Embed Size (px)
Citation preview
Unidad 1: Introducción a ISA 2004
Cap 1. Nuevas funcionalidadesa. Asistentes para configuraciones b. Asistentes de topología de redc. Mejoras en VPNd. Bloqueo de contenidoe. Mejoras en cachingf. Redirección de puertos en publicación de Serverg. Mejoras en Reportes y monitoreo
Cap 2. Requerimientosa. Evaluando entornob. Requisitos de Hardwarec. Requisitos de Software
Cap 3. Deploy de ISA 2004.a. Instalar ISA Server 2004b. Laboratorio Práactico Deploy ISA 2004
Cap 4. Configuración de acceso a internet para la red corporativa.a. Revisar la política de Sistemab. Configuración de Access Policyc. Laboratorio Práctico Configurando Access Policy
1
ISA Server 2004 SE permite aumentar los niveles de seguridad de las aplicaciones Microsoft mediante una arquitectura de seguridad mejorada, con filtrado de nivel de aplicación, funcionalidades VPN totalmente integradas con la plataforma, y sistemas de autentificación completos y flexibles, como RSA SecurID y RADIUS.Entre las nuevas características se encuentran: soporte para arquitecturas de red muy diversas, plantillas de red mejorada y asistentes automatizados; un editor de políticas con interfaz gráfica robusto y un entorno amigable de funciones para la solución de problemas. ISA Server 2004 SE también aporta notables avances en el capítulo del rendimiento y permite una mejora sensible de velocidad en el uso de filtros de nivel de aplicación, para aquellos casos en que se pueda necesitar protección de nivel de aplicación adicional para Microsoft Exchange Server, IIS, SharePoint u otras aplicaciones.ISA Server 2004 está optimizada para un amplio sector de clientes, desde pequeñas empresas que solamente requieren un producto sencillo pero integrado de seguridad perimetral, a grandes corporaciones que necesitan los máximos niveles de protección. Antes de comenzar, haremos algunas precisiones importantes:
Se trata de una versión Beta, no debe instalarse en un entorno de producción. ISA Server 2004 se puede instalar sobre Windows 2000 y Windows Server
2003 ISA Server 2004 aplica políticas de firewall sobre todos los interfaces, por lo
que su modo de trabajo es distinto a como era con ISA Server 2000 Tras instalar ISA Server 2004, conviene dedicar un rato a conocer la nueva
interfaz de usuario.
2
1. Nuevas funcionalidades
ISA Server 2004 incluye numerosas características y mejoras, particularmente cuando se instala en un sistema donde se ejecuta Windows Server 2003. Por ejemplo: Una interfaz de usuario nueva y simplificada Compatibilidad con varias redes Compatibilidad mejorada con VPN Capacidades de cuarentena VPN Capacidad para crear grupos de usuarios personalizados de servidor de seguridad Una mayor compatibilidad con protocolos Definiciones personalizadas de protocolos OWA Publishing Wizard Compatibilidad mejorada con la directiva para cargar y descargar en FTP Una publicación en Web mejorada Redirección de puertos con reglas de publicación en servidores Reglas de caché mejoradas para el almacenamiento centralizado de objetos Asignación de rutas para las reglas de publicación en Web Compatibilidad con RADIUS para la autenticación de clientes proxy Web Delegación de la autenticación básica Autenticación de identificadores seguros Formularios generados por los servidores de seguridad (autenticación basada en formularios) Un filtro de mensajes SMTP mejorado Un filtrado HTTP mejorado Traducción de vínculos Mayores capacidades de supervisión y elaboración de informes
3
a. Asistentes para configuraciones
ISA Server 2004 incorpora un nuevo conjunto de asistentes que hacen más fácil que nunca la creación de políticas de acceso. Las políticas de acceso saliente antes, en ISA Server 2000, necesitaban Filtros de paquetes IP, reglas asociadas a sitios, contenidos y protocolos. Las políticas de acceso de ISA Server 2004 pueden crearse mediante un asistente de creación de reglas de firewall avanzado que permite configurar cualquier elemento de política necesario sobre la marcha. No necesita salir del asistente de creación de reglas para crear un objeto de red, y cualquier objeto de red o relación puede crearse dentro del nuevo asistente.
4
b. Asistentes de topología de red
ISA Server 2004 proporciona cinco plantillas de red correspondientes a topologías de red comunes. Los administradores las pueden utilizar para configurar fácil y automáticamente las relaciones de enrutamiento y las políticas de firewall para el tráfico entre redes externas, internas, de VPN y de DMZ.
5
c. Mejoras en VPN
Administración VPN:ISA Server incluye mecanismos mucho más integrados de red privada virtual, basados en la funcionalidad de Windows Server 2003. Inspección dinámica del contenido en VPN:Los clientes de redes privadas virtuales (VPN) se configuran como una red independiente. Por consiguiente, se pueden crear políticas diferentes para ellos. El motor de reglas valida de forma distinta las peticiones de clientes VPN, inspeccionando el contenido de estas peticiones y abriendo dinámicamente las conexiones, a partir de la aplicación de las políticas de acceso. Soporte de cliente SecureNAT para clientes VPN conectados al servidor VPN de ISA Server 2004:En ISA Server 2000, únicamente los clientes VPN configurados como clientes de firewall podían acceder a Internet a través del servidor VPN ISA Server 2000. ISA Server 2004 amplía el soporte de cliente VPN permitiendo a clientes SecureNAT el acceso a Internet sin tener el cliente de firewall instalado en la máquina. Además se puede mejorar la seguridad de la red corporativa aplicando la política de firewall basada en usuarios/grupos a los clientes VPN SecureNAT. Filtrado e inspección dinámica de contenido para comunicaciones a través de un túnel VPN intersite:ISA Server 2004 introduce la inspección y filtrado de contenido para todas las comunicaciones que se establecen a través de una conexión VPN entre redes. Esto permite controlar a qué recursos pueden acceder qué máquinas o redes en el extremo opuesto del enlace. Las políticas de acceso basadas en usuario/grupo se
6
pueden aplicar para obtener un control granular sobre el uso de recursos a través del enlace. Cuarentena VPN:ISA Server 2004 potencia la funcionalidad de cuarentena VPN de Windows Server 2003. La cuarentena VPN permite ubicar los clientes VPN en una red separada hasta comprobar que cumplen una serie de requisitos de seguridad. Los clientes VPN que superan los test de seguridad quedan admitidos para acceder a la red de acuerdo con las políticas de cliente de firewall VPN. Los clientes VPN que no superan los test de seguridad solamente disponen de acceso limitado a los servidores que les permitirán cumplir con los requisitos de seguridad.
d. Bloqueo de contenido
Filtro HTTP basado en reglas:La política HTTP de ISA Server 2004 permite al firewall realizar una inspección profunda del contenido HTTP (filtro de nivel de aplicación). La amplitud de esta inspección se configura mediante reglas. Esto posibilita configurar restricciones específicas para el acceso HTTP entrante y saliente. Bloqueo de acceso a todo contenido ejecutable:Se puede configurar una política HTTP en ISA Server 2004 para bloquear todo intento de conexión para transferir contenido ejecutable bajo Windows, independientemente de la extensión del archivo utilizado en el recurso. Control de descargas HTTP mediante extensión de archivo:
7
La política HTTP de ISA Server 2004 posibilita permitir todas las extensiones de archivo excepto un grupo concreto de extensiones, o bloquear todas las extensiones excepto un grupo determinado.
El filtro HTTP se aplica a todas las conexiones cliente de ISA Server 2004:ISA Server 2000 podía bloquear el contenido para conexiones HTTP y FTP a sus clientes Web Proxy mediante MIME Enter (para HTTP) o por extensión de archivo (para FTP). La política de HTTP de ISA Server 2004 permite el control de acceso HTTP para todas las conexiones de cliente de ISA Server 2004. Control de acceso HTTP basado en “firmas HTTP” La inspección en profundidad de HTTP de ISA Server 2004 permite crear “firmas HTTP” que se pueden comparar contra la URL Solicitada, cabeceras solicitadas, cuerpo solicitado, cabeceras de respuestas y cuerpo de respuesta. Esto permite un control muy preciso de a qué contenido pueden acceder los usuarios internos y externos a través del firewall ISA Server 2004. Control de métodos HTTP permitidos:Se puede controlar cuáles métodos HTTP están permitidos a través del firewall mediante la aplicación de controles de acceso para restringir el acceso a usuarios a diversos métodos. Por ejemplo, se puede limitar el uso del método HTTP POST para impedir a los usuarios el envío de datos a sitios Web. Conexiones Exchange RPC seguras obligatorias desde clientes Outlook MAPI:Las reglas de publicación de Servidor Exchange Seguro que incluye ISA Server 2004 permiten a los usuarios remotos conectarse a Exchange utilizando plenamente las funcionalidades del cliente MAPI Outlook sobre Internet. Sin embargo, el cliente Outlook debe configurarse para utilizar RPC seguro, y forzar el cifrado de la conexión. La política RPC de ISA Server 2004 permite bloquear todas las conexiones no cifradas de cliente MAPI Outlook. Política FTP:La política FTP de ISA Server 2004 se puede configurar para admitir descargas desde o hacia la red corporativa utilizando FTP, o bien limitando el acceso de los usuarios a descargas FTP en sentido entrante. Traductor de enlaces:Algunos sitios Web publicados pueden incluir referencias a nombres de máquina internos. Puesto que solamente se admiten que el firewall ISA Server 2004 y el espacio de nombres externo, y nunca el espacio de nombres interno, queden disponibles para clientes externos, estas referencias aparecerán como enlaces rotos. ISA Server 2004 incorpora un traductor de vínculos que permite crear un diccionario de definiciones de nombres de máquinas internas mapeados a nombres públicos disponibles desde el exterior. Control granular sobre opciones IP:El sistema de prevención de ataques de ISA Server 2000 permitía el bloqueo de todas las opciones IP. Sin embargo, en algunas ocasiones puede ser necesario habilitar algunas opciones IP para tareas de gestión de la red y resolución de problemas. ISA Server 2004 permite configurar opciones IP de forma más granular y permitir únicamente aquellas opciones IP que se necesitan, bloqueando las demás.
8
e. Mejoras en caching
Cache de Web de alto rendimiento:Para los clientes internos que acceden a servidores Web de Internet, se acelera el rendimiento, así como el de los usuarios externos que acceden a contenidos de servidores Web corporativos. ISA Server 2004 realiza un cache en RAM rápido y un cache a disco optimizado para proporcionar el mejor rendimiento posible en la navegación Web. Cache inteligente: Los usuarios reciben el contenido Web más reciente gracias al proceso de cache proactivo de los objetos más frecuentemente accedidos. ISA Server 2004 determina de forma automática qué sitios Web son los más utilizados y con qué frecuencia debe refrescarse su contenido basándose en el tiempo que el objeto ha permanecido en la cache o el momento en el que el objeto se cargó por última vez. ISA Server 2004 puede precargar contenido Web en la cache en momentos de baja actividad, sin intervención del administrador de la red. Aparte esto, el cache Web de ISA Server 2004 puede precargar contenido offline almacenado en CD o DVD. Cache planificado: La cache se puede precargar con contenidos de sitios Web completos siguiendo una planificación temporal. Las descargas planificadas garantizan el acceso al contenido más actual para todos los usuarios, y les permite el acceso a contenido Web en sistemas fuera de servicio. Cache jerárquico: ISA Server 2004 amplía aún más los beneficios del cache Web permitiendo configurar una jerarquía de cache, encadenando matrices de máquinas basadas en ISA Server 2004, de modo que los clientes pueden acceder al cache más próximo. Este es un escenario bien conocido de configuración de redes de oficinas.
9
f. Redirección de puertos en publicación de Server
Redirección de puertos para reglas de publicación de servidores: Las reglas de publicación de servidores de ISA Server 2000 redirigían las conexiones entrantes a un servidor de publicación en el mismo puerto que el indicado en la petición original. ISA Server 2004 permite recibir una conexión en un número de puerto y redirigir la petición a un número de puerto distinto en el servidor publicado.Esta característica conocida también como PAT (Port Address Redirection) permite publicar varios servicios internos en diferentes puertos externos sin necesidad de modificar el puerto interno del sevicio. Por Ejemplo usted podria publicar dos Terminal Services en su puerto por defecto 3389 a la misma IP publica en dos puertos diferentes ej: 3389 y 3390.
10
g. Mejoras en Reportes y monitoreo
Monitorización e informes en tiempo real:ISA Server 2004 permite ver logs de firewall, Proxy Web y Delimitador de Mensajes SMTP en tiempo real. La consola de monitorización muestra las entradas del log a medida que se van grabando en el archivo de log del firewall. Facilidades de consulta al log incorporadas:Es posible lanzar consultas a los archivos de log utilizando las facilidades de consultas a log incorporadas. Pueden consultarse los logs para obtener información de cualquiera de los campos que contienen. Se puede limitar el alcance de las consultas a un marco temporal concreto. Los resultados aparecen en la consola de ISA Server 2004 y pueden copiarse al portapapeles y pegarse en otra aplicación para realizar análisis más detallados. Monitorización y filtrado en tiempo real de las sesiones de firewall:ISA Server 2004 permite ver todas las conexiones activas en el firewall. En la vista de una sesión se pueden ordenar o desconectar sesiones individuales o grupos de ellas. Además se pueden filtrar las entradas en la interfaz de sesión para centrarse en las sesiones de interés utilizando la facilidad de filtrado de sesiones incorporada. Verificadores de conexión:Se puede verificar la conectividad monitorizando regularmente las conexiones a máquinas o URL concretas desde una máquina ISA Server 2004 usando los Verificadores de Conexión. Se puede seleccionar el método a emplear para comprobar la conectividad: ping, TCP, conexión a un puerto o HTTP GET. Se puede
11
seleccionar la conexión a monitorizar especificando una dirección IP, un nombre de máquina o URL. Personalización de informes de ISA Server 2004:ISA Server 2000 permitía una personalización limitada de los informes generados por el firewall. ISA Server 2004 incorpora una funcionalidad mejorada de personalización de informes que permite incluir más información en los reports del firewall. Publicación de informes:Los trabajos de informes de ISA Server 2004 se pueden configurar para guardar automáticamente una copia del report en una carpeta local o compartida en otra máquina. Esta carpeta o recurso compartido se puede mapear a un directorio virtual de un sitio Web, de modo que otros usuarios pueden leer el informe. Se pueden publicar manualmente los informes que no se han configurado para su publicación automática después de generarse. Notificación por e-mail tras la creación de un informe:Se puede configurar un trabajo de informe para que envíe un mensaje por correo electrónico una vez completado el trabajo de generación del informe. Ventana de tiempo personalizable para la creación de resúmenes del log ISA Server 2000 incluía en su programación la creación de resúmenes de log a las 12:30 AM. Los informes se basaban en la información contenida en los resúmenes de log. ISA Server 2004 permite modificar fácilmente el momento de creación de estos resúmenes de log, ofreciendo una gran flexibilidad a la hora de definir el momento de creación de los informes. Log mejorado en SQL:Se pueden volcar los logs a una base de datos SQL emplazada en otra máquina dentro de la red interna. El log de ISA Server 2004 sobre SQL ha sido optimizado para obtener un rendimiento muy superior en comparación con el log a SQL que ofrecía ISA Server 2000. Log en una base de datos MSDE:Los logs se pueden almacenar ahora también en formato MSDE. La grabación de registros de log en una base de datos local mejora la velocidad de respuesta en las consultas y la flexibilidad.
2. Requerimientos a. Evaluando entorno
ISA Server 2004 resulta muy valiosa para los administradores de tecnologías de la información, administradores de red y profesionales de seguridad de la información preocupados por la seguridad, el rendimiento, la facilidad de administración y los costos operativos de las redes de las que se ocupan. Resulta igualmente ventajoso para las organizaciones de tamaño pequeño, mediano o grande. En las secciones siguientes se describen algunos de los escenarios de red en los que se puede emplear ISA Server 2004.Consiga de forma segura y sencilla que el correo electrónico esté a disposición de los usuarios que trabajan fuera de la red
12
ISA Server 2004 ofrece un grado único de protección para los sitios Web OWA. Gracias a la interfaz de ISA Server 2004, fácil de utilizar, las organizaciones pueden configurar con rapidez una regla de publicación en Web que exija una autenticación segura basada en formularios. ISA Server 2004 también impide los ataques contra servidores de correo electrónico, ya sea a través del descifrado Secure Sockets Layer (SSL), que permite que el tráfico SSL sea inspeccionado en busca de código peligroso, o gracias al filtrado HTTP, que hace posible la inspección minuciosa del contenido de las aplicaciones. Además, ISA Server 2004 usa una autenticación previa para impedir los inicios de sesión de usuarios anónimos, que constituyen un método de ataque clave en servidores internos.ISA Server 2004 aprovecha la autenticación existente, en la que intervienen varios factores, y proporciona un sistema de autenticación tanto en el caso de que el correo remoto emplee RADIUS (Remote Authentication Dial-In User Service) como si utiliza RSA SecurID. De este modo, ISA Server 2004 le ayuda a impedir que las solicitudes anónimas, potencialmente peligrosas, lleguen a Microsoft Exchange Server. Una protección adicional se deriva de las capacidades de tiempo de espera de sesión y bloqueo de archivos adjuntos que ISA Server 2004 proporciona, con lo que se impide que las sesiones de correo electrónico de los usuarios se queden abiertas indefinidamente para que otros las usen.La figura 1 ilustra el modo en que ISA Server 2004 contribuye a proteger el acceso al correo electrónico para los usuarios que trabajan fuera de la red corporativa.
Figura 1. ISA Server 2004 permite poner el correo electrónico a disposición de usuarios fuera de la red corporativa de forma fácil y segura
Proporcione la información de la intranet a través de Internet de un modo sencillo y seguroGracias a la publicación en Web y en los servidores, ISA Server 2004 hace posible que las aplicaciones de una intranet publiquen información a través de Internet de una forma segura. Los asistentes integrados para publicación en servidores y en Web automatizan las operaciones comunes y reducen el riesgo de que se produzcan errores en la configuración. Además, la funcionalidad de traducción de vínculos de ISA Server 2004 permite la traducción inteligente de vínculos internos en sitios accesibles públicamente. ISA Server 2004 también puede inspeccionar el tráfico para comprobar su legitimidad, exigir el uso de direcciones URL válidas y realizar una autenticación previa de los usuarios a través de las estructuras de autenticación existentes, de modo que pueda impedir que las solicitudes anónimas potencialmente peligrosas lleguen a los servidores de publicación. La figura 2 ilustra el modo en que
13
ISA Server 2004 puede ayudarle a proteger la red corporativa al tiempo que consigue que la información de la intranet esté disponible a través de Internet.
Figura 2. ISA Server 2004 permite publicar la información de la intranet de forma segura y sencilla a través de Internet
Permita que sus partners tengan acceso a la información relevante de la red corporativa de un modo seguroGracias a la capacidad de VPN integrada en ISA Server 2004, puede conectar con seguridad a sus asociados comerciales (partners) a la red corporativa mientras limita su acceso a servidores y aplicaciones específicos. ISA Server 2004 cifra todo el tráfico entre el partner y la red corporativa, garantizando la confidencialidad e impidiendo que los datos sean modificados. Además, los servidores del extremo de la red privada virtual se autentican entre sí y, una vez autenticados, ISA Server 2004 aplica directivas de enrutamiento y acceso que limitan el modo en que los partners pueden recorrer la red corporativa. También puede usar ISA Server 2004 para aplicar reglas estrictas de filtrado de aplicaciones que ayudarán a proteger la red corporativa frente a ataques avanzados del nivel de aplicación. La figura 3 muestra la forma en que ISA Server puede proteger la red corporativa al tiempo que permite que la información relevante siga estando disponible para sus partners.
14
Figura 3. Con ISA Server 2004, puede proporcionar a sus partners un acceso seguro a la información corporativa relevante
Proporcione un acceso remoto seguro y flexible a los usuarios mientras contribuye a proteger la red corporativa del tráfico perjudicialA través del filtrado avanzado del nivel de aplicación, que permite inspeccionar y analizar el tráfico con el fin de impedir el paso de gusanos y virus, ISA Server 2004 puede ayudar a proteger una red corporativa de los equipos remotos no administrados que tienen acceso a ella a través de una VPN. También puede utilizar ISA Server para asignar directivas flexibles de red a los grupos y usuarios de VPN, permitiéndoles tener acceso únicamente a servidores y aplicaciones específicos. Para conseguir una seguridad avanzada, ISA Server 2004 puede poner en cuarentena a los clientes que no cumplan las directivas corporativas preconfiguradas en relación a la instalación de actualizaciones de software, software antivirus u otras configuraciones específicas para los equipos. La figura 4 muestra el modo en que ISA Server ayuda a proteger la red corporativa al tiempo que proporciona acceso remoto a los usuarios de la empresa.
15
Figura 4. ISA Server 2004 permite proporcionar a los usuarios un acceso remoto seguro y flexible a la red corporativa mientras contribuye a proteger la red del tráfico peligroso
Permita que las sucursales se comuniquen con la oficina principal a través de Internet con seguridad Una puerta de enlace VPN de ISA Server 2004 se usa para que los administradores unan redes enteras a través de vínculos entre sitios VPN, por ejemplo, conectando las sucursales y la oficina principal entre sí. La característica de enrutador VPN en el modo de túnel de Seguridad de Protocolo Internet (IPSec) incluida en ISA Server 2004 permite que los administradores del servidor de seguridad establezcan controles estrictos de acceso, por ejemplo, específicos del nivel de aplicación, usuario, grupo, sitio, equipo y protocolo sobre el tráfico que pasa por el vínculo entre los sitios. Con estos controles implantados, los usuarios de la red local pueden tener acceso únicamente al contenido permitido en la red remota y los usuarios de ésta sólo pueden tener acceso a los recursos designados de la red local. La figura 5 ilustra el modo en que ISA Server ayuda a proteger las conexiones entre las sucursales y la oficina principal.
16
Figura 5. ISA Server 2004 ayuda a proteger las conexiones entre las sucursales y la oficina principal
Controle el acceso a Internet y proteja a los clientes del tráfico peligroso en Internet Con ISA Server 2004, puede controlar y aplicar fácilmente directivas de acceso en Internet destinadas a grupos de usuarios, además de protegerles del tráfico peligroso de Internet. Las flexibles directivas de servidor de seguridad tienen en cuenta tanto el bloqueo de sitios Web como el filtrado de contenido, en ambos casos para mejorar la productividad de los usuarios y bloquear el contenido inapropiado. ISA Server 2004 también se puede integrar con Active Directory, con lo que se permite la creación de controles de acceso personalizados para diferentes funciones organizativas y tipos de trabajo.Además, el filtrado de aplicaciones en ISA Server 2004 posibilita la mejora de la confiabilidad del entorno al proteger los equipos de escritorio y los servidores de ataques avanzados. Por ejemplo, el filtrado HTTP avanzado puede impedir el uso de las aplicaciones incrustadas, por ejemplo, las aplicaciones comunes de mensajería instantánea y de elementos del mismo nivel. El filtrado del tráfico en ISA Server 2004 también frustra muchas formas comunes de ataque al impedir el acceso desde el exterior a los clientes internos, comprobar la validez del tráfico entrante de replicación y confirmar que los complementos de terceros no contienen gusanos ni virus. La figura 6 ilustra el modo en que ISA Server controla el acceso a Internet y ayuda a proteger a los clientes frente al tráfico peligroso en Internet.
Figura 6. ISA Server 2004 controla el tráfico en Internet y ayuda a proteger a los clientes del tráfico peligroso
Garantice un acceso rápido al contenido Web que más se usaLas capacidades de almacenamiento en caché de ISA Server 2004 garantizan un acceso rápido al contenido Web más usado. Con el almacenamiento en caché y la característica de recuperación previa, ISA Server 2004 puede aprender patrones de tráfico Web y descargar automáticamente los sitios Web que se suelen solicitar para que estén disponibles en seguida. ISA Server también puede enrutar las solicitudes específicas para los servidores de almacenamiento en caché que preceden en la cadena si la caché de los que siguen en la cadena está llena. Las figuras 7 y 8 muestran cómo usa ISA Server sus capacidades de almacenamiento en caché con
17
servidores estructurados en cadena para proporcionar un acceso rápido al contenido Web más utilizado.
Figura 7. El almacenamiento en caché en los servidores que siguen en la cadena proporciona un acceso rápido a contenido Web popular
Figura 8. El almacenamiento en caché en los servidores que preceden en la cadena está disponible cuando las cachés de los servidores que siguen en la cadena se llenan
18
b. Requisitos de Hardware
Para usar Internet Security and Acceleration (ISA) Server 2004 Standard Edition, necesita un sistema con la siguiente configuración, como mínimo: Requisitos mínimos
Procesador Pentium III a 550 MHz o superior (ISA Server 2004 Standard Edition admite hasta cuatro CPU en un servidor)
Memoria 256 MB de RAM o más (se recomienda)
Disco duro Partición local con formato NTFS y 150 MB de espacio disponible en el disco duro; se requiere espacio adicional para el contenido de la caché Web
Otros dispositivos Adaptador de red compatible con el sistema operativo del equipo para comunicarse con la red interna; un adaptador de red adicional, módem o adaptador RDSI (ISDN) para cada red adicional conectada al equipo ISA Server
Unidad de CD-ROM o DVD-ROM
Monitor VGA o de resolución superior
Teclado y Microsoft Mouse o dispositivo señalador compatible
19
c. Requisitos de Software
Requisitos mínimos
Sistema operativo Microsoft Windows 2000 Server o Advanced Server con Service Pack 4 o una versión posterior; Windows 2000 Datacenter Server o Windows Server 2003 Standard Edition o Enterprise Edition
Notas: Si instala ISA Server 2004 Standard Edition en un sistema operativo Windows 2000 Server, debe instalar lo siguiente: Service Pack 4 de Windows 2000 o una versión posterior, e Internet Explorer 6 o una versión posterior. Si usa la versión Windows 2000 Server o Advanced Server con Service Pack 4, debe instalar el hotfix especificado en el artículo 821887 de Microsoft Knowledge Base.
3. Deploy de ISA 2004. a. Instalar ISA Server 2004
El siguiente paso consiste en instalar el software de ISA Server 2004. La instalación es un proceso relativamente simple, pero iremos siguiendo en detalle cada paso para asegurarnos de que entiende adecuadamente todo cuanto sucede.
20
Siga estos pasos para instalar el software de ISA Server 2004 en una máquina Windows Server 2003 con dos tarjetas de red: 1. Obtenga su CD-Rom de ISA Server 2004 Standard Edition, introduzca el CD, si su
PC no tiene Autoplay haga doble click sobre el archivo isaautorun.exe.2. En la página Microsoft Internet Security and Acceleration Server 2004
Setup haga click sobre el vínculo Review Release Notes y lea las notas de versión. Este documento no es muy largo y contiene información útil sobre las características que funcionan y las que no, así como consejos interesantes para saber cómo acceder a Internet desde la propia máquina del firewall ISA Server 2004. Una vez leídas las notas de versión, haga click sobre Read Setup and Feature Guide. No es preciso leerse toda la guía ahora, pero recomendamos que la imprima para leerla después. Finalmente, haga click sobre el vínculo Install ISA Server 2004.
3. Pulse Next en la página Welcome to the Installation Wizard for Microsoft ISA Server 2004 Beta 2.
4. Seleccione la opción I accept the terms in the license agreement en la página License Agreement y pulse Next.
5. En la página Customer Information, introduzca su nombre y el de su organización en los cuadros de texto User Name y Organization. El Product Serial Number se genera automáticamente. Pulse Next.
6. En la página Setup Type, seleccione la opción Custom. Si no quiere instalar el software de ISA Server 2004 en el disco C:, pulse el botón Change para modificar la ubicación de los archivos de programa en el disco duro. Pulse Next.
7. En la página Custom Setup puede elegir los componentes a instalar. Por defecto, se
instalan Firewall Services, ISA Server Management y Firewall Client Installation
21
Share. El componente Message Screener, utilizado para controlar el paso de spam y archivos adjuntos de correo desde o hacia Internet, no se instala por defecto. Necesitará instalar el servicio SMTP de IIS 6.0 en el firewall ISA Server 2004 antes de instalar el Message Screener. En el futuro editaré algunos artículos sobre cómo instalar el Message Screener en el firewall ISA Server 2004 para controlar el flujo entrante y saliente de spam y archivos adjuntos en mensajes de correo. Acepte los valores por defecto y pulse Next.
8. En la página Internal Network, pulse el botón Add. El concepto de red interna es
diferente a como ISA Server 2000 utilizaba la LAT. En el caso de ISA Server 2004, la red interna contiene servicios de red de confianza con los cuales el firewall ISA Server 2004 debe comunicarse. Por ejemplo, los controladores de dominio del Directorio Activo, DNS, DHCP, clientes de servicios de terminal y otros. La Política de Sistema del firewall se aplica automáticamente a la red interna.
22
9. En la página de configuración de Internal Network, pulse el botón Configure
Internal Network.
23
10. En el cuadro de diálogo Configure Internal Network, borre las marcas de selección de Add the following private ranges… Mantenga seleccionada la opción Add address ranges based on the Windows Routing Table. Marque en el cuadro de selección junto a la tarjeta de red conectada a la red interna y pulse OK.
11. Pulse OK en el cuadro de diálogo que informa de que se ha definido una red interna basándose en la tabla de rutas de Windows.
24
12. Pulse OK en la lista de rangos de direcciones de la red interna.
13. Pulse Next en la página Internal Network.
25
14. Pulse Install en la página Ready to Install the Program.15. En la página Installation Wizard Completed, marque la opción Invoke ISA Server
Management when Wizard closes y después, pulse Finish.
26
16. Se abre la consola de administración de Microsoft Internet Security and Acceleration
Server 2004. Por defecto el usuario es dirigido hacia el nodo superior en el panel de la izquierda. Nótese que la consola de ISA Server 2004 necesita algo más de espacio para visualizarse que la ISA Server 2000. Para sacar el máximo provecho de la interfaz gráfica, cambie su resolución a 1024x768 o superior. Yo he tenido que mantener la resolución de 640x480 para obtener las capturas de pantalla en un tamaño adecuado para visualizarse en páginas web. Por eso utilizaré el botón Show/Hide Console Tree en la barra de botones de la consola con cierta frecuencia.
27
4. Configuración de acceso a internet para la red corporativa. a. Revisar la Política de Sistema
28
Por defecto, ISA Server 2004 no permite el acceso de salida a Internet y no permite a los sistemas de Internet acceder al firewall. No obstante, se instala una Política de Sistema por defecto en el firewall que permite completar las tareas de administración de la red. Siga estos pasos para ver la Política de Sistema por defecto del firewall: En la consola de administración de Microsoft Internet Security and Acceleration Server 2004, extienda el nodo del servidor en el panel de búsqueda (panel izquierdo) y pulse sobre el nodo Firewall Policy. Pulse con el botón derecho sobre el nodo Firewall Policy, seleccione View y pulse en Show System Rules.
b. Configuración de Access Policy
1. Pulse el botón Show/Hide Console Tree y después, en la flecha Open/Close
Task Pane (la flechita azul en el borde izquierdo del panel de tareas en la parte derecha de la consola). Verá que la Política de Acceso de ISA Server 2004 aparece en una lista ordenada. Las políticas se procesan desde arriba a abajo, lo que es un cambio sustancial con respecto a como lo hacía ISA Server 2000. La Política de Sistema representa una lista de reglas que controlan el acceso al firewall ISA Server 2004 por defecto. Desplace la lista de System Policy Rules hacia abajo. Puede comprobar que las reglas se definen por:
Número de ordenNombreAcción (permitir o denegar)ProtocolosDesde (red o máquina de origen)Hacia (sistema o red de destino)
29
Condición (a quién o a qué se aplica la regla) Puede que le interese ampliar la columna Name para observar por encima las reglas. Verá que no todas están activadas. Las Reglas de Política de Sistema que están deshabilitadas por defecto tienen un puntito rojo en su esquina inferior derecha. Las reglas de Política de Sistema deshabilitadas se activarán automáticamente al hacer cambios de configuración en el firewall ISA Server 2004, como podrían ser el habilitar acceso VPN. Fíjese en que una de las reglas de Política de Sistema permite al firewall realizar consultas DNS a servidores DNS en todas las redes. 2. Compruebe las reglas de Política de Sistema y ocúltelas pulsando el botón
Show/Hide System Policy Rules en la barra de botones de la consola. Es el botón pulsado que se ve en la figura siguiente:
3.
Crear una Política de Acceso de tráfico de salida “Todo abierto” La primera cosa que prácticamente todos queremos hacer es comprobar si ISA Server está funcionando realmente. Se puede ver creando una política de acceso de tráfico de salida “todo abierto” que permite a los clientes SecurreNAT acceder a Internet. Conviene tener en cuenta que esta política “todo abierto” es solamente para fines de test. Las redes seguras no permiten que pase todo el tráfico hacia afuera, y a los usuarios solamente se les dará acceso a los protocolos que necesitan. Esta es la diferencia entre un firewall ISA Server 2004 y un firewall tradicional, basado en el filtrado de paquetes.
30
Siga estos pasos para crear una política de acceso de tráfico de salida “todo abierto”:1. En la consola de administración de Microsoft Internet Security and Acceleration
Server 2004, pulse el botón Show/Hide Console Tree para exponer el panel de visualización. Haga click con el botón derecho sobre el nodo Firewall Policy, seleccione New y pulse Access Rule.
31
2. En la página Welcome to the New Access Rule Wizard, introduzca el texto All Open Outbound en el cuadro de texto de Access policy rule name. Pulse OK.
32
3. En la página Rule Action, seleccione la opción Allow y pulse Next.
33
4. En la página Protocols, seleccione la opción All outbound protocols y pulse Next.
34
5. En la página Access Rule Sources, pulse el botón Add. En el cuadro de diálogo Add Network Entities, seleccione la carpeta Networks. Haga doble click en la red Internal, y luego pulse el botón Close en el diálogo Add Network Entities. Si lo desea, puede pulsar en cada una de las carpetas, para poder ver las Entidades de Red que vienen predefinidas en el firewall ISA Server 2004. Estas Entidades de Red le proporcionan un control muy bien ajustado sobre los accesos de entrada y salida. Pulse Next en el diálogo Access Rule Sources.
35
6. Pulse el botón Add en la página Access Rule Destinations. En el diálogo Add Network Entities, seleccione la carpeta Networks. Haga doble click sobre la entrada External y pulse Close en el diálogo Add Network Entities. Pulse Next en la página Access Rule Destinations.
36
7. En la página User Sets, acepte la configuración por defecto de All Users. ISA Server 2004 permite la creación de configuraciones de usuario personalizadas basadas en grupos del Directorio Activo o SAM local. Esto permite a los administradores del firewall crear grupos de usuarios particulares del firewall sin tener que acudir al Directorio Activo y crear los grupos aquí. Pulse Next.
8. Verifique los parámetros y pulse Finish en la página Completing the New
Access Rule Wizard.9. Pulse el botón Apply para guardar los cambios y actualizar la política del firewall.
Este botón está en la parte superior del panel de Detalles (panel central) de la consola. El botón Apply permite hacer múltiples cambios en la política del firewall antes de que se apliquen. Los cambios se producen de inmediato en cuanto se pulsa el botón Apply.
37
10. Pulse el botón Show/Hide Console Tree para poder visualizar toda la línea de la Política de Acceso en el panel de Detalles.
Los clientes de la red interna ahora tienen acceso libre a Internet. Los clientes Secure NAT tienen acceso a todos los protocolos enumerados en la lista de Protocols en la caja de herramientas de Firewall Policy. Siga los pasos indicados a continuación para ver la caja de herramientas de Firewall Policy: 1. En la consola de administración de Microsoft Internet Security and
Acceleration Server 2004, despliegue el panel de contenidos si no está visible, usando el botón Show/Hide Console Tree.
2. Si el panel de tareas no queda visible en la parte derecha de la consola, pulse el botón Open/Close Task Pane.
3. En el Panel de Tareas, pulse la solapa Toolbox. Haga click sobre la etiqueta Protocols. Verá los protocolos agrupados en grupos lógicos. Pulse en la carpeta All protocols. Aquí se visualiza una lista de protocolos predefinidos en el firewall ISA Server 2004. Puede crear sus propios protocolos, si lo desea, más adelante. Los clientes SecureNAT que quieren acceder a protocolos complejos necesitarán, además, un filtro de aplicación. Los clientes de firewall pueden acceder a todos los protocolos, incluso a aquellos no expresamente incluidos en la lista (también a los protocolos complejos).
38
La siguiente regla que tenemos que crear es una Política de Sistema que permita a los clientes de la red interna conectar al servidor DNS en el firewall ISA Server 2004. Recuerde que ISA Server 2004 es distinto de ISA Server 2000; la Política de Acceso se aplica a todos los interfaces, de modo que la interfaz de red interna está igual de protegida que el resto de interfaces. Siga estos pasos para crear una regla de DNS que permitirá a los usuarios de la red interna acceder al DNS: 1. Pulse el botón Show/Hide Console Tree para ampliar el panel de visualización.
Haga click con el botón derecho sobre el nodo Firewall Policy, seleccione New y pulse en Access Rule.
2. En la página Welcome to the New Access Rule Wizard, introduzca DNS from Internal Network en el cuadro de diálogo Access policy rule name. Pulse Next.
3. Elija Allow en la página Rule Action y pulse Next.4. En la página Protocols, seleccione la opción Selected protocols de la lista
This rule applies to. Pulse el botón Add.5. En el cuadro de diálogo Add Protocols, pulse en la carpeta Infrastructure.
Haga doble click sobre el protocolo DNS y pulse Close en el cuadro de diálogo Add Protocols. Pulse Next en la página Protocols.
39
6. En la página Access Rule Sources, pulse Add. Seleccione la carpeta Networks
y haga doble click en la red Internal. Pulse Close en el cuadro de diálogo Add Network Entities. Pulse Next en la página Access Rule Sources.
40
7. En la página Access Rule Destinations, pulse el botón Add. En el diálogo Add Network Entities, marque la carpeta Networks. Haga doble click en la entrada Local Host. Pulse Close en el diálogo Add Network Entities. Pulse Next en la página Access Rule Destinations.
8. Acepte el valor por defecto de All Users en la página User Sets. Pulse Next.9. Pulse Finish en la página Completing the New Access Rule Wizard.10. Pulse Apply para guardar los cambios y actualizar las políticas del firewall. Crear una política HTTP que impide descargas mediante HTTP La política HTTP de ISA Server permite un control muy exhaustivo sobre aquello a que los usuarios pueden acceder mediante el protocolo HTTP. La política HTTP puede utilizarse para impedir a los usuarios el acceso a un sitio cualquiera, cualquier tipo de contenido o cualquier protocolo que pueda tunelizarse dentro de una cabecera HTTP. En el futuro entraremos en los detalles de la política HTTP, pero en este artículo introductorio solamente veremos cómo se puede impedir de forma rápida y sencilla que los usuarios se descarguen archivos ejecutables usando HTTP. Conviene advertir que la política HTTP no puede examinar el interior de archivos .ZIP para saber si hay algún ejecutable de Windows dentro de él. Siga estos pasos para configurar una Política HTTP que impide el acceso a archivos ejecutables de Windows:
41
1. Haga click con el botón derecho en la Política de Acceso All Open Outbound y pulse en el comando Configure HTTP.
42
2. En la solapa General del diálogo Configure HTTP policy for rule, marque la casilla de Block responses with Windows executable content. Pulse Apply, y después, OK.
3. Pulse el botón Apply para guardar los cambios y actualizar las políticas de
firewall. Ahora podemos probar la política desde un cliente de la red interna. El cliente de la red interna es un cliente SecureNAT, lo que significa que no es un cliente de Web Proxy o de firewall. El gateway por defecto del cliente está apuntando a la dirección IP interna del firewall ISA Server 2004. El servidor DNS en el cliente también está configurado con la dirección IP interna del firewall ISA Server 2004. Realice estos pasos en el cliente SecureNAT detrás del firewall ISA Server 2004: 1. Abra Internet Explorer y visite un sitio Web. Bien! Se puede acceder a la
página web.
43
2. Ahora, visite el sitio Web http://www.microsoft.com/downloads/details.aspx?FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9&DisplayLang=en y mueva la barra de desplazamiento hacia el final de la página. Pulse sobre el vínculo isafp1.exe.
44
3. El firewall ISA Server 2004 bloquea la petición porque se ha configurado la política HTTP para impedir el acceso a archivos ejecutables de Windows.
Unidad 2: ISA 2004 Avanzado
45
Cap 1. Migración de configuración desde ISA 2000
a. Proceso de actualizaciónb. Migración de configuración desde ISA 2000
Cap 2. Configuraciones avanzadas de red (Firewall de 3 adaptadores, Firewall Back-to-Back)
a. Topologías de Redb. Reglas de protocolos en configuraciones de firewall con 3 adaptadoresc. Reglas de protocolos en configuraciones de firewall Back-to-Back
Cap 3. Configuración de acceso a sitios web corporativos (Web Publishing)a. Publicación estándarb. Publicación de OWAc. Publicación de Sitios seguros (SSL)
Cap 4. Configuraciones de acceso a servicios en la red perimetral/corporativa (Server publishing)
a. Publicación de Mail Serverb. Publicación de otros serviciosc. Publicación usando PAT (Port Address Translation)
Cap 5. Monitoreo y reportes en ISA 2004.a. Generación de reportes de utilizaciónb. Monitoreo en tiempo realc. Monitoreo de servicios y alertas
46
1. Migración de configuración desde ISA 2000
Microsoft Internet Security and Acceleration (ISA) Server 2004 ofrece la posibilidad de actualización completa para los usuarios de ISA Server 2000. La mayoría de las reglas, configuraciones de red, configuraciones de supervisión y configuraciones de la caché de ISA Server 2000 se actualizarán a ISA Server 2004.ISA Server 2004 presenta muchas características nuevas y cambios. Estos cambios afectan a la configuración del servidor y a los entornos de actualización. Esta sección proporciona información acerca de los elementos esenciales que debe tener en cuenta en el proceso de actualización.
47
a. Proceso de actualización
La herramienta de migración de ISA Server 2004 ofrece la posibilidad de actualización completa para que los usuarios de ISA Server 2000 puedan actualizar a ISA Server 2004. La mayor parte de la información de configuración de ISA Server 2000 se actualizará a ISA Server 2004. ISA Server 2004 presenta muchas características nuevas y cambios en comparación con ISA Server 2000. Estos cambios afectan a la configuración del servidor y a los entornos de actualización.Nota:
ISA Server 2000 Service Pack 1 (SP1) debe instalarse en el equipo. Sólo puede actualizar desde ISA Server 2000 Standard Edition.
Existen tres opciones para actualizar desde ISA Server 2000: Actualización local. En este entorno, el usuario instala ISA Server 2004 en el
mismo equipo en que se ejecuta ISA Server 2000. La configuración se migra directamente a ISA Server 2004, tal como se describe en los temas siguientes. No es preciso ejecutar ninguna herramienta.
Migrar la configuración de ISA Server 2000. En este entorno, el usuario instala ISA Server 2004 en un equipo distinto, o bien quita ISA Server 2000 por completo antes de instalar ISA Server 2004. En cualquier caso, es preciso utilizar la herramienta de migración para migrar la información de configuración a ISA Server 2004, tal como se describe en los temas siguientes.
Migrar la configuración de Enrutamiento y acceso remoto. En este entorno, el usuario puede haber configurado previamente la red privada virtual mediante Enrutamiento y acceso remoto. Puede utilizar la herramienta de migración para copiar parte de la configuración a ISA Server 2004.
48
Actualización localAsimismo, el usuario puede llevar a cabo una actualización local y ejecutar la herramienta de migración en un equipo con ISA Server 2000 instalado. Al realizar una actualización local, se quita ISA Server 2000 y se instala ISA Server 2004 con la configuración migrada.
b. Migración de configuración desde ISA 2000
Migrar la configuraciónPara migrar ISA Server 2000 a ISA Server 2004 se deben seguir estos pasos:
1. Ejecute el Asistente para la migración de ISA Server en el equipo con ISA Server 2000. El asistente crea un archivo .xml con la información de configuración.
2. Instale Microsoft ISA Server 2004. 3. Importe el archivo .xml en el equipo en que está instalado ISA Server 2004.
Antes de importar el archivo .xml, recomendamos que realice una copia de seguridad completa de la configuración actual del equipo en el que está instalado ISA Server 2004.
La dirección IP real del adaptador de red externo del equipo original en el que estaba instalado ISA Server 2000 se guardará en el archivo .xml junto con la información de configuración. Si ISA Server 2004 está instalado en un equipo distinto, debe corregir la dirección IP después de importar el archivo .xml.Actualización de complementosLos filtros de aplicación y los filtros Web proporcionados por otros proveedores para ISA Server 2000 no son compatibles con ISA Server 2004. Algunos proveedores han creado nuevas versiones para ISA Server 2004. Para actualizar a las nuevas versiones, siga los siguientes pasos:
49
1. Desinstale los filtros de aplicación y los filtros Web del equipo ISA Server 2000.
2. Lleve a cabo la actualización a ISA Server 2004 de la forma descrita aquí. 3. Instale la nueva versión del filtro de aplicación o el filtro Web.
Qué valores no se actualizanLos objetos y valores de configuración siguientes de ISA Server 2000 no se migran a ISA Server 2004:
ISA Server 2004 ya no admite reglas de ancho de banda. La configuración de permisos, como las listas de control de acceso al sistema
(SACL), no se actualizan. No se migra la configuración ni la información de informes y registros.
Si utiliza la herramienta de migración para instalar ISA Server 2004, se instalará Firewall Client Share (con el software de Cliente Firewall para ISA Server 2004). Se recomienda que instale Firewall Client Share. Actualizar la configuración de supervisión y administración de ISA Server 2000Parte de la configuración de supervisión y administración se migra a ISA Server 2004, como se detalla en las siguientes secciones.Listas de control de acceso al sistemaEn ISA Server 2000, puede utilizar Administración del servidor ISA para volver a configurar una lista de control de acceso al sistema (SACL) en algunos objetos. Además, se puede cambiar esta lista de cualquier elemento mediante el modelo de objetos Admin COM.Las listas SACL no se migran a ISA Server 2004. En su lugar, se aplican las listas SACL predeterminadas.SupervisiónTodas las definiciones de alerta de ISA Server 2000 se migran directamente a ISA Server 2004. No obstante, existen las excepciones siguientes:
En su lugar se crean definiciones de alerta que hacen referencia al proxy Web creado para el servicio del servidor de seguridad de Microsoft, ya que no existe este servicio proxy Web en ISA Server 2004.
Las siguientes definiciones de alerta de ISA Server 2004 no se modifican: Intrusión DNS, Intrusión POP, Filtro RPC: la conectividad cambió y Error en la configuración de SOCKS.
No se migra la configuración de registro de ISA Server 2000. La configuración de registro de ISA Server 2004 se establece en la configuración predeterminada posterior a la instalación. Después de la migración, los registros de ISA Server 2004 se almacenan en registros de Microsoft Data Engine (MSDE) o en formato de texto.No se migran los trabajos de informes, los informes ni la configuración de informes de Microsoft Data Engine. Actualizar la configuración de la directiva de acceso de ISA Server 2000La mayoría de las reglas de directiva de acceso de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes.Tenga en cuenta que en ISA Server 2000, puede configurar una regla que bloquee el tráfico entre el equipo servidor ISA (host local) y la red externa. No obstante, en ISA Server 2004, la directiva del sistema controla cómo el equipo servidor ISA (host local) accede a todas las redes. Como las reglas de directiva del sistema se procesan en primer lugar, éstas reemplazarán las reglas de directiva que puede configurar específicamente para denegar el acceso desde la red de host local a la red externa.Reglas de ancho de bandaLas reglas de ancho de banda, y los elementos de la directiva asociados, no son compatibles con ISA Server 2004. No se actualizan.
50
Filtros de paquetes IPLos filtros de paquetes de ISA Server 2000 no se pueden configurar explícitamente en ISA Server 2004. En ISA Server 2000, estos paquete se utilizaban para:
Publicar en servidores en una red perimetral. Ejecutar aplicaciones u otros servicios en el equipo servidor ISA. Permitir el tráfico saliente desde el equipo servidor ISA. Permitir el acceso a protocolos no basados en los protocolos UDP (protocolo
de datagramas de usuarios) o TCP (protocolo de control de transporte). Si se deshabilita el filtrado de paquetes en ISA Server 2000, se aceptará todo el tráfico al host local y a las redes perimetrales y se ignorarán los filtros de paquetes. Al migrar la configuración de ISA Server 2000, los filtros de paquetes de esta aplicación se migran también con el mismo estado a ISA Server 2004.La siguiente tabla muestra una lista de cómo se actualizan los filtros de paquetes de ISA Server 2000 a las reglas de acceso de ISA Server 2004.
PropiedadFiltro de paquetes de ISA Server 2000
Regla de acceso de ISA Server 2004
Nombre, descripción y servidores habilitados
Los mismos valores que en ISA Server 2000
Protocolo IP de ISA Server 2000 actualizado a ISA Server 2004: definición de protocolo
TCP, UDP, ICMP o protocolo IP personalizado
Mismo protocolo
Cualquiera No hay protocolos nuevos y la herramienta de migración establece el protocolo en Todo el tráfico IP saliente
Número de protocolo Mismo número de protocoloPuerto local El puerto de origen definido en la
regla de acceso y el puerto de destino, o puerto de origen dependiendo de la dirección del protocolo, definido en la conexión de protocolo.
Número de puerto local Intervalo de puertos de origen (en la ficha Protocolo de la regla de acceso)
Dirección Saliente SalienteEntrante Saliente (los campos A y De
cambian según corresponda)Enviar y recibir Enviar y recibirRecibir y enviar Enviar y recibir (los campos A y De
cambian según corresponda)ISA Server 2000: el equipo local (Se aplica a) actualizado a ISA Server 2004: Propiedad "A" de regla de acceso
Dirección IP predeterminada
Red de host local
El valor del equipo local se establece en la dirección IP del equipo con ISA Server 2000
El elemento del equipo con la dirección IP del equipo con ISA Server 2004
El valor del equipo local se establece en una dirección IP específica
Elemento de equipo con la dirección IP específica
El valor del equipo local se establece en una red perimetral
El objeto del intervalo de direcciones con las direcciones IP de la red perimetral
51
ISA Server 2000: el equipo remoto (Se aplica a) actualizado a ISA Server 2004: Propiedad "De" de regla de acceso
Todos los equipos remotos Todas las redes externasEste equipo remoto Objeto de equipo se establece en la
dirección IP del equipo remotoEste intervalo de equipos Subred con el intervalo de
direcciones especificadasNota
Si la dirección del filtro de paquetes de ISA Server 2000 es Ambas (o Recibido y enviado), se crean dos reglas en ISA Server 2004, con las propiedades A y De alternadas para la segunda regla.
EjemploLas reglas de acceso (creadas para reemplazar los filtros de paquetes de ISA Server 2000) que deniegan el acceso se ordenan primero. Las reglas que permiten el acceso se ordenan posteriormente, como se muestra en la siguiente tabla. ISA Server 2000 ISA Server 2004Filtro de paquetes con estas propiedades
Protocolo: UDP Dirección: Enviar y recibir Puerto local: 53 Puerto remoto: 78 Equipo local se aplica a: direcciones
IP predeterminadas de la interfaz externa
Equipo remoto: Todos los equipos remotos
Regla de acceso con estas propiedades:
El valor de la red de origen se establece en Host local
Puerto: 53 Red de destino se establece
en Todas las redes externas Definición de protocolo con estas propiedades:
Protocolo: UDP Puerto: 78 Dirección: Enviar y recibir
Filtros de paquetes IP: predefinidosISA Server 2000 incluye varios filtros predefinidos para paquetes IP. La herramienta de migración crea reglas de directiva del sistema, basadas en estos filtros de paquetes IP, como se detalla en la siguiente tabla.
Filtro de paquetes IP de ISA Server 2000
Regla de directiva del sistema de ISA Server 2004
Cliente DHCP Permitir peticiones DHCP del servidor ISA a todas las redes
Filtro DNS Permitir DNS del servidor ISA hacia servidores seleccionados
ICMP saliente Permitir peticiones ICMP del servidor ISA a servidores seleccionados
Respuesta del ping de ICMP (entrante), Excedido el tiempo de espera de ICMP en, Paquete de control de flujo ICMP, No se puede obtener acceso a ICMP en
Permitir peticiones ICMP (ping) de equipos seleccionados al servidor ISA
IP Replay (out) Permitir peticiones ICMP del servidor ISA a servidores seleccionados
Al ejecutar la herramienta de migración del servidor ISA, puede elegir si se permite el tráfico desde la red interna al equipo servidor ISA. Si selecciona esta opción, se crea
52
una regla que permite el tráfico desde la red interna a la red de host local y viceversa.Reglas de protocoloLa directiva de acceso de ISA Server 2000 estaba formada por reglas de protocolo, así como reglas de sitio y contenido. ISA Server 2004 incluye sólo reglas de acceso, que se basan en una combinación de las reglas de protocolo originales, y reglas de sitios y contenido. Las reglas de protocolo de ISA Server 2000 se actualizan a las reglas de acceso de ISA Server 2004. La mayor parte de las propiedades se actualizan directamente a ISA Server 2004. La propiedad Se aplica a se actualiza, como se detalla en la siguiente tabla.Regla de protocolo de ISA Server 2000 Regla de acceso de ISA Server 2004Cualquier petición El valor de la red de origen se establece en Interno y
Host local.Conjuntos de direcciones de clientes
De se establece en un conjunto de equipos con direcciones IP específicas en el conjunto de direcciones de clientes original.La red de origen se establece en Interna.
Usuarios y grupos De se establece en un conjunto de usuarios con los usuarios concretos especificados originalmente. La red de origen se establece en Interna.
Tenga en cuenta que los filtros de aplicación de terceros no se actualizan. De la misma forma, tampoco se actualiza ninguna definición de protocolo instalada con el filtro de aplicación. No se actualiza ninguna de las reglas que se aplican a estas definiciones de protocolo.Puede configurar una clave del registro de ISA Server 2000, IgnoreContentTypeIfNotApplicable, que determine si se omite un grupo de contenido para las reglas de protocolo que no se apliquen a HTTP. Si se habilita esta clave del registro, la herramienta de migración crea dos reglas de acceso para cualquier regla de protocolo aplicada tanto a protocolos HTTP como a protocolos adicionales. Por ejemplo, si ISA Server 2000 incluye una regla de protocolo que se aplica a los protocolos POP3 y HTTP, la herramienta de migración crea dos reglas de acceso en ISA Server 2004: una para POP3 y otra para HTTP.Reglas de sitio y contenidoLa directiva de acceso de ISA Server 2000 estaba formada por reglas de protocolo, así como reglas de sitio y contenido. ISA Server 2004 incluye sólo reglas de acceso, que se basan en una combinación de las reglas de protocolo originales, y reglas de sitios y contenido. Las reglas de sitio y contenido de ISA Server 2000 se actualizan a las reglas de acceso de ISA Server 2004. La mayor parte de las propiedades se actualizan directamente a ISA Server 2004. La propiedad Se aplica a se actualiza, como se detalla en la siguiente tabla.Regla de sitio y contenido de ISA Server 2000 Regla de acceso de ISA Server 2004Cualquier petición El valor de la red de origen se establece en Interno
y Host local.Conjuntos de direcciones de clientes
De se establece en un conjunto de equipos con direcciones IP específicas en el conjunto de direcciones de clientes original.El valor de la red de origen se establece en Interno
53
y Host local.Usuarios y grupos De se establece en un conjunto de usuarios con los
usuarios concretos especificados originalmente. La red de origen se establece en Interna.
Puede configurar una clave del registro de ISA Server 2000, IgnoreContentTypeIfNotApplicable, que determine si se omite un grupo de contenido para las reglas de protocolo que no se apliquen a HTTP. Si se habilita esta clave del registro, la herramienta de migración crea dos reglas de acceso para cualquier regla de protocolo aplicada tanto a protocolos HTTP como a protocolos adicionales. Por ejemplo, si ISA Server 2000 incluye una regla de protocolo que se aplica a los protocolos POP3 y HTTP, la herramienta de migración crea dos reglas de acceso en ISA Server 2004: una para POP3 y otra para HTTP.Migrar reglas de protocolo, así como de sitio y contenidoAlgunas reglas de protocolo, así como las reglas de sitio y contenido, se combinan en una sola regla de acceso al actualizar a ISA Server 2004.
54
Convenciones de nomenclaturaLa siguiente tabla detalla las convenciones de nomenclatura de las nuevas reglas de acceso.Regla de ISA Server 2000
Nombre de la regla de ISA Server 2004 Ejemplo
Regla de denegación de protocolo
ISANúmero-Nombre_regla_ISA ISA12-DenyNimda
Regla de denegación de sitio y contenido
ISANúmero-Nombre_regla_ISA ISA13-BlockBadStuff
Filtro de paquetes
ISANúmero-Nombre_regla_ISA ISA14-ICMP
Filtro de paquetes bidireccionales
ISANúmero-Nombre_regla_ISA(Entrante)ISANúmero-Nombre_regla_ISA(Entrante)
ISA18-NNMP(Entrante)ISA19-NNMP(Saliente)
Regla de protocolos combinados, así como de sitio y contenido
ISANúmero-Nombre_regla_ISA+Nombre_regla_ISA
ISA15_InternetAccess+BlockBadStuff
Actualizar la configuración de la directiva de publicación de ISA Server 2000Las reglas de publicación de ISA Server 2000 se actualizan a ISA Server 2004, como se detalla en las secciones siguientes.Tenga en cuenta que en ISA Server 2000, puede configurar una regla que bloquee el tráfico entre el equipo servidor ISA (host local) y la red externa. No obstante, en ISA Server 2004, la directiva del sistema controla cómo el equipo servidor ISA (host local) accede a todas las redes. Como las reglas de directiva del sistema se procesan en primer lugar, éstas reemplazarán las reglas de directiva que puede configurar específicamente para denegar el acceso desde la red de host local a la red externa.Reglas de publicación de servidorPor cada regla de publicación del servidor de ISA Server 2000, se crea una regla correspondiente en ISA Server 2004. Algunas propiedades se modifican durante el proceso de actualización, como se detalla en la siguiente tabla.
55
Propiedad
Valor de ISA Server 2000 Valor de ISA Server 2004
Acción Dirección IP del servidor de la red interna
Se establece el valor de Para en el objeto de equipo con la dirección IP específica.
Dirección IP externa Se establece el valor de Dirección IP de la escucha externa en la dirección IP específica.
Protocolo Valor igual al de ISA Server 2000.Se aplica a Cualquier petición El valor de red de Origen se establece en
Externa y De en Todos los usuarios.Conjuntos de direcciones de clientes
El valor de De se establece en un conjunto de equipos con direcciones IP específicas del conjunto de direcciones cliente.
Usuario y grupo El valor de red de Origen se establece en Externa y De en Todos los usuarios.
Puede configurar una clave del registro de ISA Server 2000, UseISAAddressInPublishing, que determine si se habilita el servicio proxy. Si se configura una clave del registro en el equipo con ISA Server 2000, se activa la casilla de verificación Habilitar proxy en ISA Server 2004. Observe que la dirección IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la información de configuración. Si ISA Server 2004 está instalado en un equipo distinto, debe corregir la dirección IP después de importar el archivo .xml.Reglas de publicación de WebPor cada regla de publicación de Web de ISA Server 2000, se crea una regla correspondiente en ISA Server 2004. Algunas propiedades se modifican durante el proceso de actualización, como se detalla en la siguiente tabla.
56
PropiedadValor de ISA Server 2000 Valor de ISA Server 2004
Acción Descartar la petición Denegado. La regla se ordena en primer lugar, después de las reglas cuyo objetivo es denegar el acceso.
Redirigir la petición Permitido. A se establece en el equipo especificado de ISA Server 2000.
Enviar la petición original
Igual que en ISA Server 2000. A se establece en el equipo especificado de ISA Server 2000.
Selección de puerto Igual que en ISA Server 2000, especificado en la ficha Enlazar.
Destino Todos los destinos No compatible. No se exporta la regla. Se genera un mensaje de registro.
Todos los internos No compatible. No se exporta la regla. Se genera un mensaje de registro.
Todos los externos Todas las peticiones.El destino seleccionado se establece en dirección IP única o dominio
En ISA Server 2004, se pueden crear varias reglas de publicación de Web si se aplicó dicha regla de ISA Server 2000 a varios destino públicos.
El destino seleccionado se establece en un intervalo de direcciones IP
Se establece en la primera dirección IP del intervalo.
Todos los destinos salvo el seleccionado
No compatible. No se exporta la regla. Se genera un mensaje de registro.
Protocolo de puente
HTTP a HTTP y SSL a HTTP
Valor igual.
HTTP a HTTP y SSL a SSL
No cambia
HTTP a SSL y SSL a SSL Valor igual.HTTP a FTP y SSL a FTP Valor igual.HTTP a HTTP y SSL a FTP
HTTP a HTTP y SSL a SSL.
HTTP a SSL y SSL a HTTP
HTTP a HTTP y SSL a SSL.
HTTP a SSL y SSL a FTP HTTP a HTTP y SSL a SSL.HTTP a FTP y SSL a HTTP
HTTP a HTTP y SSL a SSL.
HTTP a FTP y SSL a SSL HTTP a HTTP y SSL a SSL.En ISA Server 2000, las escuchas de web se asignan implícitamente por cada regla de publicación de Web. En ISA Server 2004, la escucha de web se asigna explícitamente a cada regla de publicación de Web.Si se aplica una regla de publicación de Web de ISA Server 2000 a varias escuchas, se crean las reglas correspondientes en ISA Server 2004 por cada escucha de web de
57
ISA Server 2000. Por ejemplo, si se aplica una regla de publicación de Web de ISA Server 2000 a tres escuchas de web, se crean tres reglas de publicación de Web de ISA Server 2004, una por cada escucha de web especificada en la regla de publicación de Web de ISA Server 2000 original.Si se aplica una regla de publicación de Web de ISA Server 2000 a un conjunto de destinos con dos o más direcciones IP distintas, o nombres de dominio, y dos o más rutas de acceso diferentes, se crean reglas de publicación de Web de ISA Server 2004 por cada par de rutas de acceso y direcciones IP.Observe que la dirección IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la información de configuración. Si ISA Server 2004 está instalado en un equipo distinto, debe corregir la dirección IP después de importar el archivo .xml.En ISA Server 2000, una regla de publicación de Web puede aplicarse a un conjunto de destinos con una ruta de acceso vacía.Convenciones de nomenclaturaLa siguiente tabla detalla las convenciones de nomenclatura de las nuevas reglas de publicación.Regla de ISA Server 2000
Nombre de la regla de ISA Server 2004 Ejemplo
Regla de publicación de servidor
ISANúmero-Nombre_regla_ISA ISA12-PublishSMTP
Regla de publicación de Web
ISANúmero-Nombre_regla_ISA para Nombre_escucha para dominio/ruta de acceso
ISA13-Publishing para External IP: 122.11.223.123 para microsoft.com/foo
Actualizar los elementos de directiva de ISA Server 2000La mayoría de los elementos de la directiva de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes.Conjuntos de direcciones de clientesEn ISA Server 2000, los conjuntos de direcciones de clientes incluían direcciones IP e intervalos de direcciones IP. Se utilizaban conjuntos de direcciones de clientes en las reglas de sitio y contenido, así como en las reglas de protocolo, y no en las de publicación.En ISA Server 2004, los conjuntos de direcciones de clientes se sustituyen por conjuntos de equipos. Por cada regla de ISA Server 2000 que se aplique a un conjunto de direcciones cliente que se actualice, se crea un nuevo conjunto de equipos en ISA Server 2004. Las reglas actualizadas se aplican al nuevo conjunto, que incluye las mismas direcciones IP que el conjunto de direcciones cliente originales de ISA Server 2000.Grupos de contenidoLos grupos de contenido de ISA Server 2000 se actualizan directamente a ISA Server 2004. Si existe un grupo de contenido con el mismo nombre en ISA Server 2004, no se importa el grupo de ISA Server 2000.Conjuntos de destinosLos conjuntos de destinos de ISA Server 2000 podían incluir nombres de equipo, direcciones IP, intervalos de direcciones IP, nombres de dominio y rutas de acceso en los equipos. Estos conjuntos se utilizan en las reglas de sitio y contenido, así como en las reglas de publicación. ISA Server 2004 no utiliza conjuntos de destinos. En su lugar, se presentan otros elementos que pueden utilizarse de forma flexible con reglas de acceso y de publicación.
58
La siguiente tabla describe cómo se asignan los conjuntos de destinos de ISA Server 2000 a diversos objetos de red de ISA Server 2004.Elemento de directiva de ISA Server 2000 Objeto de red de ISA Server 2004Conjunto de destinos con comodines
Conjunto de nombres de dominio
Conjunto de destinos con ruta de acceso
Conjunto de direcciones URL
Conjunto de destinos con una sola dirección IP
Conjunto de direcciones URL
Conjunto de destinos con una sola dirección IP con ruta de acceso
Conjunto de direcciones URL
Conjunto de destinos con intervalo de direcciones IP
Conjunto de equipos
Conjunto de destinos con intervalo de direcciones IP y ruta de acceso
Conjunto de direcciones URLNota
Si el conjunto de destinos del servidor ISA incluye más de cinco direcciones IP, no se crea ninguna dirección URL. En este caso, se incluye una advertencia en el archivo de registro. Además, si se aplica una regla a este conjunto de destino, no se actualiza y se incluye un mensaje en el archivo de registro.
59
La siguiente tabla muestra ejemplos de cómo se actualizan los conjuntos de destino de ISA Server 2000.Conjunto de destinos en ISA Server 2000 Objeto de red en ISA Server 2004Conjunto de destinos con mayah.microsoft.com
Conjunto de nombres de dominio con mayah.microsoft.com
Conjunto de destinos con eitanh.microsoft.com y con ruta de acceso foo
Conjunto de nombres de dominio con eitanh.microsoft.com yconjunto de direcciones URL con http://eitanh.microsoft.com/foo/
Conjunto de destinos con intervalo de direcciones IP 192.168.123.134 (IP única) y ruta de acceso foo
Conjunto de equipos con intervalo entre 192.168.123.134 y 192.168.123.134Conjunto de direcciones URL con http://192.168.123.134/foo/
Conjunto de destinos con yairh.microsoft.com y ruta de acceso /foo, con dirección IP 1.2.3.4 y ruta de acceso boo y con intervalo de direcciones IP entre 1.2.3.4 y 1.2.3.5, y ruta de acceso /home
Conjunto de equipos con intervalos de direcciones IP entre 1.2.3.4 y 1.2.3.4, e intervalos de direcciones IP entre 1.2.3.4 y 1.2.3.5.Conjunto de nombres de dominio con yairh.microsoft.comy conjunto de direcciones URL con http://yairh.microsoft.com/foo, http://1.2.3.4/boo, http://1.2.3.4/home y http://1.2.3.5/home
Conjuntos y reglas de destinosLa siguiente tabla describe la configuración de reglas de ISA Server 2004 de los conjuntos de destinos originalmente utilizados en las reglas actualizadas desde ISA Server 2000.ISA Server 2000 ISA Server 2004Todos los destinos El valor de la propiedad Para se establece en En cualquier
lugar.Todos los destinos internos
El valor de la propiedad Para se establece en Red interna.El valor de la red de destino se establece en Interno.
Todos los destinos externos
El valor de la propiedad Para se establece en Red externa.El valor de la red de destino se establece en Externo.
Destino seleccionado
El valor de la propiedad A se establece en los conjuntos de equipos, nombres de dominio y conjuntos de direcciones URL, que corresponden al conjunto de destinos original.
Definiciones de protocoloISA Server 2000 incluía dos tipos de definiciones de protocolo:
Definiciones de protocolo explícitamente definidas. Elementos de protocolo creados en la instalación, por el servidor ISA, o creados posteriormente por un usuario.
Definiciones de protocolo implícitamente definidas. Utilizadas por filtros de aplicación específicos o por filtros de paquetes IP.
La herramienta de migración crea definiciones de protocolo correspondientes en ISA Server 2004 para todos los elementos de protocolo definidos explícitamente. Si ISA Server 2004 ya tiene una definición de protocolo con el mismo nombre, no se importará la definición de protocolo de ISA Server 2000.No se actualizan las definiciones de protocolo definidas implícitamente, creadas por filtros de aplicación de terceros. Un mensaje de advertencia así lo indica en el archivo
60
de registro de migración. Se actualizan las definiciones de protocolo definidas implícitamente, utilizadas con filtros de paquetes IP.No se actualizan las definiciones de protocolo que no se puede identificar mediante la herramienta de migración. Se eliminan todas las reglas que se aplican a definiciones de protocolo no identificadas. ProgramaciónISA Server 2000 programa la actualización directamente en ISA Server 2004. Cualquier regla de ISA Server 2000 que no tenga específicamente un programa con el mismo nombre que la regla, hará referencia a los programas creados, con dicho nombre, en ISA Server 2004.Se puede crear un nuevo programa en ISA Server 2004 cuando se utilicen dos programas mediante una regla de sitio y contenido, y mediante una regla de protocolo en ISA Server 2000. Escuchas de webISA Server 2000 incluía escuchas entrantes y salientes en una dirección IP específica. En ISA Server 2004, las escuchas de web se pueden asignar a una red completa o a una dirección IP específica.Las escuchas entrantes de ISA Server 2000 se actualizan a ISA Server 2004 como escuchas de web de la red externa. Las escuchas salientes predeterminadas de ISA Server 2000 se actualizan a ISA Server 2004 como escuchas de web de la red interna. Si no se utiliza la escucha predeterminada, no se actualiza ninguna escucha. Esto se anota en el archivo de registro.Observe que la dirección IP real del adaptador de red externo del equipo ISA Server 2000 original se guarda en el archivo .xml con la información de configuración. Si ISA Server 2004 está instalado en un equipo distinto, debe corregir la dirección IP después de importar el archivo .xml.Convenciones de nomenclaturaLa siguiente tabla detalla las convenciones de nomenclatura de los nuevos elementos de regla.Elemento de directiva de ISA Server 2000 Elemento de regla de ISA Server 2004Conjunto de destinos, crea el conjunto de equipos
Conjunto de equipos con Nombre_conjunto_destinos
Conjunto de destinos, crea el conjunto de direcciones URL
Conjunto de direcciones URL con Nombre_conjunto_destinos
Escucha de web predeterminada Escucha de web predeterminada externaPrograma combinado NombrePrograma1_NombrePrograma2 Actualizar la configuración de clientes y redes de ISA Server 2000La configuración de red y cliente de ISA Server 2000 se actualiza a ISA Server 2004, tal como se detalla en las siguientes secciones.RedesISA Server 2000 admite solamente dos tipos de redes: interna y externa. Se puede admitir una red perimetral (también conocida como DMZ, zona desmilitarizada o subred filtrada) mediante la creación de filtros de paquetes para enrutar el tráfico desde la red externa a esta red. ISA Server 2004 es compatible con muchas redes. Las redes siguientes se crean de forma predeterminada en ISA Server 2004:
Interna, derivada de la tabla de direcciones locales (LAT) de ISA Server 2000. La red interna de ISA Server 2004 no incluye direcciones IP del grupo de
61
direcciones estáticas de VPN de ISA Server 2000. Tampoco incluye la dirección de difusión.
Externa Host local Clientes de VPN
La herramienta de migración crea las siguientes reglas de red en ISA Server 2004: Regla de red que define una relación de ruta entre el host local y la red
interna. Regla de red que define una relación de ruta entre la red perimetral y la red
externa. Regla de red que define una relación NAT entre la red interna y la red
perimetral. Tabla de dominios localesLa tabla de dominios locales (LDT) se migra, tal y como está, a ISA Server 2004 . Si la tabla LDT de ISA Server 2000 incluye direcciones IP, éstas no se migrarán a ISA Server 2004.Configuración de clienteEn ISA Server 2004, la configuración de cliente se establece en la red correspondiente. La configuración de cliente de ISA Server 2000 se actualiza directamente a la configuración de cliente de la red interna de ISA Server 2004.Como ocurre en ISA Server 2000, la configuración de aplicación de cliente del servidor de seguridad de ISA Server 2004 se aplica a todas las peticiones de cliente. La configuración de aplicación del cliente del servidor de seguridad se actualiza directamente a ISA Server 2004. Actualizar la configuración de enrutamiento, encadenamiento y marcado de ISA Server 2000La mayor parte de los valores de configuración de enrutamiento, encadenamiento y marcado de ISA Server 2000 se actualizan a ISA Server 2004, como se detalla en las secciones siguientes.Conexiones de acceso telefónicoEn ISA Server 2000, se podían crear varias conexiones de acceso telefónico, pero sólo una podía estar activa cada vez. En ISA Server 2004, sólo se puede crear una única conexión.En ISA Server 2000, la conexión de acceso telefónico se definía por cliente del servidor de seguridad y por cliente proxy Web. En ISA Server 2004, la conexión de acceso telefónico se define por redes.Como parte del proceso de actualización, sólo se actualiza la conexión de acceso telefónico activa. Se asigna a la red externa. No se actualizan las demás conexiones de acceso telefónico. Esta información se incluye en el archivo de registro de actualización.Encadenamiento del servidor de seguridadLa configuración de encadenamiento de ISA Server 2000 se actualiza directamente a ISA Server 2004. La única excepción es la conexión de acceso telefónico especificada en ISA Server 2000. En ISA Server 2004, la conexión de acceso telefónico se crea en la red externa.Reglas de enrutamientoCada regla de enrutamiento de ISA Server 2000 se duplica en ISA Server 2004 como una regla de caché y como una regla de enrutamiento.La regla de enrutamiento de ISA Server 2004 se crea con las mismas propiedades que la regla de enrutamiento original de ISA Server 2000. Los destinos especificados para la regla de enrutamiento de ISA Server 2000 se asignan a redes específicas en la página de propiedades A de las propiedades de la regla de enrutamiento de ISA Server 2004.
62
Si la regla de enrutamiento de ISA Server 2000 utiliza una entrada de acceso telefónico, se crea una entrada de acceso telefónico con las mismas propiedades en la red externa de ISA Server 2004.Se crea también una regla de caché nueva basada en la regla de enrutamiento original de ISA Server 2000. Los destinos especificados para la regla de enrutamiento de ISA Server 2000 se asignan a redes específicas en la página de propiedades A de las propiedades de la regla de enrutamiento de ISA Server 2004. Las siguientes propiedades no son compatibles con las reglas de caché de ISA Server 2004 y, por consiguiente, no se actualizan desde la regla de enrutamiento original de ISA Server 2000: enlazar y acción. Actualizar la configuración de complementos de ISA Server 2000La mayoría de las reglas de directiva de acceso, las reglas de publicación y los filtros de paquetes IP de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes.En ISA Server 2000, los filtros de aplicación se aplicaban sin condiciones a un determinado tráfico. En ISA Server 2004, algunos filtros pueden aplicarse de forma individual para cada regla. La tabla siguiente describe la forma en que se actualizan las funciones de los filtros de aplicación de ISA Server 2000 a ISA Server 2004.
63
Nota: Asegúrese de eliminar todos los filtros de aplicación o filtros Web
propocionados por otros proveedores antes de realizar la actualización. Si estos filtros de aplicación o Web también se encuentran disponibles para ISA Server 2004, puede volver a instalarlos después de la actualización.
Filtro de aplicación o regla ISA Server 2000 ISA Server 2004Acceso a FTP Reglas de protocolo que
se aplican a FTPRegla de acceso con la opción Sólo lectura del filtrado FTP deshabilitada
Reglas de protocolo que se aplican a la descarga FTP
Regla de acceso con la opción Sólo lectura del filtrado FTP habilitada
Reglas de protocolo que se aplican al servidor FTP
Regla de publicación de servidor con la opción Sólo lectura del filtrado FTP deshabilitada
Filtro H.323 Permitir llamada entrante Filtrar escuchas en la red externaPermitir llamadas salientes
Filtrar escuchas en la red interna
Resto de configuraciones Igual que en ISA Server 2000Redirección de HTTP
Todas las configuraciones No se admite
Filtro RPC Todas las configuraciones Sustituido por el filtrado por reglaFiltro SMTP Comandos SMTP Igual que en ISA Server 2000
Datos adjuntos, usuarios y dominios, y palabras clave
Se actualizan a una regla de publicación de servidor de SMTP de forma individual para cada regla
Filtro SOCKS V4 Habilitado Escuchar peticiones de SOCKS iniciadas desde la red interna
Medios de transmisión por secuencias
Filtro MMS, filtro PNM y filtro RTSP: cualquier configuración
La misma configuración que ISA Server 2000 No se admite la división de transmisión por secuencias MMS
Los valores de configuración de los siguientes filtros de aplicación se actualizan directamente a ISA Server 2004:
Filtro de detección de intrusiones DNS Filtro de detección de intrusiones POP
Si el filtro de mensajes no está instalado en el equipo que se va a actualizar a ISA Server 2004, se bloqueará todo el tráfico proveniente del equipo del filtro de mensajes a menos que configure específicamente ISA Server 2004 para permitir el tráfico desde y a la red interna, y desde y a la red de host local. Del mismo modo, puede agregar una regla que permita el tráfico de Control de Firewall de Microsoft desde el equipo del filtro de mensajes al equipo de host local.Algunas propiedades del filtro de aplicación se configuran de distinta forma en ISA Server 2004 que en ISA Server 2000.Tenga en cuenta que los filtros de aplicación de terceros no se actualizan. De la misma forma, tampoco se actualiza ninguna definición de protocolo instalada con el
64
filtro de aplicación. No se actualiza ninguna de las reglas que se aplican a estas definiciones de protocolo. Actualizar la configuración de la caché de ISA Server 2000La mayoría de los valores de configuración de la caché de ISA Server 2000 se actualizan a ISA Server 2004, tal como se detalla en las secciones siguientes.Almacenamiento en cachéLa mayoría de las propiedades de la caché de ISA Server 2000 se actualizan directamente, sin cambio alguno, desde ISA Server 2000 a ISA Server 2004. Tenga en cuenta las siguientes excepciones:
Las propiedades generales de la caché que especifican si los objetos de la caché deben actualizarse se actualizan a los valores por defecto que ISA Server 2004 tiene para estas propiedades.
No se actualizan las propiedades generales de la caché que especifican si deben actualizarse los objetos que superan un tamaño determinado.
Las propiedades generales de la caché que especifican si se almacena en la caché el contenido dinámico se establecen en la regla de caché predeterminada de ISA Server 2004.
La configuración de la unidad de la caché se mantiene en ISA Server 2004. Si la migración se realiza a otro equipo, el equipo con ISA Server 2004 debe tener un hardware y una configuración de unidades similares a las del equipo original con ISA Server 2000.Si ISA Server 2000 se instaló en modo de caché, la herramienta de migración realiza las siguientes operaciones:
Configura la red interna de ISA Server 2004 para incluir todas las direcciones asociadas con el adaptador de red individual especificado en el equipo con ISA Server 2000.
Crea un regla de acceso que permite el acceso HTTP, HTTPS y FTP desde la red interna a la red interna.
Trabajos programados de descarga de contenidoLos trabajos de descarga de contenido programados de ISA Server 2000 se actualizan directamente a ISA Server 2004. Actualizar Enrutamiento y acceso remoto de ISA Server 2000Al instalar ISA Server 2004, puede actualizar la configuración de Enrutamiento y acceso remoto. Es posible actualizar la configuración a ISA Server 2004, esté o no ISA Server 2000 instalado en el equipo.Tenga en cuenta las limitaciones siguientes sobre la actualización de la configuración de Enrutamiento y acceso remoto:
Para establecer el número máximo de clientes de redes privadas virtuales remotas (VPN) que pueden conectarse a ISA Server 2004 se tiene en cuenta el valor más grande de los siguientes en Enrutamiento y acceso remoto: el número de puertos PPTP o el número de puertos L2TP.
Si el número de direcciones IP asignadas estáticamente es inferior al número de clientes de VPN, este número se reducirá para que se ajuste al tamaño del conjunto de direcciones estáticas. Se emite una advertencia al usuario durante el proceso de actualización de Enrutamiento y acceso remoto.
Las claves previamente compartidas para Enrutamiento y acceso remoto no se exportan. Se emite un mensaje de advertencia.
Si se configura una dirección IP no válida para el servidor DNS principal, ésta no se exportará. En su lugar, se utilizarán los valores de DHCP y se emitirá un mensaje de advertencia. Si se configura una dirección IP no válida para el
65
servidor DNS de reserva, ésta no se exportará. Se emite un mensaje de advertencia.
Si se configura una dirección IP no válida para el servidor WINS principal, ésta no se exportará. En su lugar, se utilizarán los valores de DHCP y se emitirá un mensaje de advertencia. Si se configura una dirección IP no válida para el servidor WINS de reserva, ésta no se exportará. Se emite un mensaje de advertencia.
Si una conexión de sitio a sitio se configura en Enrutamiento y acceso remoto primero como PPTP (y después como L2TP), se actualizará a la red de un sitio remoto en ISA Server 2004 que utilice solamente PPTP. Se emite un mensaje de advertencia.
Si una conexión de sitio a sitio se configura en Enrutamiento y acceso remoto primero como L2TP (y después como PPTP), se actualizará a la red de un sitio remoto en ISA Server 2004 que utilice solamente L2TP. Se emite un mensaje de advertencia.
Las claves previamente compartidas para conexiones de sitio a sitio en Enrutamiento y acceso remoto no se exportan. Se emite un mensaje de advertencia.
Las credenciales configuradas para conexiones de sitio a sitio en Enrutamiento y acceso remoto tampoco se exportan. En ISA Server 2004, las conexiones VPN salientes se deshabilitan hasta que se vuelvan a configurar. Se emite un mensaje de advertencia.
Actualizar la configuración de revisiones y Feature Pack 1 de ISA Server 2000Feature Pack 1 de ISA Server 2000 presenta varias funciones nuevas, que se incluyen en ISA Server 2004. La mayor parte de la información de configuración de Feature Pack 1 de ISA Server 2000 se migra directamente a ISA Server 2004. Tenga en cuenta las siguientes excepciones:
Traducción de vínculos. Función directamente migrada a ISA Server 2004. Tenga en cuenta lo siguiente:
Se crea un nuevo grupo de contenido para los grupos de contenido a los que se aplica el filtro de traducción de vínculos de ISA Server 2000.
Con la traducción de vínculos de Feature Pack 1 de ISA Server 2000, puede configurar si se debe evitar el almacenamiento en caché de las respuestas en servidores proxy externos. Esta característica ya no se admite en ISA Server 2004.
Compatibilidad con autenticación SecurID. Función directamente migrada a ISA Server 2004. Tenga en cuenta lo siguiente:
En Feature Pack 1 de ISA Server 2000, la autenticación SecurID se configuraba por regla de publicación de Web. En ISA Server 2004, se configura para cada escucha de web. Si ISA Server 2000 tiene dos reglas de publicación en Web con configuraciones distintas, se migran las reglas pero se deshabilita la configuración de autenticación SecurID.
Para completar la migración de la configuración de autenticación SecurID, proceda del modo siguiente:
1. Copie el archivo Sdconf.rec generado por el servidor de entrada de control de acceso (ACE) en %SystemRoot%\System32.
2. Cree una regla de acceso que permita la comunicación entre el host local y el servidor ACE.
URLScan. El nombre de este filtro cambia a filtro HTTP en ISA Server 2004. La siguiente funcionalidad, compatible con Feature Pack 1 de ISA Server 2000, no está disponible en ISA Server 2004:
66
EnableLogging PerProcessLogging AllowLateScanning PerDayLogging RejectResponseUrL UseFastPathReject DenyUrlSequences
Revisiones de ISA Server 2000Todas las claves del registro instaladas como parte de las revisiones de ISA Server 2000 se migran directamente a ISA Server 2004.
2. Configuraciones avanzadas de red (Firewall de 3 adaptadores, Firewall Back-to-Back)
El servidor ISA presenta el concepto de redes múltiples. Puede utilizar las características de redes múltiples del servidor ISA para proteger la red frente a amenazas internas y externas a la seguridad, ya que limitan la comunicación entre clientes, incluso dentro de la propia organización. Puede agrupar equipos de la red interna en conjuntos de redes y configurar una directiva de acceso específica para cada uno de ellos. También puede especificar relaciones entre las diversas redes y determinar, de este modo, la forma en que se comunican los equipos de cada red entre sí mediante el servidor ISA.En un entorno de publicación normal, quizá prefiera aislar los servidores publicados en su propia red, como una red perimetral. La funcionalidad de redes múltiples del servidor ISA es compatible con un entorno así, para que pueda configurar la forma en que tienen acceso a la red perimetral los clientes de la red corporativa y los clientes de la red externa. Puede configurar las relaciones entre las diversas redes y definir directivas de acceso diferentes entre cada red.
67
a. Topologías de Red
El servidor ISA incluye plantillas de red, que se corresponden con topologías de red comunes. Las plantillas de red se pueden utilizar para configurar la directiva de servidor de seguridad para el tráfico entre redes. El servidor ISA incluye las siguientes plantillas de red:
Firewall perimetral. Esta plantilla supone que hay una topología de red con el servidor ISA en el límite de la red. Un adaptador de red se conecta a la red interna y el otro se conecta a una red externa (Internet). Si selecciona esta plantilla, puede permitir todo el tráfico saliente o limitar el tráfico saliente para permitir solamente acceso a Web.
3-Leg Perimeter (Perímetro de 3 secciones). Esta plantilla supone que hay una topología de red con el servidor ISA conectado a la red interna, la red externa y una red perimetral (conocida también como DMZ, zona desmilitarizada o subred protegida).
Cliente. Esta plantilla supone que hay una topología de red con el servidor ISA en el límite de la red, con otro servidor de seguridad configurado en el servidor de servicios de fondo, para proteger la red interna.
Servidor de servicios de fondo. Esta plantilla supone que hay una topología de red con el servidor ISA implementado entre una red perimetral y la red interna, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna.
Adaptador de red único. Esta plantilla supone que hay una configuración de un adaptador de red único en una red perimetral o corporativa. En esta configuración, el
68
servidor ISA se utiliza como servidor de envío a través de proxy Web y almacenamiento en caché.
b. Reglas de protocolos en configuraciones de firewall con 3 adaptadores
El servidor ISA incluye plantillas de red, que se corresponden con topologías de red comunes. Un entorno implica la configuración de un equipo servidor ISA con tres adaptadores de red: uno se conecta a Internet (red externa), otro a la red interna y el tercero a una red perimetral. La plantilla de red perimetral de tres secciones se aplica a este entorno.Al configurar el servidor ISA mediante la aplicación de la plantilla de red perimetral de tres secciones, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad de acuerdo con la directiva concreta que se seleccione. Directiva de servidor de seguridadComo parte del proceso de aplicación de plantillas de red, seleccione la directiva de servidor de seguridad que más se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red perimetral de tres secciones e indica las reglas que se crean al seleccionar la directiva.
69
Nombre de directiva Descripción Reglas que se crean
Bloquear a todos
Esta directiva bloquea todos los accesos de red a través del servidor ISA. Esta opción no crea reglas de acceso, a excepción de la regla predeterminada, que bloquea todos los accesos. Use esta opción cuando desee definir directivas de servidor de seguridad por cuenta propia.
Ninguna.
Bloquear el acceso a Internet, permitir el acceso a los servicios de red en la red perimetral
Esta directiva bloquea todos los accesos de red a través del servidor ISA, a excepción del acceso a los servicios de red (DNS) de la red perimetral. Use esta opción cuando desee definir la directiva de servidor de seguridad por cuenta propia.
Permitir tráfico DNS desde la red interna y la red de clientes de VPN a la red perimetral.
Bloquear el acceso a Internet, pero permitir el acceso a los servicios de red del ISP
Esta directiva bloquea todos los accesos de red a través del servidor ISA, a excepción del acceso a los servicios de red externos, como DNS. Esta opción es útil cuando el ISP es el que proporciona los servicios de red. Use esta opción cuando desee definir directivas de servidor de seguridad por cuenta propia.
Permitir tráfico DNS desde la red interna, la red de clientes de VPN y la red perimetral hacia la red externa (Internet).
Permitir acceso a web limitado
Esta directiva permite acceso a Web limitado mediante el uso exclusivo de HTTP, HTTPS y FTP. Esta directiva bloquea los restantes accesos de red.
Permitir tráfico HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hasta la red perimetral y la red externa (Internet).Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna.
Permitir acceso a web limitado, permitir el acceso a los servicios de red de la red perimetral
Esta directiva permite acceso a Web limitado mediante el uso exclusivo de HTTP, HTTPS y FTP, y permite el acceso a los servicios de red de la red perimetral. Los restantes accesos de red están bloqueados. Esta opción es útil cuando los servicios de infraestructura de red están disponibles en la red perimetral.
Permitir tráfico HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red perimetral y la red externa (Internet).Permitir tráfico DNS desde la red interna y la red de clientes de VPN hacia la red perimetral.Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna.
Permitir acceso a web limitado, permitir servicios de red del ISP
Esta directiva permite el acceso limitado a Internet y permite el acceso a los servicios de red, como DNS, que proporciona su ISP. Los restantes accesos de red están bloqueados.
Permitir tráfico HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red externa
70
(Internet).Permitir DNS desde la red interna, la red de clientes de VPN y la red perimetral hacia la red externa (Internet).Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna.
Permitir todos los protocolos
Esta directiva permite el acceso a Internet sin restricciones a través del servidor ISA. El servidor ISA prevendrá el acceso de Internet a las redes protegidas.Puede modificar las reglas de acceso más tarde para bloquear determinados tipos de acceso de red.
Permitir todos los protocolos desde la red interna y la red de clientes de VPN hacia la red perimetral y la red externa (Internet).Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna.
71
c. Reglas de protocolos en configuraciones de firewall Back-to-Back
Plantilla de red de servidor de seguridad de clienteEl servidor ISA incluye plantillas de red, que se corresponden con topologías de red comunes. Un entorno implica que el equipo servidor ISA se implementa en los límites de una red, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna. En este entorno, el servidor ISA actúa como línea delantera de defensa en una configuración opuesta de red perimetral. La plantilla de red de cliente se aplica a este entorno.Al configurar el servidor ISA mediante la aplicación de la plantilla de red de cliente, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad conforme a la directiva concreta que se seleccione.
72
Directiva de servidor de seguridadComo parte del proceso de aplicación de plantillas de red, seleccione la directiva de servidor de seguridad que más se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red de cliente e indica las reglas que se crean al seleccionar cada directiva.Nombre de directiva Descripción Reglas que se
crean
Bloquear a todos
Esta directiva bloquea todo el acceso a redes a través del servidor ISA. Esta opción no crea reglas de acceso, a excepción de la regla predeterminada, que bloquea todos los accesos. Use esta opción cuando desee definir directivas de servidor de seguridad por cuenta propia.
Ninguna.
Bloquear acceso a Internet, permitir acceso a servicios de red ISP
Esta directiva bloquea todo el acceso a redes a través del servidor ISA, excepto el acceso a los servicios de red externos, como DNS. Esta opción es útil cuando el ISP es el que proporciona los servicios de red. Use esta opción cuando desee definir directivas de servidor de seguridad por cuenta propia.
Permitir DNS desde la red de clientes de VPN y la red perimetral hacia la red externa (Internet).
Bloquear acceso a Internet (los servicios de red están en la red perimetral)
Esta directiva bloquea todos los accesos de red a través del servidor ISA, a excepción del acceso a los servicios de red, como DNS, de la red perimetral. Use esta opción cuando desee definir la directiva de servidor de seguridad por cuenta propia.
Permitir DNS desde la red interna y la red de clientes de VPN hacia la red perimetral.
Permitir acceso a web limitado (los servicios de red están en la red perimetral)
Esta directiva permite el acceso a Web limitado. Los demás accesos a redes están bloqueados.
Permitir HTTP, HTTPS y FTP desde la red de clientes de VPN y la red perimetral hacia la red externa (Internet).Permitir todos los protocolos desde la red de clientes de VPN hacia la red perimetral.
Permitir acceso de web limitado, permitir servicios de red del ISP
Esta directiva permite el acceso de Web limitado y permite el acceso a los servicios de red, como DNS, que proporciona su ISP. Los demás accesos a redes están bloqueados.
Permitir HTTP, HTTPS y FTP desde la red perimetral y la red de clientes de VPN hacia la red externa (Internet).Permitir DNS desde la red interna, la red de clientes de VPN y la red perimetral hacia la red externa (Internet).Permitir todos los
73
protocolos desde la red de clientes de VPN hacia la red perimetral.
Permitir acceso sin restricciones
Esta directiva permite el acceso sin restricciones a Internet a través del servidor ISA. El servidor ISA prevendrá el acceso desde Internet hacia las redes protegidas. Puede modificar las reglas de acceso más adelante para bloquear tipos específicos de acceso a redes.
Permitir todos los protocolos desde la red perimetral y la red de clientes de VPN hacia la red externa (Internet).Permitir todos los protocolos desde la red de clientes de VPN hacia la red perimetral.
Plantilla de red de servidor de servicios de fondoEl servidor ISA incluye plantillas de red, que se corresponden con topologías de red comunes. Un entorno implica que el equipo servidor ISA se implementa entre una red perimetral y la red interna, con otro servidor de seguridad configurado en el servidor de servicios de fondo para proteger la red interna. En este entorno, el servidor ISA actúa como línea de fondo de defensa en una configuración opuesta de red perimetral. La plantilla de red de servidor de servicios de fondo se aplica a este entorno.Al configurar el servidor ISA mediante la aplicación de la plantilla de red de servidor de servicios de fondo, el servidor ISA configura las reglas de red y la directiva de servidor de seguridad conforme a la directiva concreta que se seleccione.
74
Directiva de servidor de seguridadComo parte del proceso de aplicación de plantillas de red, seleccione la directiva de servidor de seguridad que más se ajuste a las instrucciones de seguridad de su empresa. La siguiente tabla muestra una lista de las directivas de servidor de seguridad disponibles al seleccionar la plantilla de red de servidor de servicios de fondo e indica las reglas que se crean al seleccionar cada directiva.Nombre de directiva Descripción Reglas que se crean
Sin acceso: Bloquear a todos
Esta directiva bloquea todo el acceso a redes a través del servidor ISA. Esta opción no crea reglas de acceso, a excepción de la regla predeterminada, que bloquea todos los accesos. Use esta opción cuando desee definir directivas de servidor de seguridad por cuenta propia.
Ninguna.
Sin acceso: Bloquear acceso a Internet (los servicios de red están en la red perimetral)
Esta directiva bloquea todo el acceso a redes a través del servidor ISA, excepto el acceso a los servicios de red (DNS) de la red perimetral.Use esta opción cuando desee definir directivas de servidor de seguridad por cuenta propia.
Permitir DNS desde la red interna y la red de clientes de VPN hacia la red perimetral.
Sin acceso: Bloquear acceso a Internet, permitir acceso a servicios de red ISP
Esta directiva bloquea todo el acceso a redes a través del servidor ISA, excepto el acceso a los servicios de red externos, como DNS. Esta opción es útil cuando el ISP es el que proporciona los servicios de red. Use esta opción cuando desee definir las reglas de acceso de la directiva de servidor de seguridad por cuenta propia.
Permitir DNS desde la red interna y la red de clientes de VPN hacia la red externa (Internet), excepto el intervalo de direcciones perimetrales
Acceso restringido: Permitir acceso a web limitado
Esta directiva permite el acceso a Web limitado. Los demás accesos a redes están bloqueados.
Permitir HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red externa (Internet).Permitir todos los protocolos de la red de clientes de VPN hacia la red interna.
Acceso restringido: Permitir acceso a web limitado (los servicios de red están en la red perimetral)
Esta directiva permite el acceso a Web limitado y el acceso a los servicios de red de la red perimetral. Los demás accesos a redes están bloqueados.
Permitir HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red perimetral y la red externa (Internet).Permitir DNS desde la red interna y la red de clientes de VPN hacia la red perimetral.Permitir todos los protocolos desde la red
75
de clientes de VPN hacia la red interna.
Acceso restringido: Permitir acceso de web limitado, permitir acceso a servicios de red ISP
Esta directiva permite el acceso de web limitado y permite el acceso a los servicios de red, como DNS, que proporciona su ISP. Los demás accesos a redes están bloqueados.
Permitir HTTP, HTTPS y FTP desde la red interna y la red de clientes de VPN hacia la red externa (Internet).Permitir DNS desde la red interna y la red de clientes de VPN hacia la red externa (Internet), excepto el intervalo de direcciones del perímetro.Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna.
Acceso a Internet sin restricciones: Permitir todos los protocolos
Esta directiva permite el acceso sin restricciones a Internet a través del servidor ISA. El servidor ISA prevendrá el acceso desde Internet hacia las redes protegidas. Puede modificar las reglas de acceso más adelante para bloquear tipos específicos de acceso a redes.
Permitir todos los protocolos desde la red interna y la red de clientes de VPN hacia la red externa y el intervalo de direcciones del perímetro.Permitir todos los protocolos desde la red de clientes de VPN hacia la red interna.
3. Configuración de acceso a sitios web corporativos (Web Publishing)
Escuchas de redAl crear una regla de publicación de servidor para publicar un servidor, en realidad, está configurando el servidor ISA para que esté atento a las peticiones de clientes en nombre de ese servidor. En otras palabras, debe configurar una escucha de red en el
76
equipo servidor ISA que espera peticiones de clientes. Al configurar una escucha de red, debe especificar la red correspondiente al adaptador de red en el equipo servidor ISA que estará atento a las peticiones entrantes para el servidor publicado. La escucha puede estar atenta a todas las direcciones IP asociadas a una red o a direcciones IP específicas.El servidor ISA está atento al adaptador de red especificado, utilizando el número de puerto asociado al protocolo que está publicando el servidor. Selección de redes de escucha (direcciones IP)La red o redes de escucha que seleccione dependen de las redes desde la que se conectarán los clientes al servidor publicado. Por ejemplo, si el servicio que va a publicar acepta peticiones de clientes de Internet (una red externa), debería seleccionar la red externa para la escucha. Al seleccionar la red externa, se seleccionan las direcciones IP en el equipo servidor ISA asociado al adaptador de red externo. Si no limita las direcciones IP, todas aquéllas asociadas al adaptador de red externo se incluirán en la configuración de la escucha.Además, para que funcione la red, los orígenes de tráfico (entidades de red) especificados en la ficha De de las propiedades de la regla de publicación deben incluirse en una red seleccionada como escucha de red.
a. Publicación estándar
El servidor ISA utiliza las reglas de publicación de Web para aliviar los problemas asociados con el contenido de publicación de Web sin comprometer la seguridad de red. Las reglas de publicación de Web determinan cómo debe interceptar el servidor ISA las peticiones entrantes para los objetos HTTP (protocolo de transferencia de hipertexto) en un servidor Web y cómo debe responder el servidor ISA en representación del servidor Web. Las peticiones se envían seguidamente al servidor
77
Web ubicado detrás del equipo servidor ISA. Si es posible, la petición se atiende desde la caché del servidor ISA. Las reglas de publicación de Web asignan peticiones entrantes a los servidores Web correspondientes. También permiten la configuración de las funciones avanzadas de filtrado, publicando la información basada en Web mientras la protegen de un acceso malintencionado. Nota Las reglas nuevas sólo se aplican a las conexiones nuevas. Cuando configure reglas de publicación de Web, especifique lo siguiente: Nombre (o dirección IP) del servidor Web. Puede limitar la aplicación de la regla a todos los sitios Web del servidor o a un sitio Web específico. Asignación de ruta de acceso. Antes de reenviar una petición, el servidor ISA puede modificar la ruta externa especificada en la petición y asignarla a la ruta interna correspondiente. Usuarios o equipos con acceso al servidor Web publicado. Origen. Los objetos de red que pueden tener acceso al servidor Web publicado. Tenga en cuenta que los objetos de red que especifique deben incluirse también en la escucha de web especificada para esta regla de publicación de Web. Escucha de web. Se trata de la dirección IP del equipo servidor ISA que está atenta a las peticiones de los clientes. Protocolo de puente. Con el protocolo de puente, puede configurar el envío de las peticiones HTTP al servidor publicado. Traducción de vínculos. Con la traducción de vínculos, puede configurar cómo el servidor ISA examina las página Web en busca de vínculos y las actualiza con el nombre y la ruta externos. Además, puede filtrar las peticiones efectuadas al servidor Web, configurarndo el filtrado HTTP. Importante Es recomendable no permitir la función de examinar directorios en el servidor Web publicado por el servidor ISA. Además, el servidor Web no puede requerir autenticación implícita ni básica. En caso de que requiera autenticación, es posible que el nombre interno o la dirección IP del servidor Web aparezcan en Internet. AcciónLas reglas de publicación de Web especifican el servidor, si existe alguno, que devolverá el objeto solicitado. La petición puede descartarse o redirigirse a un sitio alternativo, normalmente, a un servidor Web de la red corporativa. Al configurar la regla para redirigir las peticiones a un sitio alojado, el servidor ISA recupera el objeto a partir de la ruta especificada en la petición del equipo host. Por ejemplo, imagine que especifica que el servidor ISA redirija las peticiones de example.microsoft.com/development a un equipo host llamado Dev. Cuando un cliente solicita un objeto de example.microsoft.com/development, el servidor ISA recupera el objeto en la carpeta de desarrollo en el equipo Dev. Las reglas de publicación de Web determinan el destino solicitado al leer el encabezado del host. Asignación de ruta de acceso
78
Antes de reenviar una petición a un servidor Web publicado, el servidor ISA comprueba la ruta (externa) especificada en la petición. Si configura la asignación de ruta de acceso, el servidor ISA reemplazará la ruta especificada por el nombre de ruta correspondiente. Tenga en cuenta que cada ruta que especifique debe ser distinta y única. Siga esta directrices para especificar la asignación de ruta de acceso: Al especificar la ruta interna a la que se asignará la petición, emplee este formato: /miruta/*. No se puede utilizar un carácter comodín en la ruta. Por ejemplo, no especifique miruta*/ o /miruta*. Evite especificar un nombre de archivo cuando configure la asignación de ruta de acceso. De lo contrario, tenga en cuanto que sólo se atenderá una petición para la ruta exacta. Protocolo de puenteAl crear una regla de publicación de Web, puede proteger aún más la comunicación HTTP. Aunque la comunicación inicial utilice HTTP, una vez el servidor ISA reciba la petición, puede redirigirse la comunicación utilizando SSL. Si la petición se redirige como una petición SSL, se cifrarán los paquetes. A esta redirección también se le conoce como protocolo de puente. Puede establecer que las peticiones HTTP o SSL se procesen como peticiones FTP (protocolo de transferencia de archivos) en el servidor Web. Si el cliente externo solicita un objeto mediante HTTP o SSL, el servidor ISA puede redirigir la petición al servidor Web interno mediante FTP. Si configura el protocolo de puente de esta forma, podrá especificar el puerto que debe utilizarse al enlazar las peticiones de FTP. El servidor Web que precede en la cadena puede requerir un certificado de cliente. En tal caso, configure el servidor ISA para que se autentique con un certificado de cliente específico. Si configura la regla de publicación de Web para que requiera un canal seguro, todas las peticiones de clientes para los destinos especificados deben encontrarse en el puerto indicado para las conexiones SSL. Publicación de sitios Web con el mismo nombre de dominioLos cliente identifican los sitios Web publicados por su nombre de dominio completo (FQDN), tal y como los publicó el servidor ISA. Es decir, el nombre de dominio completo del sitio Web es el nombre configurado en la regla de publicación de Web. Si se publican varios servidores Web con el mismo nombre de dominio completo, el cliente supone que los dos sitios publicados son realmente el mismo. En otras palabras, el cliente Web puede enviar la información destinada a un servidor Web al otro servidor Web. Orden de reglasLas reglas de publicación de Web se procesan junto con las reglas de directiva de servidor de seguridad. Se procesan en orden, para cada petición de Web entrante. Cuando la regla coincide con una petición, ésta se enruta y se almacena en caché de
79
la forma especificada. Si no coincide ninguna regla con la petición, el servidor ISA procesa la regla predeterminada y descarta la petición.
b. Publicación de OWA
Microsoft Internet Security and Acceleration (ISA) Server 2004 y Microsoft Outlook Web Access pueden combinarse para mejorar la seguridad de los mensajes de correo electrónico. Puede publicar de forma segura servidores Outlook Web Access con reglas de publicación de servidor de correo.
Al publicar servidores Outlook Web Access mediante el servidor ISA, protege el servidor Outlook Web Access frente a un acceso externo directo, ya que el nombre y la dirección IP de este servidor no son accesibles para el usuario. El usuario accede al equipo servidor ISA, que reenvía a continuación la petición al servidor Outlook Web Access en función de las condiciones de la regla de publicación de servidor de correo.
El Asistente para publicación de servidor de correo le conduce por los pasos necesarios pata publicar servidores Outlook Web Access de forma segura. Dado que el servidor Outlook Web Access requiere que el cliente solicite el nombre de dominio completo (FQDN), el asistente configura el servidor ISA para que reenvíe el encabezado de host original al servidor Outlook Web Access publicado.
Después de completar el asistente, se especifican las siguientes rutas para la regla de publicación de Web resultante:
/exchange/* /exchweb/* /public/*
80
Para obtener información detallada acerca de cómo publicar entornos Outlook Web Access con el servidor ISA, vea el documento "Publicación del servidor Outlook Web Access en ISA Server 2004", disponible en el sitio Web del servidor ISA(http://www.microsoft.com/isaserver).
Publicación de servidores Outlook Web Access
Al crear la regla de publicación de servidor de correo, tenga en cuenta lo siguiente:
Debe especificar sólo puertos estándares, tanto en el servidor ISA como en el servidor OWA. El puerto estándar para HTTP es 80 y el puerto estándar para HTTPS es 443.
Al publicar el servidor OWA, no puede configurar el protocolo de puente para que se reenvíen las peticiones HTTP como peticiones HTTPS.
Si configura el protocolo de puente, especificando que las peticiones HTTPS deben reenviarse como peticiones HTTP al servidor OWA, no habilite la traducción de vínculos.
Publicar Outlook Mobile Access y Exchange Application Services
Como parte del Asistente para publicación de servidor de correo, puede seleccionar configurar la publicación de Outlook Web Access y Exchange Application Services, que, al igual que Outlook Web Access, son servidores de correo basados en Web. Si publica Outlook Mobile Access y Exchange Application Services, se especificarán las rutas de acceso siguientes para la regla de publicación resultante:
/OMA/* /Microsoft-Server-ActiveSync/*
Escuchas de web para la publicación de Outlook Web Access
La escucha de web que configure para la publicación de Outlook Web Access puede configurarse para que utilice la autenticación basadas en formas. Si configura conexiones seguras con los clientes, asegúrese de que la escucha atiende las peticiones en un puerto HTTPS.
En este caso, los formularios de autenticación se atenderán desde el equipo servidor ISA, habilitando la autenticación basada en formas al publicar Exchange 2000 Server y Exchange Server versión 5.5.
Importante
Por razones de seguridad, se recomienda que la escucha de web configurada para la publicación Outlook Web Access no se utilice para ningún otro entorno de publicación.
Autenticación basada en formularios
Como parte del asistente, especifique la escucha que desea utilizar para las peticiones Outlook Web Access entrantes.
81
Cuando configure Outlook Web Access, le recomendamos que utilice la autenticación basada en formas. Con esta autenticación se evita el peligro inherente al almacenamiento en caché de credenciales de cliente en el equipo cliente. El almacenamiento en caché de credenciales es arriesgado en entornos de pantalla completa. Como las credenciales se almacenan en caché, aunque el usuario cierre la sesión, si la ventana del explorador se queda abierta, un usuario malintencionado puede lograr acceso a la sesión original de Outlook Web Access.
Para habilitar la autenticación basada en formas, debe especificar una escucha configurada para utilizar este tipo de autenticación.
El servidor ISA admite la autenticación basada en formas al publicar Exchange Server 2003, Exchange 2000 Server y Exchange Server, versión 5.5.
Nota
La autenticación basada en formas no se puede utilizar con clientes Outlook Mobile Access.
Modo de protocolo de puente
Como parte del asistente para la regla de publicación de Outlook Web Access, puede especificar el modo de protocolo de puente que desea utilizar:
Conexión segura a clientes. Si se selecciona esta opción, el servidor ISA establece una conexión segura con los equipos cliente y una conexión estándar con el servidor de correo.
Conexión segura a servidor de correo y clientes. Si se selecciona esta opción, el servidor ISA establece una conexión segura tanto con el servidor de correo como con los clientes.
Sólo conexiones estándar. Si se selecciona esta opción, el servidor ISA establece una conexión estándar tanto con el servidor de correo como con los clientes.
La configuración recomendada para la publicación de Outlook Web Access es utilizar comunicación con cifrado SSL (HTTPS), tanto desde el cliente externo hacia el equipo servidor ISA como desde éste al servidor Outlook Web Access. Esto se debe a que la información de las credenciales que se utiliza en el proceso de autenticación debe protegerse y no debe exponerse, ni siquiera dentro de la red interna. Por este motivo debe instalar certificados digitales tanto en el equipo servidor ISA como en el servidor Outlook Web Access.
Equipos públicos (compartidos) y privados
Outlook Web Access permite a los usuarios tener acceso a sus buzones de Exchange desde cualquier equipo. Dicho equipo puede ser tanto privado como público (compartido). La comodidad que ofrece la capacidad para tener acceso a mensajes de correo electrónico desde cualquier lugar se contrarresta con el peligro que supone dejar los datos en un equipo público.
Para combatir estas amenazas, la autenticación basada en formas del servidor ISA le ayuda a asegurarse de que los usuarios no dejan sus contraseñas almacenadas en la caché de equipos públicos.
82
Cambiar contraseñas de usuario
Outlook Web Access incluye una funcionalidad opcional que permite a los usuarios cambiar sus contraseñas. Si un usuario cambia su contraseña durante una sesión de Outlook Web Access, dejará de ser válida la cookie proporcionada después de que el usuario iniciara la sesión. Cuando la autenticación basada en formas se configura en el servidor ISA, el usuario que cambie la contraseña durante una sesión de Outlook Web Access verá la página de inicio de sesión la próxima vez que se realice una petición.
Para permitir a los usuarios cambiar sus contraseñas, asegúrese de agregar la carpeta /IISADMPWD/* a la regla de publicación del servidor de correo Outlook Web Access. Si no lo hace, el usuario recibirá un error cada vez que haga clic en el botón Cambiar contraseña de Outlook Web Access.
Bloquear datos adjuntos
Con el servidor ISA se puede impedir que los usuarios abran y guarden datos adjuntos. El bloqueo se puede configurar para clientes Outlook Web Access en un equipo público, en uno privado o en ambos.
Tenga en cuenta que el bloqueo de datos adjuntos del servidor ISA difiere del que realiza Exchange Server. El usuario puede ver que los mensajes tienen datos adjuntos, pero no pueden abrirlos ni guardarlos.
Recuperar páginas previamente
Los servidores Exchange Outlook Web Access incluyen una característica de recuperación previa, que permite descargar archivos al equipo cliente mientras el cliente transfiere las credenciales. Al utilizar la autenticación basada en formas del servidor ISA, para habilitar esta característica, debe quitar las marcas de comentario de la siguiente línea de los archivos logoff_msierich.htm y logoff_msierich_smimecap.htm, que suelen encontrarse en la subcarpeta CookieAuthFilter (en la carpeta de instalación del servidor ISA):
"<IFRAME src="/exchweb/controls/preload.htm" style="display:none"></IFRAME>"
Esta característica de recuperación requiere el acceso no autenticado a la carpeta /exchweb/* del servidor Outlook Web Access. Por lo tanto, si los clientes de correo basado en Web necesitan autenticarse en el servidor ISA, debe crear una regla de publicación de Web que permita el acceso anónimo a la carpeta /exchweb/* en el servidor Outlook Web Access. Posteriormente, no debería habilitarse la característica de recuperación si la escucha de web está configurada para requerir autenticación.
c. Publicación de Sitios seguros (SSL)
83
Con el servidor ISA puede crear reglas de publicación de Web seguras para publicar sitios Web que alojen contenido HTTP. Las reglas de publicación de Web seguras determinan la forma en que el servidor ISA va a interceptar las peticiones entrantes de objetos HTTPS en un servidor Web interno y cómo va a responder el servidor ISA en nombre del servidor Web. Las peticiones se reenvían al servidor Web interno, que se ubica detrás del equipo servidor ISA.
Nota
Las reglas nuevas sólo se aplican a las conexiones nuevas.
Protocolo de puente
Con el protocolo de puente puede configurar cómo se debe transmitir el tráfico al servidor Web. Por ejemplo, imaginemos que un cliente utiliza SSL (capa de sockets seguros) para comunicarse con el equipo servidor ISA y una regla de publicación de Web asigna la petición a un servidor Web interno. La comunicación inicial utiliza SSL. Sin embargo, de forma predeterminada, el resto de comunicaciones utiliza un protocolo no seguro, como HTTP.
Al crear una regla de publicación de Web segura, se puede configurar la forma en que se van a redirigir las peticiones de SSL, como peticiones de HTTP o peticiones de SSL. Si se redirigen como peticiones de SSL, el servidor ISA vuelve a cifrar los paquetes antes de transmitirlos al servidor Web. Por lo tanto, se establece un nuevo canal seguro para la comunicación con el servidor Web SSL. Esta redirección también se denomina Protocolo de puente SSL.
84
Protocolo de túnel
Al configurar una regla de publicación de Web segura para que utilice el modo de protocolo de túnel, el servidor ISA envía el tráfico cifrado sin modificar al servidor Web publicado. En otras palabras, el servidor ISA no realiza filtrado adicional del tráfico.
Las reglas de publicación de Web segura que utilizan el modo de protocolo de túnel (en lugar del modo de protocolo de puente) son más similares a las reglas de publicación de servidor que a las reglas de publicación de Web. Muchas de las características de publicación de Web no se pueden aplicar a estas reglas, incluyendo la traducción de vínculos y la asignación de rutas de acceso. La regla no se puede aplicar a usuarios específicos (sólo a objetos de red).
Escucha
Al configurar reglas de publicación de web seguras, se define la forma en que se va a tener acceso al contenido HTTPS en un servidor Web publicado. Debe especificarse una escucha adecuada, configurada para atender un puerto HTTPS, para la regla de publicación de Web segura.
85
4. Configuraciones de acceso a servicios en la red perimetral/corporativa (Server publishing)
a. Publicación de Mail Server
Cuando se crean reglas de publicación de servidor de correo, ISA Server 2004 crea las reglas de publicación necesarias para permitir el acceso de los clientes a los servidores de correo. Según el tipo de servidor de correo especificado, se configuran las reglas de publicación de Web o de servidor, que permiten el acceso a los servidores de correo mediante los protocolos que especifique. Puede seleccionar uno de los tipos de acceso siguientes ofrecidos por el servidor de correo publicado:
Acceso de cliente web. Permite el acceso de los clientes a servidores Microsoft Outlook® Web Access, Outlook Mobile Access o Exchange Application Services. Si selecciona esta opción, el servidor ISA configurará las reglas de publicación de Web correspondientes.
Acceso de cliente. Permite que los clientes usen la llamada a procedimiento remoto (RPC), el Protocolo de acceso de mensajes de Internet, versión 4rev1 (IMAP4), el Protocolo de oficina de correos, versión 3 (POP3) o el Protocolo simple de transferencia de correo (SMTP) para tener acceso al correo. Al seleccionar esta opción, se crea una regla de publicación de servidor para cada protocolo seleccionado.
Comunicación de servidor a servidor. Permite el acceso a los servidores SMTP (correo) y a los servidores NNTP (noticias).
Al publicar un servidor de correo, es recomendable configurar el nombre FQDN del servidor de correo con el nombre DNS externo del equipo servidor ISA. De este modo, el nombre interno del servidor de correo no estará disponible públicamente y, por lo tanto, no será propenso a ataques.
86
Filtrado SMTPSi el filtro SMTP está instalado y habilitado, puede aplicar el filtrado SMTP. Filtrado RPCAl publicar servidores de correo de tipo RPC, puede aplicar el filtrado RPC.
b. Publicación de otros servicios
El servidor ISA utiliza la publicación de servidor para procesar las peticiones entrantes en servidores internos como, por ejemplo, servidores FTP (protocolo de transferencia de archivos), servidores SQL (lenguaje de consulta estructurado), etc. Las peticiones se envían seguidamente al servidor interno que se ubica detrás del equipo servidor ISA.La función de publicación de servidor permite a casi todos los equipos de la red interna publicar en Internet. La seguridad no se pone en peligro porque todas las peticiones entrantes y respuestas salientes se transfieren a través del servidor ISA. Cuando un servidor se publica mediante un equipo servidor ISA, las direcciones IP publicadas coinciden con las direcciones IP del equipo servidor ISA. Los usuarios que solicitan objetos creen que están estableciendo una comunicación con el servidor ISA (al solicitar el objeto, ellos especifican el nombre o la dirección IP de dicho servidor). No obstante, en realidad, están solicitando la información del servidor de publicación. Esto se produce cuando la red en la que se encuentra el servidor publicado tiene una relación NAT (traducción de direcciones de red) desde la red en la que se encuentran los clientes que tienen acceso al servidor publicado. Al configurar una relación de redes enrutadas, los clientes utilizan la dirección IP real del servidor publicado para obtener acceso a él. Las reglas de publicación de servidor determinan el funcionamiento de la publicación del servidor, sobre todo, el filtrado de todas las peticiones entrantes y salientes procesadas por el equipo servidor ISA. Las reglas de publicación de servidor asignan peticiones entrantes a los servidores adecuados detrás del equipo servidor ISA. Estas reglas proporcionan, de un modo dinámico, el acceso de los usuarios de Internet al servidor de publicación que se haya especificado.
87
El servidor publicado es un cliente de SecureNAT. Por lo tanto, no se requiere ninguna configuración especial del servidor publicado tras crear la regla de publicación de servidor en el equipo servidor ISA. Observe que el servidor ISA debe configurarse como la puerta de enlace predeterminada en el servidor publicado. Notas
No se admiten los protocolos principales de publicación ICMP (protocolo de mensajes de control de Internet) y Nivel de IP. No obstante, sí se admite, de forma excepcional, el protocolo PPTP (protocolo de túnel punto a punto), que es una combinación de una conexión TCP y los paquetes GRE (Generic Routing Encapsulation).
Las reglas nuevas sólo se aplican a las conexiones nuevas. Las reglas de publicación de servidor se aplican sólo a un protocolo. Filtrado por reglaEl filtrado de aplicación se configura por reglas. Esto quiere decir que puede utilizar la directiva de servidor de seguridad que mejor se adapte a sus necesidades de seguridad específicas. El filtrado por regla está disponible para las reglas de publicación de servidor desde el filtro RPC de Exchange:Funcionamiento de la publicación de servidorEl servidor ISA lleva a cabo los siguientes pasos durante la publicación del servidor:
1. Un equipo cliente de Internet solicita un objeto desde una dirección IP que corresponde a la del servidor de publicación. La dirección IP está asociada en realidad al equipo servidor ISA. Se trata de la dirección IP del adaptador de red externo perteneciente al equipo servidor ISA.
2. El equipo servidor ISA procesa la petición, asignando la dirección IP a una dirección IP interna de un servidor interno.
3. El servidor interno devuelve el objeto al equipo servidor ISA, y éste lo transfiere al cliente que lo solicitó.
Uso de la regla de publicación de servidorEn la mayoría de los casos, puede utilizar una regla de acceso, en lugar de una regla de publicación de servidor, para poner el servidor a disposición de los clientes. A continuación se describen algunos puntos que debe tener en cuenta:
Debe utilizar una regla de publicación de servidor cuando exista una relación de redes NAT entre la red del servidor publicado y la red del cliente.
Una regla de publicación de servidor sólo puede publicar un único servidor identificado. Para publicar varios servidores, son necesarias varias reglas.
Con las reglas de publicación de servidor, puede configurar las opciones para sobrescribir puertos.
Publicación de servidores DNSEl servidor ISA no traduce la dirección IP de los servidores DNS. Para publicar un servidor DNS, configure una relación de redes enrutadas entre la red de host local y la red que incluye el servidor DNS. Asimismo, el servidor ISA debe conocer la dirección IP del servidor DNS.Deshabilitar reglasAl deshabilitar una regla de publicación de servidor, cualquier intento de establecer conexión con el servidor será rechazado. Sin embargo, tenga en cuenta que el servidor ISA no cierra las conexiones activas. Dichas conexiones pueden detenerse mediante la desconexión de las sesiones relacionadas.
c. Publicación usando PAT (Port Address Translation)
88
De forma predeterminada, al crear una regla de directiva de servidor de seguridad, el servidor ISA está atento al puerto especificado, si bien acepta peticiones de clientes en cualquier puerto. Puede limitar la regla para aceptar peticiones sólo de puertos de origen especificados para las reglas de acceso y las reglas de publicación de servidor.Además, para las reglas de publicación de servidor, puede especificar el puerto que utilizará el servidor ISA para aceptar las peticiones de clientes entrantes destinadas al servidor publicado. Si decide publicar en un puerto distinto al predeterminado, el servidor ISA recibirá las peticiones de clientes para el servicio publicado en el puerto no estándar y, a continuación, reenviará las peticiones al puerto designado en el servidor publicado. Por ejemplo, una regla de publicación de servidor puede especificar que las peticiones de clientes para los servicios del Protocolo de transferencia de archivos (FTP) se conecten a través del puerto 22 en el equipo servidor ISA antes de redireccionarlas al puerto 21 en el servidor publicado.Además, puede especificar, para las reglas de publicación de servidor, que el servidor publicado acepte las peticiones de clientes para el servicio publicado en un puerto distinto al predeterminado. Por ejemplo, si desea publicar dos servidores FTP, puede publicar un servidor FTP en el puerto predeterminado para un conjunto de usuarios y publicar el otro en otro puerto no estándar para un conjunto de usuarios diferente. Para reemplazar los puertos predeterminados en las reglas de publicación de servidor
1. En el árbol de la consola de Administración del servidor ISA, haga clic en Directiva de firewall.
89
o Microsoft ISA Server 2004 o Nombre_servidor o Directiva de servidor de seguridad
2. En el panel de detalles, haga clic en la regla aplicable. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Tráfico, haga clic en Puertos. 5. En Puertos del firewall, seleccione una de las opciones siguientes:
o Publicar a través del puerto predeterminado especificado en la definición de protocolo. Si se selecciona esta opción, el servidor ISA aceptará las peticiones entrantes de los clientes en el puerto predeterminado.
o Publicar en este puerto en lugar del puerto predeterminado. Si se selecciona esta opción, el servidor ISA aceptará las peticiones entrantes de los clientes en cualquier puerto que no sea el predeterminado. Si se selecciona un puerto alternativo, el servidor ISA recibe las peticiones de cliente para el servicio publicado en un puerto no estándar y, a continuación, reenvía las peticiones al puerto designado en el servidor publicado.
6. En Puertos del servidor publicado, seleccione una de las opciones siguientes:
o Enviar peticiones al puerto predeterminado en el servidor publicado. Si se selecciona esta opción, el servidor ISA aceptará peticiones del servicio publicado en el puerto predeterminado, como se indica en la definición del protocolo.
o Enviar peticiones a este puerto en el servidor publicado. Si se selecciona esta opción, el servidor ISA aceptará peticiones del servicio publicado en cualquier puerto que no sea el predeterminado.
7. En Puertos de origen, seleccione una de las opciones siguientes: o Permitir tráfico de cualquier puerto de origen permitido. Si se
selecciona esta opción, el servidor ISA aceptará peticiones de cualquier puerto de los equipos cliente permitidos.
o Limitar acceso al tráfico de este intervalo de puertos de origen. Si se selecciona esta opción, el servidor ISA sólo aceptará peticiones de los puertos que se especifiquen.
NotaPara abrir Administración del servidor ISA, haga clic en Inicio, seleccione Todos los programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA.
90
5. Monitoreo y reportes en ISA 2004. a. Generación de reportes de utilización
Puede utilizar la función de creación de informes del servidor ISA para resumir y analizar los patrones de comunicación. En particular, se pueden crear informes que muestren los patrones de uso común. Por ejemplo:
quién tiene acceso a los sitios y los sitios a los que se tiene acceso. qué protocolos y aplicaciones son los que se utilizan con más frecuencia. patrones generales del tráfico. proporción de la caché.
Los informes también se pueden utilizar para supervisar la seguridad de la red. Por ejemplo, se pueden generar informes que realicen un seguimiento de los intentos malintencionados de tener acceso a los recursos internos. De igual forma, mediante el seguimiento del número de conexiones a un servidor publicado o del tráfico al servidor, se puede identificar un intento de denegación de servicio.Informes periódicosEl mecanismo de creación de informes del servidor ISA permite programar informes periódicos en función de los datos recogidos de los archivos de registro. Se puede programar que los informes se generen de forma periódica y recurrente cada día, semana, mes o año. El informe puede incluir datos diarios, semanales, mensuales o anuales.Al programar un trabajo de informes, especifique lo siguiente:
periodo de actividad que abarcará el informe. cuándo y con qué frecuencia se generará el informe.
91
Cómo funciona el mecanismo de los informesEl mecanismo de generación de informes del servidor ISA combina los registros de resúmenes de los equipos ISA Server en una base de datos en cada equipo servidor ISA. Dicha base de datos se encuentra en una carpeta del equipo servidor ISA; de forma predeterminada, en la carpeta ISASummaries. Al crearse un informe, todas las bases de datos de resúmenes relevantes se combinan en una sola base de datos de informes. El informe se crea según los resúmenes combinados. Los informes del servidor ISA se basan en los registros del servicio proxy Web y del servicio del servidor de seguridad de Microsoft. La tabla siguiente muestra los campos del registro del servicio del servidor de seguridad y los campos de registro del proxy Web que se utilizan para generar informes.Campos del registro del proxy Web
Campos del registro del servicio del servidor de seguridad
Bytes recibidos AcciónBytes enviados Bytes recibidosAgente del cliente Bytes enviadosIP de cliente Diferencia de bytes enviadosNombre de usuario de cliente Agente del clienteNombre de host de destino Nombre de usuario de clienteIP de destino IP de clientePuerto de destino Puerto del clienteCódigo de estado HTTP IP de destinoHora de registro Puerto de destinoFecha del registro Fecha del registroOrigen del objeto Hora de registroTiempo de procesamiento IP de cliente originalProtocolo Tiempo de procesamientoTransporte Diferencia de tiempo de procesamientoDirección URL Protocolo Código de resultados TransporteEn un momento determinado, la aplicación DailySum.exe, que se instala con el servidor ISA, resume la información del registro mostrada arriba. De forma predeterminada, DailySum.exe siempre se ejecuta en el equipo servidor ISA, independientemente de que se creen o se programen informes. Se guardan dos resúmenes del registro: uno con un resumen diario y otro con un resumen mensual. Al principio de cada mes, Dailysum.exe crea también un resumen mensual que incluye todos los resúmenes diarios del mes anterior. Se guardan, como mínimo, treinta y cinco resúmenes diarios y trece mensuales. Puede configurar la forma y el lugar en que el servidor ISA guarda los resúmenes del registro. Para generar los informes, el servidor ISA ejecuta la aplicación ISARepGen.exe, que también se instala con él. Visualización y publicación de informesPara ver un informe, puede hacer doble clic en el nombre del informe en Administración del servidor ISA. El informe se muestra en Internet Explorer. El informe puede verse sólo en el equipo en el que se ejecuta Administración del servidor ISA. En cualquier otro equipo, el informe no mostrará ningún dato o mostrará una página con marcos vacíos y el siguiente mensaje: "No se puede mostrar la página".Tenga en cuenta lo siguiente en relación con los datos que se muestran en el informe:
92
Las peticiones se calculan solamente cuando finaliza la conexión. Los bytes se cuentan en cada línea del registro.
Publicar informesPara hacer que los informes sean más accesibles, puede publicarlos en una carpeta compartida. Todo aquél que necesite tener acceso a los informes deberá contar con permisos de lectura en esta carpeta. De esta forma, el resto podrá ver los informes sin necesidad de tener acceso al equipo servidor ISA y tampoco a través de Administración del servidor ISA. Cuando se publica un informe, se guardan varios archivos de informe y los gráficos asociados en la carpeta de publicación especificada. Credenciales para la publicación de informesAl publicar cualquier informe, el proceso IsaRepGen.exe debe contar con permisos de escritura en la carpeta de publicación. Puede configurar las credenciales utilizadas por IsaRepGen.exe para crear informes.De forma predeterminada, se utiliza la cuenta del sistema local. Sin embargo, tenga en cuenta que si publica informes en un equipo distinto, las credenciales de la cuenta del sistema local se transmiten como las de la cuenta del equipo (con servidor ISA). La cuenta del equipo debe tener permisos de escritura en la carpeta compartida de red.Si el servidor ISA está instalado en un dominio Windows NT 4.0 o en modo de grupo de trabajo, IsaRepGen.exe utiliza la cuenta no autenticada. En este caso, recomendamos que especifique las credenciales de usuario al publicar los informes en otro equipo.Contenido de los informesPuede configurar el contenido que quiere incluir en cada informe. Es posible incluir el siguiente tipo de contenido en un informe:
Resumen. Al incluir el contenido de resumen, el informe incluye información resumida sobre el uso del tráfico de red, ordenado por aplicación. Estos informes son muy importantes para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa.
Uso de web. Al incluir el contenido de uso del Web, el informe muestra información sobre los usuarios más frecuentes del Web, las respuestas comunes y los exploradores. Estos informes son muy importantes para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa. Muestran cómo se utiliza el Web en una empresa.
Uso de aplicaciones. Al incluir el contenido de uso de la aplicación, el informe muestra información del uso de la aplicación de Internet sobre los usuarios más frecuentes, las aplicaciones del cliente y los destinos.
Tráfico y utilización. Al incluir el contenido de tráfico y utilización, el informe muestra el uso total de Internet por aplicación, protocolo y dirección. Estos informes también muestran el promedio del tráfico y el número máximo de conexiones simultáneas, la frecuencia de aciertos de la caché y otras estadísticas.
Seguridad. Al incluir el contenido de seguridad, el informe enumera los intentos de quebrantar la seguridad de la red.
93
b. Monitoreo en tiempo real
La vista Escritorio digital del servidor ISA resume la información de supervisión de las sesiones, alertas, servicios, informes y conectividad, así como el estado general del sistema. La vista predeterminada Escritorio digital muestra la siguiente información:
Conectividad. Comprueba la conectividad entre el servidor ISA y otros equipos o direcciones URL.
Alertas. Enumera los sucesos que han tenido lugar en el equipo servidor ISA. Servicios. Enumera los servicios del equipo servidor ISA y su estado actual. Sesiones. Enumera el total de las sesiones de los clientes. Informes. Enumera los informes creados recientemente. Estado del sistema. Muestra la información de rendimiento del equipo
servidor ISA. Cada área del escritorio digital cuenta con una indicación visual de estado. Una X en un círculo rojo indica un posible problema, un icono amarillo indica una advertencia y una marca de verificación en un círculo verde indica que no hay ningún problema.Puede personalizar la vista Escritorio digital para ocultar cierta información. Utilizar el escritorio digital para supervisar el estado del servidor ISAEl escritorio digital resulta útil para identificar rápidamente problemas graves relacionados con el servidor ISA. Verificar el estado de los servidores y servicios principales puede formar parte de la rutina diaria.Por ejemplo, puede verificar que los servicios del servidor ISA funcionan correctamente y que los servidores principales tienen conectividad. Con echar un vistazo al escritorio digital podrá saber si todo funciona correctamente. Una vez
94
comprobado el estado del funcionamiento, puede revisar las alertas para comprobar si se han evitado ataques o si algún problema específico requiere atención inmediata.Si descubre algún problema en el escritorio digital, puede buscar más información fácilmente. Haga clic en el encabezado del panel correspondiente para tener acceso a una ficha con información más detallada. Puede confirmar y restablecer instancias de alertas en la vista Escritorio digital.
c. Monitoreo de servicios y alertas
Al instalar el servidor ISA, también se instalan los siguientes servicios del sistema operativo Microsoft® Windows®:
Servicio del servidor de seguridad de Microsoft Servicio Control de Microsoft ISA Server Servicio Programador de trabajos de Microsoft ISA Server Motor de datos Microsoft
La vista Servicios se puede utilizar para detener o iniciar los servicios del servidor de seguridad de Microsoft, Programador de trabajos de Microsoft ISA Server y Motor de datos Microsoft. Además, el controlador del filtro de paquetes (fweng) es un controlador en modo de núcleo que captura todo el tráfico del servidor de seguridad y toma las decisiones de filtrado de paquetes y traducción de direcciones del tráfico de red.Servicio del servidor de seguridad de MicrosoftEl servicio del servidor de seguridad de Microsoft (fwsrv) es un servicio de Windows que admite peticiones de clientes del servidor de seguridad y clientes SecureNAT.Puede utilizar Administración del servidor ISA para supervisar el estado del servicio del servidor de seguridad de Microsoft. Asimismo, puede utilizar Administración del servidor ISA para detener o iniciar el servicio del servidor de seguridad.
95
El servicio del servidor de seguridad admite peticiones de cualquier explorador Web, lo que permite el acceso a Web a casi todos los sistemas operativos de escritorio, entre los que se incluyen Microsoft Windows Server™ 2003, Windows XP, Windows 2000, Windows Millennium Edition, Windows NT®, Windows 98, Windows 95, Macintosh y UNIX. El servicio del servidor de seguridad funciona a nivel de aplicación en nombre de un cliente que solicita un objeto de Internet que se puede recuperar con uno de los protocolos compatibles con los protocolos proxy Web: Protocolo de transferencia de archivos (FTP), protocolo de transferencia de hipertexto (HTTP) y HTTPS. Los clientes, normalmente exploradores, deben configurarse específicamente para utilizar el equipo servidor ISA. Cuando un usuario solicita un sitio Web, el explorador analiza la dirección URL. Si se utiliza una dirección punto com, como en un nombre de dominio completo (FQDN) o una dirección IP, el explorador considera que el destino es remoto y envía la petición HTTP al equipo servidor ISA para que la procese.Al detener el servicio del servidor de seguridad, la información de la caché no se elimina. Sin embargo, al reiniciarlo, pueden pasar varios segundos antes de que la caché esté totalmente habilitada y en funcionamiento. Si se produce un fallo en el servicio, el servidor ISA restaurará la información de la caché. Esta acción puede tardar un tiempo y es posible que el rendimiento no sea óptimo hasta que se restaure la caché.Servicio Control del servidor ISAEl servicio Control del servidor ISA (mspadmin) es un servicio de Microsoft Windows responsable de:
Reiniciar otros servicios del servidor ISA, según sea necesario. Generar alertas y ejecutar acciones. Eliminar archivos de registro no utilizados.
Administración del servidor ISA no se puede utilizar para detener o iniciar el servicio Control del servidor ISA. Para detener el servicio, escriba el siguiente texto en el símbolo del sistema:net stop isactrl Si detiene el servicio Control del servidor ISA, también se detendrán el resto de servicios del servidor ISA.Programador de trabajos de Microsoft ISA ServerEl servicio Programador de trabajos de Microsoft ISA Server (w3prefch) es un servicio de Microsoft Windows que descarga contenido de la caché de los servidores Web, de acuerdo con los trabajos que configure con Administración del servidor ISA.Puede utilizar Administración del servidor ISA para supervisar el estado del servicio Programador de trabajos de Microsoft ISA Server. Asimismo, puede utilizar Administración del servidor ISA para detener o iniciar el servicio Programador de trabajos de Microsoft ISA Server. Si este servicio se detiene, no se pueden ejecutar trabajos de descarga programada de contenido. AlertasEl servicio de alertas del servidor ISA le notifica cuándo se producen los sucesos especificados. Puede configurar las definiciones de alerta para que, al producirse un suceso, se desencadene una serie de acciones. El servicio de alertas del servidor ISA actúa como distribuidor y como filtro de sucesos. Se encarga de captar sucesos, comprobar si se reúnen ciertas condiciones y de adoptar las acciones correspondientes.Administración del servidor ISA muestra la lista completa de sucesos que han tenido lugar, clasificada por categorías de tipos de alerta: información, advertencia y error.Todas las alertas se muestran en la vista Alertas.
96
Confirmar y restablecer alertasCuando tiene lugar un suceso, el servidor ISA desencadena la acción configurada en la definición de la alerta. La alerta aparece en la vista Alertas y se muestra un resumen de todos los sucesos en la vista Escritorio digital.Puede restablecer un grupo completo de instancias de alertas seleccionando el encabezado de la alerta. En la vista Alertas, las instancias de alertas se agrupan por categoría (por ejemplo, Servicio desconectado). Puede expandir o contraer los encabezados de grupo para mostrar u ocultar los elementos que contienen. Puede utilizar Administración del servidor ISA para indicar que está administrando un suceso o un grupo de sucesos concreto confirmando los sucesos. Cuando marca un suceso (o un grupo de sucesos) como confirmado, su estado cambia en la vista Alertas y dichos sucesos ya no se muestran en el escritorio digital. De forma similar, es posible restablecer una alerta quitándola de la vista Alertas. Nota
Todas las alertas se restablecen cuando se reinicia el equipo servidor ISA. Crear definiciones de alertasAl instalar el servidor ISA, se preconfigura una alerta para cada tipo de evento. Puede definir más sucesos específicos. Por ejemplo, considere la definición de alerta preconfigurada para el suceso La configuración de red cambió. Como administrador de la red, tal vez quiera precisar esta alerta general y crear dos definiciones de alerta únicas:
Una definición de alerta para el caso en que se deshabilite una red. Una definición de alerta para el caso en que se habilite una red.
La definición de alerta de la primera opción desencadenaría una acción que ejecutase un archivo por lotes para desconectar el equipo de un clúster con equilibrio de carga cada vez que se deshabilita una red. La definición de alerta de la segunda opción podría ser el envío de un mensaje de correo electrónico.
Nota Las alertas con sucesos específicos tienen prioridad frente a las de sucesos
menos específicos. Por ejemplo, suponga que tiene configuradas dos alertas, una para "Cualquier cambio de configuración de red" y otra para "Red conectada". Cuando una red está conectada, tendrán lugar las acciones de alerta de la segunda opción.
Configurar definiciones de alertasPuede seleccionar el suceso y la condición adicional que desencadena una acción de alerta.También puede configurar los siguientes umbrales, que determinan cuándo debe realizarse la acción de alerta.
Número de veces por segundo que se produce el suceso antes de emitirse una alerta (también se denomina umbral de frecuencia de suceso).
Número de sucesos que deben producirse antes de emitirse la alerta. Tiempo de espera antes de volver a emitir la alerta.
Acción de alertaPuede establecer una o varias de las siguientes acciones para que se realicen al cumplirse una condición de alerta:
Enviar un mensaje de correo electrónico. Ejecutar una acción específica. Registrar el suceso en el registro de sucesos de Windows. Detener o iniciar el servicio del servidor de seguridad de Microsoft o el
servicio de descarga de contenido programado.
97
Puede configurar las credenciales que deben utilizarse cuando se ejecuta una aplicación. Utilice la directiva de seguridad local para configurar los privilegios del usuario. Nota
Asegúrese de que el usuario especificado tenga los privilegios de Inicio de sesión como trabajo en lote.
Cuando la acción de alerta consiste en ejecutar un comando, la ruta de acceso especificada para la acción del comando debe existir en el equipo servidor ISA. Recomendamos utilizar variables de entorno (como %SystemDrive%) en el nombre de la ruta de acceso. Si configura una acción por correo electrónico para utilizar un servidor SMTP ubicado en la red interna, debe habilitar la regla de directivas del sistema que permita a la red del host local tener acceso a la red interna a través del protocolo SMTP. En el Editor de directivas del sistema, en el grupo de configuración Supervisión remota, selecione SMTP y, a continuación, haga clic en Habilitar. Se habilita la regla Allow SMTP protocol from firewall to trusted servers.Si configura una acción por correo electrónico para utilizar un servidor SMTP externo, debe crear una regla de acceso que permita a la red del host local tener acceso a la red externa (o a la red en la que se ubica el servidor SMTP) a través del protocolo SMTP.
98
SucesosLa siguiente tabla enumera los sucesos y, cuando es necesario, las claves adicionales definidas por el servidor ISA. Al crear una alerta, especifique uno de los siguientes sucesos que la desencadenan.Suceso DescripciónError en la acción de alerta Error en la acción asociada con esta alerta. Error al inicializar el contenedor de caché
Error de inicialización del contenedor de caché, contenedor omitido.
Recuperación del contenedor de caché finalizada
Finalizó la recuperación de un contenedor simple.
Error al cambiar el tamaño del archivo de caché
Ha fallado la operación para reducir el tamaño de la caché.
Error al inicializar la caché La caché de proxy Web se deshabilitó debido a un error global.
Restauración de la caché finalizada Finalizó la restauración del contenido de la caché.Error de escritura en la caché Error al escribir el contenido en la caché.Objeto almacenado en caché descartado
Durante la recuperación de la caché se detectó un objeto con información conflictiva. El objeto se omitió.
Error al cargar el componente Error al cargar un componente de la extensión. Error de configuración Error al leer la información de configuración.Se superó el límite de conexiones
Un usuario o una dirección IP superó el límite de conexiones.
Se superó el límite de conexiones para una regla
Se superó el número de conexiones permitidas por segundo para una regla.
Mecanismo de detección de intrusiones "anti-poisoning" de DHCP deshabilitado
Se ha deshabilitado el mecanismo de detección de intrusiones "anti-poisoning" de DHCP.
Error del marcado a petición
Error al crear una conexión de marcado a petición, debido a que no se obtuvo respuesta o la línea estaba ocupada.
Intrusión de transferencia de zona DNS Se produjo un ataque de transferencia de zona.
Error del registro de sucesos
Se produjo un error al registrar la información del suceso en el registro de sucesos del sistema. Esta alerta está deshabilitada de forma predeterminada.
Error de comunicación del firewall
Error en la comunicación entre el cliente Firewall y el servicio del servidor ISA.
Advertencia de inicialización del filtro FTP
El filtro FTP no pudo analizar los comandos ftp permitidos. Compruebe que los comandos se almacenan con el formato correcto. Cada comando no debería tener más de 4 caracteres y cada uno debe estar separado del anterior por un carácter de espacio.
Intrusión detectada Un usuario externo intentó un ataque por intrusión.Se encontró una CRL no válida
Se ha revocado el certificado de cliente debido a que la lista de revocación de certificados (CRL) no existía o no era válida. La CRL puede haber caducado y el servidor ISA no ha podido descargar una CRL válida. Compruebe que
99
el grupo de configuración de directiva del sistema de descarga de CRL está habilitado y que hay conectividad entre los puntos de distribución de CRL (CDP).
Oferta DHCP no válida La dirección IP de la oferta DHCP no es válida.Credenciales de marcado a petición no válidas
Se detectaron credenciales de marcado a petición no válidas.
Credenciales de registro ODBC no válidas
El nombre de usuario o la contraseña especificados para esta base de datos ODBC no es válido.
Simulación de IP La dirección de origen del paquete IP no es válida.El equipo servidor ISA debe reiniciarse
Los cambios realizados en la configuración sólo se aplicarán tras reiniciar el equipo.
Error de registro Error en el registro <nombre del servicio>.Límites de almacenamiento del registro
Se ha alcanzado uno o varios de los límites de almacenamiento del registro.
La configuración de red cambió
Se detectó un cambio en la configuración de red que afecta al servidor ISA.
No hay puertos disponibles
No se pudo crear un socket de red porque no había puertos disponibles.
Sin conectividad El servidor ISA no pudo establecer una conexión con el servidor solicitado.
Conflicto con el componente del SO
Existe un conflicto con uno los componentes del sistema operativo: editor NAT (conversión de direcciones de red), ICS (conexión compartida a Internet) o RRAS (enrutamiento y acceso remoto).
Paquete UDP demasiado grande
El servidor ISA eliminó un paquete UDP (protocolo de datagramas de usuarios) porque excedía el tamaño máximo, como se especifica en la clave del registro.
Intrusión POP Se detectó un desbordamiento del búfer en el protocolo de oficina de correos (POP).
Cambios de la red de clientes de VPN en cuarentena
Se ha eliminado un usuario de la red de clientes de VPN en cuarentena. Esta alerta está deshabilitada de forma predeterminada.
Error al generar el resumen del informe
Se recibió un error mientras se generaba un resumen del informe a partir de los archivos de registro.
Error de asignación de recursos
Se produjo un error en la asignación de recursos. Por ejemplo, el sistema se quedó sin memoria.
Error de enrutamiento (encadenamiento)
Se produjo un error al enrutar la petición al servidor que precede en la cadena.
Recuperación del enrutamiento (encadenamiento)
El servidor ISA continuó el enrutamiento a un servidor que precede en la cadena.
Filtro RPC: error de enlace El filtro RPC no puede utilizar el puerto definido porque ya está siendo utilizado.
Filtro RPC: la conectividad cambió
Cambió la conectividad con el <nombre del servidor> del servicio RPC de publicación. <clave adicional>
Error de publicación del servidor
La regla de publicación de servidor se ha configurado incorrectamente.
No se puede aplicar la publicación de servidor. No se puede aplicar la regla de publicación de servidor.Recuperación de la publicación de servidor
Ahora se puede aplicar la regla de publicación de servidor.
100
Error de inicialización del servicio Se produjo un error en la inicialización del servicio.
El servicio no responde Un servicio del servidor ISA se interrumpió o se detuvo inesperadamente.
Servicio desconectado Un servicio se detuvo correctamente. <%nombre del servicio%>
Servicio iniciado Un servicio se inició correctamente. <%nombre del servicio%>
Conectividad lenta El servidor ISA encontró una conexión lenta al servidor solicitado.
Suceso del filtro SMTP Se ha infringido una regla de comando SMTP (protocolo simple de transferencia de correo).
Error en la configuración de SOCKS
Otro protocolo está utilizando el puerto especificado en las propiedades de SOCKS.
Ataque de SYN El servidor ISA detectó un ataque de SYN.Suceso no registrado Se encontró un suceso no registrado. Credenciales del encadenamiento precedente
Las credenciales del encadenamiento precedente son incorrectas.
Error de conexión VPN Error en el intento de conexión de cliente de VPN.
101
