos definir algunas caractersticas con respecto el escaneo

para los clientes.

8/7/2019 ISA_1_2

37/51





En SSC podemos observar los clientes que estn asociados al servidor SVR-SAV-01, datos

importantes como nombre, usuario, ultima vez en la que se realizo un escaneo, direccin IP, entre

otros.

Implementacin basada en Web

Requerimientos

Conocidos los requerimientos realizaremos lo siguiente.

Crear una carpeta llamada Deploy en el directorio raz del sitio creado.

8/7/2019 ISA_1_2

38/51





Podemos observar que el directorio raz del sito que utilizaremos es savsite.

Lo siguiente ser copiar el directorio llamado WebInst y su contenido el cual se encuentra en el CD

de Symantec Antivirus en el directorio Deploy.

Observemos la estructura de los directorios.

8/7/2019 ISA_1_2

39/51





Lo siguiente ser copiar toda la carpeta llamada WIN32, la cual se encuentra en C:\Program

Files\SAV\CLT-INST en el servidor donde se instalo Symantec Antivirus Server / Symantec System

Center. Esta carpeta se debe copiar en \Root Directory\Deploy\WebInst\webinst

Root Directory es el directorio raz que se utilizo para el sitio web.

Debemos asegurarnos que el documento a buscar en el sitio primero sea Default.htm.

Terminada la operacin la estructura de directorios debera quedar de la siguiente manera.

Deploy\Webinsto brnotsup.htmo default.htmo intro.htm

o logo.jpgo oscheck.htm

o plnotsup.htmo readme.htmo start.htmo webinst.cabo Deploy\Webinst\Webinst

files.ini

[PAQUETE DE INSTALACION]

8/7/2019 ISA_1_2

40/51





Nota: Para tener actualizado el Symantec Live Update descargamos de la pagina web

http://www.symantec.com/techsupp/home_homeoffice/products/lu/lu/files.html el LiveUpdate

3.5 y lo remplazamos por el que se encuentra en la carpeta WIN32.
http://www.symantec.com/techsupp/home_homeoffice/products/lu/lu/files.htmlhttp://www.symantec.com/techsupp/home_homeoffice/products/lu/lu/files.htmlhttp://www.symantec.com/techsupp/home_homeoffice/products/lu/lu/files.html

8/7/2019 ISA_1_2

41/51





A continuacin debemos crear un directorio virtual en el sitio web, damos clic derecho New >

virtual Directory

En el alias digitamos un nombre que deseemos y clic en Next.

8/7/2019 ISA_1_2

42/51





Especificamos el directorio donde se encuentra el directorio primario llamado WebInst y damos

clic en Next.

Solo lectura damos clic en Next y finalmente en Finish.

8/7/2019 ISA_1_2

43/51





Nota: en este apartado quiero resaltar algo, nosotros podemos hacer que el directorio WebInst

sea el directorio raz del sitio, pero realmente esto no es una buena prctica ya que podemosrealizar y configurar diferentes tipos de implementacin ya sea para instalaciones tipo cliente o

servidores. Podemos agregar ms directorios virtuales como por ejemplo para implementar

servidores, un directorio virtual llamado ServerInstall y as sucesivamente.

Lo siguiente ser dar clic derecho sobre el sitio web, seleccionamos Properties.

8/7/2019 ISA_1_2

44/51





Seleccionamos la pestaa HTTP Headers y pulsamos en el botn MIME Types del recuadro MIME

Types en la parte inferior.

8/7/2019 ISA_1_2

45/51





En esta ventana agregaremos todas las extensiones de los archivos que utilizaremos para la

implementacin.

Observemos la forma para agregar dichas extensiones.

Reiniciamos el sitio web pulsando en los botones del sitio web.

Personalizar los archivos de implementacinA continuacin veremos unas tablas que describen los modificadores que nos permitirn

personalizar la instalacin de Symantec Antivirus.

Bsicamente se pueden personalizar dos archivos llamados Files.ini y Start.htm.

El archivo Files.ini se encuentra en el subdirectorio llamado webinst.

Hay dos secciones que nos interesan y las cuales se deben configurar que son [General] y [Files].

[General]

FileCount=: esta directiva define el nmero de archivos que se utilizaran para la implementacin.

LaunchApplication= esta directiva especifica el nombre del archivo que se ejecutara en el

momento que se descarguen todos los archivos en el cliente.

InstallOptions= esta directiva especifica el modo de instalacin en el cliente.

8/7/2019 ISA_1_2

46/51





Los parmetros en el archivo Start.htm contiene informacin acerca del servidor Web y la

ubicacin de los archivos necesarios para la instalacin. Los parmetros de instalacin se listan en

la siguiente tabla y estos estn ubicados dentro de las etiquetas .

8/7/2019 ISA_1_2

47/51





8/7/2019 ISA_1_2

48/51





Personalizando el archivo Files.ini

En la seccin [General] agregaremos lo siguiente.

FileCount=11

LaunchApplication=setup.exe

InstallOptions= /s /v"/qb /l*v c:\install.log NETWORKTYPE=1

SERVERNAME=sav01 INSTALLDIR=C:\SAV10C"

En la seccin [Files] agregaremos lo siguiente.

File1=WIN32/0x0409.ini

File2=WIN32/Data1.cab

File3=WIN32/GRC.DAT

File4=WIN32/LUSETUP.EXE

File5=WIN32/instmsiw.exeFile6=WIN32/Setup.exe

File7=WIN32/Setup.ini

File8=WIN32/Symantec AntiVirus.msi

File9=WIN32/VDefHub.zip

File10=WIN32/vpremote.dat

File11=WIN32/VPREMOTE.exe

8/7/2019 ISA_1_2

49/51





Personalizando el archivo start.htm

Nota: el valor sace.dominio.localse agrega ya que se cre un alias para el servidor donde se

encuentra el servidor web en el que se realizara la implementacin, ClientInstalles el nombre que

se cre en el campo Alias al momento de crear el directorio virtual.

Implementando Symantec Antivirus en los clientes.

Para realizar la instalacin en los clientes debemos iniciar el navegador Internet Explorer versin 6

o superior, y en la barra de direcciones ingresamos lo siguiente:

http://sace.dominio.loca/clientinstall

8/7/2019 ISA_1_2

50/51





Si se presentan problemas con la descarga verifica que los permisos esten correctamente sobre los

archivos.

8/7/2019 ISA_1_2

51/51




Client user considerations

To download the client installation program, users must have Internet Explorer 5.5 SP2 or

later on their computers. The Internet Explorer security level for the local intranet must be

set to Medium so that Symantec ActiveX controls can be downloaded to the client. When

the installation is complete, the security level can be restored to its original setting.

Ensure that the users have the necessary rights for the products that they are installing.

For example, to install the Symantec AntiVirus Corporate Edition 9.x client, users who are

installing to Windows NT/2000/XP must be logged on with local administrator rights.

Thanks,

Good Luck!Jhon Fredy Herrera

ISA_1_2

Documents

Transcript of ISA_1_2