fase 3 isa sever 2006 proxy windows

Seguridad de la red

Implementación Del Plan De Seguridad De La Información

Fase 3 – Proxy HTTP Windows Server 2003

ISA Server 2006

GRUPO “MiNdWiDe”

JUAN ALEJANDRO BEDOYA

JOSE DE ARLEX DOMINGUEZ

NEIFER ERNEY GIRALDO

JHON FREDY HERRERA

YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL

SENA (MEDELLIN)

2010

Mind Wide Open™ BLOG – http://jfherrera.wordpress.com

Seguridad de la red | Implementación Del Plan De Seguridad De La Información

GROUP | “???”

MiNdWiDe - Group 2

INDICE

Introducción ......................................................................................................................... 3

Objetivo ............................................................................................................................... 3

Tabla de direccionamiento .................................................................................................... 5

Proxy Http ............................................................................................................................ 6

Bloquear Sitios ......................................................................................................................................... 11

Bloquear Extensiones .............................................................................................................................. 17

Comprobar cómo se realizan las consultas desde el proxy ..................................................................... 23

Conclusiones ....................................................................................................................... 26

Bibliografía ......................................................................................................................... 26



GROUP | “???”

MiNdWiDe - Group 3

Introducción

Un proxy hace referencia a un programa o dispositivo que realiza una acción en representación de

otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet

a todos los equipos de una organización cuando sólo se puede disponer de un único equipo

conectado, esto es, una única dirección IP.

El tipo de proxy que más se implementa en las organizaciones es el proxy http el cual permite

implementar un control estricto sobre el uso de internet a una entidad.

Objetivo

Realizar la instalación y configuración de un servidor proxy http en la plataforma Windows más

concretamente Microsoft Windows Server 2003 R2, Para llevar a cabo dicha tarea nos apoyaremos

en los aplicativos VMWare Workstation y el software para implementar el proxy http el cual será

ISA Server 2006, esto con el fin de aplicar políticas de seguridad que nos permitan tener un mejor

control sobre los contenidos a los que acceden los usuarios en la web.



GROUP | “???”

MiNdWiDe - Group 5

Tabla de direccionamiento

Dispositivo Interfaz Direccion IPMascara de

subred

Gateway

predeterminada

ISP Fa1/0 192.168.1.254 255.255.255.0 NO APLICABLE

VMNet2 172.16.1.254 255.255.255.0 NO APLICABLE

VMNet3 172.16.2.254 255.255.255.0 NO APLICABLE

Bridge 192.168.1.253 255.255.255.0 192.168.1.254

SVR-HTTP-01 NIC 172.16.2.253 255.255.255.0 172.16.2.254

CLIENTE-01 NIC 172.16.1.1 255.255.255.0 172.16.1.254

ISA-SERVER



GROUP | “???”

MiNdWiDe - Group 6

Proxy Http

Antes de comenzar a realizar la configuración de nuestro servidor proxy queremos resaltar que ya

se tiene configurada la infraestructura de red, la cual se plasma en el apartado anterior “Topología

de Red”. Si se desea sabes cómo implementar esta topología le recomendamos que consulte el

documento “Fase_2_Actividad_Firewall_Windows_ISA_Server_2006.pdf” o visitar la URL:

http://jfherrera.wordpress.com/2010/09/11/isa-server-2006-firewall/ cuyo documento se

encuentra en la URL especificada.

Teniendo nuestro servidor ejecutándose y disponible la consola de administración de ISA Server

2006 nos dirigimos a el apartado Configuración del panel izquierdo opción Cache.

Esta sección nos permite configurar todo lo relacionado con el cache de nuestro servicio de proxy

en ISA Server 2006, debemos primero que todo especificar el tamaño que se asignara a él cache

del proxy.

El cache es una sección del servidor proxy la cual permite almacenar los sitios más solicitados por

parte de los clientes, obteniendo así una rápida respuesta de los sitos previamente solicitados por

otros clientes, esto también contribuye a un mejor aprovechamiento del ancho de banda.

http://jfherrera.wordpress.com/2010/09/11/isa-server-2006-firewall/



GROUP | “???”

MiNdWiDe - Group 7

Damos doble clic sobre la opción resaltada en azul en el panel en medio.

A continuación nos ofrece una ventana y en la cual podemos especificar el tamaño que tendrá

nuestro cache.



GROUP | “???”

MiNdWiDe - Group 8

Especificamos el tamaño que tendrá y pulsamos sobre establecer.

Aplicamos los cambios y reiniciamos los servicios.

Posteriormente nos dirigimos a el apartado Configuración > Redes.



GROUP | “???”

MiNdWiDe - Group 9

En el panel den medio damos clic derecho sobre Interna, propiedades.

Realizando esta acción nos ofrece la ventana de propiedades de Interna.



GROUP | “???”

MiNdWiDe - Group 10

Seleccionamos la pestaña Proxy web, comprobamos que el check box de Habilitar HTTP: este

seleccionado y configuramos la opción Puerto HTTP: a nuestro gusto. Finalmente damos en OK ya

que no vamos a configurar autenticación para los clientes de nuestro servidor proxy.



GROUP | “???”

MiNdWiDe - Group 11

Bloquear Sitios

Negaremos el acceso a ciertos sitios web, para realizar esta tarea en el panel izquierdo nos

posicionamos en Directivas de Firewall, estando posicionados visualizamos el panel derecho y

seleccionamos la pestana Herramientas.

Teniendo seleccionada Objetos de Red, damos clic derecho sobre la carpeta Conjunto de

direcciones URL.



GROUP | “???”

MiNdWiDe - Group 12

Seleccionamos Nuevo conjunto de direcciones URL.

En la ventana que nos levanta agregaremos las URL que vamos a denegar.

Como podemos observar podemos utilizar comodines, pulsamos en aceptar.

Vamos a asociar estos sitios que no se permitirán a una nueva regla de acceso.

Damos clic derecho sobre Directivas de Firewall > New, Regla de acceso.



GROUP | “???”

MiNdWiDe - Group 13



GROUP | “???”

MiNdWiDe - Group 14



GROUP | “???”

MiNdWiDe - Group 15

Muy bien en esta serie de imágenes creamos una nueva regla de acceso con el nombre DenySites,

la regla se aplicara a protocolos seleccionados, el origen de ese tráfico saliente será Interna, hacia

los sitios listados en DenySites, aplicamos los cambios a los servicios.

Observamos nuestra nueva regla de acceso resaltada en azul y de primero en el orden, esto es

muy importante.



GROUP | “???”

MiNdWiDe - Group 16

Configuramos nuestro cliente.

Y observamos que al tratar de accesar a un sitio que no se permite nos saca el mensaje de acceso a

redes.



GROUP | “???”

MiNdWiDe - Group 17

Bloquear Extensiones

Bloquearemos cierto tipo de archivos, lo realizaremos creando una nueva regla de acceso.



GROUP | “???”

MiNdWiDe - Group 18

En esta serie de imágenes creamos la regla de acceso para todo el origen de la red interna, si se

requieren los protocolos HTTP y HTTPS hacia cualquier destino.



GROUP | “???”

MiNdWiDe - Group 19

Teniendo nuestra regla creada damos clic derecho sobre ella y pulsamos sobre la opción

Configurar HTTP.



GROUP | “???”

MiNdWiDe - Group 20

En la ventana que nos levanta seleccionamos la pestaña Extensiones y la opción Bloquear

extensiones especificadas. En este apartado agregaremos las extensiones que nos interese

bloquear para los clientes web.

Pulsamos en OK y aplicamos los cambios a los servicios.



GROUP | “???”

MiNdWiDe - Group 21

Y podemos comprobar que no nos deja interactuar correctamente con ningún archivo que tenga la

extensión .exe.



GROUP | “???”

MiNdWiDe - Group 22

Igualmente para los archivos con extensión mp3.



GROUP | “???”

MiNdWiDe - Group 23

Comprobar cómo se realizan las consultas desde el proxy

En el panel izquierdo nos posicionamos sobre Supervisión, seleccionamos la pestaña Secciones la

cual se encuentra en medio de la ventada de administración de ISA Server.

Seleccionamos la opción Editar Filtro.



GROUP | “???”

MiNdWiDe - Group 24

En esta ventana seleccionamos el Filtrado por Tipo de sesión, igual a Proxy web.

Damos clic sobre Agregar a la lista.



GROUP | “???”

MiNdWiDe - Group 25

E iniciamos la Consulta, empezamos entonces a navegar con los clientes.

Observamos que hay un cliente que está usando el servicio de proxy el cual es 172.16.1.1.

Esto nos permite ver todo lo relativo al tráfico que gestiona el proxy.



GROUP | “???”

MiNdWiDe - Group 26

Conclusiones

ISA server es un firewall de Microsoft, pero a demás de firewall es un proxy, soporta VPN y

tecnología de clusterización (array en terminilogía de Microsoft).

ISA Server es un firewall, proxy muy potente y funcional ya que se pueden agregar características

adicionales a las disponibles en su instalación por defecto.

Debemos decir que una vez se activa la funcionalidad de proxy caché, ISA Server actúa como proxy

transparente, salvo que configuremos los clientes para usar el proxy.

Su implementación es sencilla ya su configuración es basada en ventanas (GUI) y es fácil de

comprender para una persona que no tenga conocimientos avanzados, adicionalmente

disponemos de una amplia documentación en internet y principal mente en la web de su

fabricante Microsoft.

Podemos testear esta solución de Firewall gratis durante 180 días, lo cual nos permite el estudio

de su implementación a nivel de administración y operatividad para nuestro entorno de red.

Después de tener instalado ISA Server solo hay que seleccionar unas cuantas opciones para tener

simultáneamente un servidor proxy, ya que muchas opciones vienen configuradas por defecto.

Bibliografía

http://www.microsoft.com/spain/isaserver/prodinfo/whatis.mspx

http://www.tooltorials.com/

http://www.microsoft.com/spain/isaserver/prodinfo/whatis.mspx

http://www.tooltorials.com/Como_se_evalua_el_trafico_en_ISA_Server



GROUP | “???”

MiNdWiDe - Group 27

Gracias…

Juan Alejandro Bedoya

Jose De Arlex Dominguez

Neifer Erney Giraldo

Jhon Fredy Herrera

Yojan Leandro Usme

fase 3 isa sever 2006 proxy windows

Documents