Fase 3 ISA Sever 2006 Proxy Windows
-
Upload
jh0n-fredy-h -
Category
Documents
-
view
1.540 -
download
0
Transcript of Fase 3 ISA Sever 2006 Proxy Windows
Seguridad de la red
Implementación Del Plan De Seguridad De La Información
Fase 3 – Proxy HTTP Windows Server 2003
ISA Server 2006
GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME
ADMINISTRACION DE REDES INFORMATICAS
Mauricio Ortiz
CENTRO DE SERVICIO Y GESTION EMPRESARIAL
SENA (MEDELLIN)
2010
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 2
INDICE
Introducción ......................................................................................................................... 3
Objetivo ............................................................................................................................... 3
Tabla de direccionamiento .................................................................................................... 5
Proxy Http ............................................................................................................................ 6
Bloquear Sitios ......................................................................................................................................... 11
Bloquear Extensiones .............................................................................................................................. 17
Comprobar cómo se realizan las consultas desde el proxy ..................................................................... 23
Conclusiones ....................................................................................................................... 26
Bibliografía ......................................................................................................................... 26
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 3
Introducción
Un proxy hace referencia a un programa o dispositivo que realiza una acción en representación de
otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet
a todos los equipos de una organización cuando sólo se puede disponer de un único equipo
conectado, esto es, una única dirección IP.
El tipo de proxy que más se implementa en las organizaciones es el proxy http el cual permite
implementar un control estricto sobre el uso de internet a una entidad.
Objetivo
Realizar la instalación y configuración de un servidor proxy http en la plataforma Windows más
concretamente Microsoft Windows Server 2003 R2, Para llevar a cabo dicha tarea nos apoyaremos
en los aplicativos VMWare Workstation y el software para implementar el proxy http el cual será
ISA Server 2006, esto con el fin de aplicar políticas de seguridad que nos permitan tener un mejor
control sobre los contenidos a los que acceden los usuarios en la web.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 5
Tabla de direccionamiento
Dispositivo Interfaz Direccion IPMascara de
subred
Gateway
predeterminada
ISP Fa1/0 192.168.1.254 255.255.255.0 NO APLICABLE
VMNet2 172.16.1.254 255.255.255.0 NO APLICABLE
VMNet3 172.16.2.254 255.255.255.0 NO APLICABLE
Bridge 192.168.1.253 255.255.255.0 192.168.1.254
SVR-HTTP-01 NIC 172.16.2.253 255.255.255.0 172.16.2.254
CLIENTE-01 NIC 172.16.1.1 255.255.255.0 172.16.1.254
ISA-SERVER
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 6
Proxy Http
Antes de comenzar a realizar la configuración de nuestro servidor proxy queremos resaltar que ya
se tiene configurada la infraestructura de red, la cual se plasma en el apartado anterior “Topología
de Red”. Si se desea sabes cómo implementar esta topología le recomendamos que consulte el
documento “Fase_2_Actividad_Firewall_Windows_ISA_Server_2006.pdf” o visitar la URL:
http://jfherrera.wordpress.com/2010/09/11/isa-server-2006-firewall/ cuyo documento se
encuentra en la URL especificada.
Teniendo nuestro servidor ejecutándose y disponible la consola de administración de ISA Server
2006 nos dirigimos a el apartado Configuración del panel izquierdo opción Cache.
Esta sección nos permite configurar todo lo relacionado con el cache de nuestro servicio de proxy
en ISA Server 2006, debemos primero que todo especificar el tamaño que se asignara a él cache
del proxy.
El cache es una sección del servidor proxy la cual permite almacenar los sitios más solicitados por
parte de los clientes, obteniendo así una rápida respuesta de los sitos previamente solicitados por
otros clientes, esto también contribuye a un mejor aprovechamiento del ancho de banda.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 7
Damos doble clic sobre la opción resaltada en azul en el panel en medio.
A continuación nos ofrece una ventana y en la cual podemos especificar el tamaño que tendrá
nuestro cache.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 8
Especificamos el tamaño que tendrá y pulsamos sobre establecer.
Aplicamos los cambios y reiniciamos los servicios.
Posteriormente nos dirigimos a el apartado Configuración > Redes.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 9
En el panel den medio damos clic derecho sobre Interna, propiedades.
Realizando esta acción nos ofrece la ventana de propiedades de Interna.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 10
Seleccionamos la pestaña Proxy web, comprobamos que el check box de Habilitar HTTP: este
seleccionado y configuramos la opción Puerto HTTP: a nuestro gusto. Finalmente damos en OK ya
que no vamos a configurar autenticación para los clientes de nuestro servidor proxy.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 11
Bloquear Sitios
Negaremos el acceso a ciertos sitios web, para realizar esta tarea en el panel izquierdo nos
posicionamos en Directivas de Firewall, estando posicionados visualizamos el panel derecho y
seleccionamos la pestana Herramientas.
Teniendo seleccionada Objetos de Red, damos clic derecho sobre la carpeta Conjunto de
direcciones URL.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 12
Seleccionamos Nuevo conjunto de direcciones URL.
En la ventana que nos levanta agregaremos las URL que vamos a denegar.
Como podemos observar podemos utilizar comodines, pulsamos en aceptar.
Vamos a asociar estos sitios que no se permitirán a una nueva regla de acceso.
Damos clic derecho sobre Directivas de Firewall > New, Regla de acceso.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 13
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 14
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 15
Muy bien en esta serie de imágenes creamos una nueva regla de acceso con el nombre DenySites,
la regla se aplicara a protocolos seleccionados, el origen de ese tráfico saliente será Interna, hacia
los sitios listados en DenySites, aplicamos los cambios a los servicios.
Observamos nuestra nueva regla de acceso resaltada en azul y de primero en el orden, esto es
muy importante.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 16
Configuramos nuestro cliente.
Y observamos que al tratar de accesar a un sitio que no se permite nos saca el mensaje de acceso a
redes.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 17
Bloquear Extensiones
Bloquearemos cierto tipo de archivos, lo realizaremos creando una nueva regla de acceso.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 18
En esta serie de imágenes creamos la regla de acceso para todo el origen de la red interna, si se
requieren los protocolos HTTP y HTTPS hacia cualquier destino.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 19
Teniendo nuestra regla creada damos clic derecho sobre ella y pulsamos sobre la opción
Configurar HTTP.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 20
En la ventana que nos levanta seleccionamos la pestaña Extensiones y la opción Bloquear
extensiones especificadas. En este apartado agregaremos las extensiones que nos interese
bloquear para los clientes web.
Pulsamos en OK y aplicamos los cambios a los servicios.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 21
Y podemos comprobar que no nos deja interactuar correctamente con ningún archivo que tenga la
extensión .exe.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 22
Igualmente para los archivos con extensión mp3.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 23
Comprobar cómo se realizan las consultas desde el proxy
En el panel izquierdo nos posicionamos sobre Supervisión, seleccionamos la pestaña Secciones la
cual se encuentra en medio de la ventada de administración de ISA Server.
Seleccionamos la opción Editar Filtro.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 24
En esta ventana seleccionamos el Filtrado por Tipo de sesión, igual a Proxy web.
Damos clic sobre Agregar a la lista.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 25
E iniciamos la Consulta, empezamos entonces a navegar con los clientes.
Observamos que hay un cliente que está usando el servicio de proxy el cual es 172.16.1.1.
Esto nos permite ver todo lo relativo al tráfico que gestiona el proxy.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 26
Conclusiones
ISA server es un firewall de Microsoft, pero a demás de firewall es un proxy, soporta VPN y
tecnología de clusterización (array en terminilogía de Microsoft).
ISA Server es un firewall, proxy muy potente y funcional ya que se pueden agregar características
adicionales a las disponibles en su instalación por defecto.
Debemos decir que una vez se activa la funcionalidad de proxy caché, ISA Server actúa como proxy
transparente, salvo que configuremos los clientes para usar el proxy.
Su implementación es sencilla ya su configuración es basada en ventanas (GUI) y es fácil de
comprender para una persona que no tenga conocimientos avanzados, adicionalmente
disponemos de una amplia documentación en internet y principal mente en la web de su
fabricante Microsoft.
Podemos testear esta solución de Firewall gratis durante 180 días, lo cual nos permite el estudio
de su implementación a nivel de administración y operatividad para nuestro entorno de red.
Después de tener instalado ISA Server solo hay que seleccionar unas cuantas opciones para tener
simultáneamente un servidor proxy, ya que muchas opciones vienen configuradas por defecto.
Bibliografía
http://www.microsoft.com/spain/isaserver/prodinfo/whatis.mspx
http://www.tooltorials.com/
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Implementación Del Plan De Seguridad De La Información
GROUP | “???”
MiNdWiDe - Group 27
Gracias…
Juan Alejandro Bedoya
Jose De Arlex Dominguez
Neifer Erney Giraldo
Jhon Fredy Herrera
Yojan Leandro Usme