Implementación de Firewall y Proxy en Windows server 2006

Jonathan Ramírez Osorio

Esteban Calle Pérez

Jeison Fernández Ibarra

José Arley Bran

Jonhatan Alejandro Isaza

Juan Sebastián Castro

Grupo: SHURF

Tutor: Fernando QuinteroTutor: Juan Camilo López

Administración de Redes y Computadores

SENA Centro de Servicios y Gestión Empresarial

2010

Página 1

Índice

Introducción………………………………………………………………………………………………………………. 3

Objetivos……………………………………………………………………………………………………………………. 4

Implementación de un FIREWALL………………………………………………………………………………. 5

Implementación de un Proxy………………………………………………………………………………………

Conclusiones………………………………………………………………………………………………………………

Página 2

INTRODUCCIÓN

A continuación se va a explicar cómo es el funcionamiento de un Firewall y un proxy y lo importante que es para las empresas implementar una solución de seguridad basada en ISA server 2006.

Página 3

Objetivos

Mostar como es la implementación de un Firewall y un proxy por medio de la aplicación ISA server 2003.

Dar a conocer la importancia que tiene para la seguridad de las empresas implementar un Firewall y un proxy.

Página 4

Implementación de un FIREWALL

¿Qué es un Firewall?

Un firewall o también llamado cortafuegos es un software el cual es el encargado de bloquear o permitir el acceso a los usuarios, los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos, se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets.

ISA server 2003

ISA Server es un Gateway integrado de seguridad perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rápido y seguro a las aplicaciones y los datos.

Características:

Publicación segura de aplicaciones

Acceso remoto seguro a las aplicaciones, datos y documentos desde cualquier ordenador o dispositivo.

Pre-autentica al usuario antes de que tenga acceso a cualquier servidor, autenticación avanzada (smartcards).

Capacidad para generar logs y emisión de reportes, de esta manera los intrusos son más fáciles de detectar.

Gateway de interconexión para redes locales.

Protección del acceso a Internet.

Página 5

Página 6

2. Configuración de las tarjetas de red

Agregamos en la maquina virtual donde vallamos a instalar el ISA server 2003 le instalamos tres tarjetas de red como se muestra a continuación

Eth0 - red externa - Bridged

Eth1 - red DMZ - Custom Vmnet3

Eth2 - red interna - Custom Vmnet3

“si tienes virtual Box los colocas la externa en modo puente, la DMZ y la interna en modo interno y escoges un nombre para tu red interna”

Seleccionamos Network Adapter “Adaptador de red” y le damos Next.

Esta opción nos permite escoger en qué modo queremos que quede las interfaces de red y las configuramos como explique en el punto anterior.

Página 7

Y repetimos este mismo paso hasta tener las 3 interfaces configuradas.

La configuración de la tarjeta de red de internet debe ser especial como se muestra a continuación.

En esta tarjeta de red deshabilitamos la opción Clientes para redes Microsoft y compartir impresoras y archivos para redes Microsoft, ya que esta interface va a estar pegada a la red externa.

Página 8

Y deshabilitamos el NetBIOS sobre TCP/IP

Las otras interfaces se dejan con su configuración por defecto.

3. Actualización de Microsoft Windows server 2003

Abrimos el internet Explorer-->herramientas-->Windows Update

Esperamos a que cargue la página de Microsoft y descargamos las actualizaciones.

Después de descargar las actualizaciones nos aparecerá el siguiente cuadro que el asistente para la instalación del service pack 2 y damos clic en siguiente.

Página 9

Aceptamos la licencia de instalación del service pack 2 y le damos siguiente.

En este cuadro de dialogo, nos muestra la ruta donde quedaran guardados los archivos del SP2 después de instalados, si queremos lo dejamos por defecto, de lo contrario le podemos cambiar la ruta y especificarle la que nosotros queramos.

Esperamos a que compruebe todo el sistema y en esta parte también se comprueba de que el serial del Windows server 2003 sea válida de lo contrario no les va permitir la actualización.

Página 10

Terminada la actualización damos clic en finalizar.

4. Instalación de ISA server 2003

Descargamos el software desde la página oficial de Windows el cual nos deja utilizar por 180 Días.

http://www.microsoft.com/downloads/details.aspx?familyid=84504cad-893b-4212-9ab2-999ad1d8fe68&displaylang=es&Hash=ODLJiWmcFsEXPxvOdPC1gstrCQweGgVA%2bqFg8aXyeI%2bq%2b3GRi9Kd5hEBJMX7kN29aJPMWbWP4HwAd%2fB%2bV06YgQ%3d%3d

Ejecutamos el instalador y nos abre esta pantalla en la cual vamos a seleccionar instalar ISA server 2006

Página 11

Esperamos a que se preparen los componentes principales para continuar con la instalación.

Empezamos con la instalación damos clic en siguiente.

Aceptamos la licencia del ISA server 2003 y le damos siguiente.

Página 12

En esta opción colocamos el nombre de usuario, la organización y el número de serie del producto y le damos siguiente.

Escogemos la opción de instalación típica para que instale las características principales, si escogemos personalizada nos la opción de ver lo que se va instalar y le damos siguiente.

Página 13

Ahora lo que vamos hacer es escoger el adaptador de nuestra red interna.

Seleccionamos el adaptador que en nuestro caso se llama LAN y el automáticamente nos coloca el direccionamiento desde la primera dirección hasta la última.

Página 14

Para que haya una mayor seguridad en el firewall es recomendable que todos los firewall de los equipos de los clientes estén actualizados, si tenemos firewall de equipos con versiones viejas de Windows es recomendable activar esta opción permitir conexiones de clientes firewall sin usar cifrado. Y damos siguiente.

Esta opción nos dice que estos servicios se van a reiniciar y cuales se van a deshabilitar durante la instalación.

Página 15

Ahora vamos a continuar con la instalación para ello damos clic en instalar.

Esperamos a que termine la instalación del Isa server 2006.

Terminada la instalación el ISA server 2006 nos instala 2 aplicaciones Administración del servidor ISA y el monitor de rendimiento del servidor ISA.

Página 16

Esta aplicación del monitor de rendimiento del servidor ISA nos sirve para ver cuántas conexiones se están haciendo, que conexiones están activas cuantas han sido rechazadas entre muchas otras.

La aplicación de Administración del servidor ISA es donde vamos a configurar las reglas del servidor de firewall.

Ahora lo que vamos hacer es agregar la red de la DMZ.

Vamos a la opción de configuración y damos clic derecho en Redes>nuevo>Red

Página 17

Nos abre este asistente en el cual vamos a colocar el nombre de la red que es DMZ, y le damos siguiente.

Escogemos que tipo de red es en nuestro caso es una Red perimetral, la seleccionamos y le damos siguiente.

Damos clic en Agregar nuevo adaptador.

Página 18

Y seleccionamos el adaptador de red que escogimos para la DMZ y le damos aceptar.

El nos coloca el direccionamiento automáticamente, y le damos siguiente para continuar.

Este es resumen del asistente para la nueva red y nos da el nombre de la red el tipo y el direccionamiento que va a llevar. Y le damos finalizar.

Página 19

Ahora vamos a empezar a configurar las Reglas del firewall.

Ahora vamos a crear nuestra primera regla de acceso para permitir la navegación desde la LAN hacia internet.

Ahora colocamos un nombre el cual va a identificar la regla que estamos configurando.

En esta opción vamos a escoger permitimos o denegamos en nuestro caso seleccionamos permitir y le damos siguiente.

Página 20

Ahora lo que vamos hacer es agregar el protocolo que vamos a permitir en este caso vamos a permitir que el servidor DNS

Y damos clic en aceptar y después en cerrar.

Y damos siguiente.

Página 21

Ahora vamos a escoger cual va hacer el origen de la regla de acceso, le damos clic en agregar.

Damos clic en nuevo y seleccionamos equipo.

“La selección de la regla la podemos crear partir de una red, desde un host especifico. O desde un rango IP determinado en nuestro caso como tenemos un servidor DNS vamos a permitir que ese servidor DNS pueda tener acceso a al externa”

Página 22

Ahora colocamos el nombre del servidor

y automáticamente nos muestra la dirección IP, Y damos clic en aceptar.

Y volvemos a dar clic en aceptar.

Página 23

“todos los equipos que agreguemos se muestran en la carpeta equipos”

Damos clic en aceptar y después en cerrar.

El origen es donde esta el servidor DNS ya que es el que nos va resolver los nombres desde la interna hacia la externa, y le damos siguiente.

Ahora vamos a escoger el destino para ello damos clic en agregar.

Página 24

Vamos a redes y seleccionamos la red externa y damos clic en aceptar y después en cerrar.

Damos clic en siguiente.

Esta opción nos va permitir si la regla aplica a todos los usuarios o solo a personal autorizado.

Página 25

“esto nos sirve al momento que vamos a denegar la navegación y solo se lo vamos a permitir a los encargados o los administradores”.

Damos clic en siguiente.

Esta pantalla nos muestra el resumen de la regla y de cómo va a quedar aplicada y nos dice que todo el trafico DNS de origen DX-DC-01 “nombre del servidor” conjunto de usuarios aceptados que son todos hacia la red externa que la permita, y damos clic en finalizar para la creación de la regla.

“Nota: Después de la creación de cada regla es indispensable que apliques los cambios porque si no los aplicas aunque tengas las reglas creadas no va a servir”.

Después de aplicada la regla damos clic en aceptar.

Página 26

Lo que vamos hacer ahora es configurar en el servidor DNS los reenviadores en mi caso yo utilice los reenviadores de OPENDNS.

“Al momento de hacer la prueba del DNS nos saco error porque no se había aplicado las reglas por eso es muy importante aplicar los cambios por cada regla que se hace”.

Página 27

Ahora hacemos las prueba con nslookup y haciendo ping como se muestra en la imagen.

Ahora vamos a permitir la navegación a todos los usuarios

Para ello vamos a las directivas de seguridad le damos clic derecho>nuevo>regla de acceso

Le damos el nombre que va a distinguir o identificar nuestra regla y le damos siguiente.

Página 28

Ahora le damos clic en permitir y damos clic en siguiente.

Ahora vamos a escoger los protocolos para la navegación.

Escogemos los protocolos HTTP,HTTPS y FTP damos aceptar después damos clic en cerrar.

Página 29

Después de seleccionados los protocolos damos clic en siguiente.

Ahora escogemos el origen de la regla que va hacer la interna, damos clic en agregar.

Seleccionamos la red Interna y damos clic en aceptar y después en cerrar.

Página 30

Damos clic en siguiente.

Ahora escogemos los orígenes de destino que es la externa, damos clic en agregar.

Ahora escogemos la red externa y le damos aceptar y después clic en cerrar.

Página 31

Damos clic en siguiente.

Esta opción nos va permitir si la regla aplica a todos los usuarios o solo a personal autorizado.

Este es el resumen de la regla que se configuro damos clic en finalizar.

Página 32

Damos clic en aplicar.

Después de aplicada la regla damos clic en aceptar.

“Nota: para las otras redes tato la DMZ y el server Firewall repetimos los mismos pasos”

Comprobamos y como vemos ya hay navegación en la red interna

Probamos la pagina web interna y como vemos la regla esta bien configurada.

Página 33

El servidor FTP podemos ver como responde a nuestra solicitud.

Vamos permitir el DHCP en todas las redes

Para ello vamos a Directiva de seguridad>clic derecho>Nuevo>regla de acceso.

Página 34

Le colocamos el nombre a la regla y le damos siguiente.

Damos clic en agregar.

Seleccionamos los protocolos del DHCP de petición y respuesta y damos clic en agregar y después clic en cerrar.

Página 35

Seleccionados los protocolos vamos a dar clic en siguiente.

Damos clic en agregar a para seleccionar el origen.

Seleccionamos la red externa la cual nos va a dar internet a la interface de la externa del servidor de ISA server 2006.

Ahora escogemos el destino y damos clic en agregar.

Página 36

Escogemos en la carpeta redes Host local que es la maquina local y demos clic en agregar y después en cerrar.

Nos muestra el resumen de la regla.

“para darle DHCP a las otras redes repetimos los mismos pasos anteriores lo único que cambia es el origen y el destino”

Página 37

Implementación de un proxy.

Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en lugar de otro ordenador. Un proxy es un punto intermedio entre un ordenador conectado a Internet y el servidor que está accediendo. Cuando navegamos a través de un proxy, nosotros en realidad no estamos accediendo directamente al servidor, sino que realizamos una solicitud sobre el proxy y es éste quien se conecta con el servidor que queremos acceder y nos devuelve el resultado de la solicitud.

Empezamos dando clic en configuración cache>clic derecho propiedades.

Ahora escogemos el tamaño de la cache en nuestro caso escogimos 100 MB y damos clic en Establecer.

Página 38

Aplicamos los cambios y después damos clic en aceptar.

Ahora vamos a redes y escogemos la regla que le da acceso a internet al servidor y damos clic derecho>propiedades.

Vamos a la pestaña de Proxy cache y colocamos el puerto por defecto del proxy que es el 3128 y damos clic en aceptar.

Página 39

Damos clic en aplicar y después de que apliquen todos los cambios le damos aceptar.

Ahora vamos a directivas de firewall y donde tenemos las reglas de navegación damos clic derecho>configurar HTTP.

Vamos a la pestaña de extensiones la cual nos permite denegar que aplicaciones o que extensiones de aplicaciones pueden descargar en la red, damos clic en agregar.

Página 40

Ahora escogemos que extensiones queremos permitir o bloquear. Y damos clic en aceptar.

Nos dirigimos a Directiva de FIREWALL a la regla de conjunto de direcciones URL>damos clic derecho>nuevo conjunto de direcciones URL.

En esta opción colocamos el nombre del conjunto>damos clic en agregar>y colocamos las dirección que queremos denegar y damos clic en aceptar.

Página 41

Ahora vamos a redes Encadenamiento de web>damos clic derecho propiedades.

Escogemos la opción Redirigiéndolas a un servidor especificado que procede en la cadena>damos clic en configuración.

Colocamos la dirección del servidor principal de proxy y el puerto y damos clic en aceptar.

Página 42

NOTA: Según la configuración del Proxy, esta denegado la descarga de archivos “mp3” y la vista en tamaño completo de imágenes “.jpg”, y dependiendo del usuario están denegadas o permitidas las direcciones URL especificadas.

Página 43

Conclusiones

Se logró hacer una buena implementación debido a la documentación tan completa que se encontró en internet.

Hubieron varios problemas los cuales con dedicación se lograron arreglar. Se obtuvo conocimiento con la herramienta ISA server 2006.

Página 44