configurando proxy.firewall y vpn en windows 2003 con isa server 2006
TRANSCRIPT
Configurando proxy, vpn y firewall en Windows 2003 con isa server 2006
DANIEL PALACIO VLEZ
NETWORKINGROUP
ADMINISTRACION DE REDES MAURICIO ORTIZ
CENTRO DE SERVICIOS Y GESTIONS EMPRESARIAL SENA 2010
INTRODUCCION.
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo. Dependiendo del servicio el firewall decide si lo permite o no.
MARCO TEORICO
FIREWALLUn Firewall como su nombre lo dice es un "muro de fuego" este tiene la funcin de realizar un filtrado de paquetes hacia los diferentes destinos valindose de reglas configuradas a nuestro gusto. Es decir que si no queremos que a el Equipo A le lleguen paquetes de ningn equipo, del tipo TCP con puerto de origen 80 configuraremos dicha regla en el Firewall para que esto se filtre. Existen varios tipos de Firewall y varias maneras de definirlos, por ahora nos centraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de Host es con el que contamos en nuestros equipos, el que viene de manera nativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o el Contrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo y un Firewall de Red es el que se puede instalar en dispositivos como routers para filtrar todo el trafico que circule a travs de el desde y hacia las diferentes subredes.
PROXY
Es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Su finalidad ms habitual es la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc.
VPN
Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.
VPN de acceso remoto Es quizs el modelo ms usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etctera) utilizando Internet como vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con estatecnologa su infraestructura dialup (mdems y lneas telefnicas). VPN punto a punto Este esquema se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones debanda ancha. Esto permite eliminar los costosos vnculos punto a punto tradicionales (realizados comnmente mediante conexiones de cable fsicas entre los nodos), sobre todo en las comunicaciones internacionales. Es ms comn el siguiente punto, tambin llamado tecnologa de tnel o tunneling.
FIREWALL
Seleccionamos Microsoft isa server y elegimos Isa server management
En la pestaa de network al lado derecho escogemos la topologa con la que vamos a trabajar en mi caso voy a tener LAN,DMZ y WAN
LA bienvenida a la instalacin de nuestra topologa
Siguiente o en caso de que tengamos una configuracin la exportamos
La direccin de la LAN y damos siguiente
Agregaremos un adaptador que ser el de la DMZ
Seleccionamos la DMZ
Y la direccin de la DMZ, siguiente
La poltica de nuestro firewall ser de denegar por defecto para mayor seguridad
Verificamos el resumen de los cambios y finalizamos
Asi quedara nuestra topologa LAN,WAN y DMZ (Perimetro)
Procederemos a configurar las reglas de NAT en la pestaa de networks y network rules, las reglas que no me sirven las elimine, clic derecho sobre el permetro (DMZ) y configurar
Nuestras Tarjetas de origen ser la LAN y la DMZ
Y las tarjetas de destino sern la WAN Y el permetro (DMZ)
Ahora procederemos a configurar las reglas del firewall Create Access rule
Regla de salida HTTP (80) y HTTPS (443)
Allow (permitir) recordemos que estamos trabajando con denegar por defecto
Agregaremos los protocolos
HTTP Y HTTPS
origen Agregaremos las redes de origen que tendrn acceso
Internal y permetro (DMZ)
Agregamos las Redes De Destino
External y Perimetro
Que todos los usuarios tengan acceso
Y Finalizamos
Aplicamos y podemos ver como quedaron las reglas
Asi quedaron todas las reglas HTTP, HTTPS, SSH, ICMP, DNS, DHCP, IMAP, IMAP4, POP3, POP3S Los permit con su respective regla
Procedemos a la configurar de DNAT Para que nuestros servicios salgan a internet los publicaremos, en la pestaa del lado derecho publish Non-Web Server
Publicare nuestro servidor WEB
La direccin donde esta el servidor web en mi caso est en la DMZ
Seleccionamos el protocolo y especiaremos el puerto por donde se va conectar nuestro servicio
Por el puerto 80
Nuestra tarjeta de salida ser la externat (WAN) que es por donde vamos a entrar al servicio
Y finalizamos
Podemos ver la regla como quedo, asi publicamos todos los servicios que queramos que nuestros clientes se conecten va WAN
VPNProcedemos a crear un grupo y usuarios
Clic derecho en usuarios y grupos y clic derecho grupo nuevo
Creamos el grupo
Creamos el usuario
Seleccionamos el Usuario al grupo
Y lo Creamos
Procedemos a configurar las opciones para la creacin de una VPN, primero configuraremos el mtodo de asignacin de direcciones
asignaremos En la pestaa de address assignment le asignaremos el pool de direcciones, asignamos un rango diferente a el peremitro y a la interna
El rango de direcciones
Ya agregada le damos aceptar y guardaremos los cambios
Procedemos a configurar enable vpn client Access
Especificamos el numero mximo de usuarios que se van a poder conectar a la VPN
Procedemos a configurar la otra opcin specify Windows ther or selec a
En la pestaa de groups, le damos add
Y agregamos la vpn
Configuramos la pestaa verify Vpn propierties
Elegimos la pestaa protocolos y y habilitamos enable L2TP/IPSEC
Crearemos una regla de firewall que permita el acceso a los clientes VPN
Nombre de la regla y siguiente
Permitir porque nuestra regla por defecto es denegar
Elegimos todo el trfico saliente
Agregaremos la VPN clients
Ya agregada, damos siguiente
Y agregaremos las tarjetas de destino
Agregamos las internal y el peremitro
A todos los usuarios se le aplicara la regla
Finalizar
Podemos visualizar la regla que acabamos de crear de la VPN
Procedemos a configurar la ultima pestaa view network rules para que traduzca las direcciones publicas a las internas.
Ahora procedemos hacer DNAT
Le definimos un nombre a la regla
Le especificaremos las tarjetas de origen
Que el origen ser de la VPN
Y agregaremos las tarjetas de destino
Que ser de la internal y el peremitro
Escogemos la opcin network address tranlation (Traduccion de NAT) y siguiente
Y Finalizamos
Conexin Cliente VPNProcederemos hacer las pruebas conectndonos desde un cliente xp y en conexiones de red le damos crear una conexin nueva
Siguiente
Seleccionamos conectarse a la red de mi lugar de trabajo
Seleccionamos Conexin de red privada virtual
Un nombre para la organizacin
Y la IP a la que nos vamos a conectar que es la ip publica donde esta nuestra VPN
Y Finalizamos
Le damos propiedades para cambiar algo de la seguridad para la conexin
En la pestaa de funciones de red, le expecificamos que ser una red privada virtual (VPN)
En la pestaa de seguridad seleccionamos configuracin IPSec
Y La contrasea para la autenticacin
Y le damos aceptar
De inmediatamente nos abre la ventana para conectar con el usuario que contrasea creamos y la contrasea
Y podemos ver el rango de direcciones que le asignamos que significa que ya estamos conectados a nuestra VPN
PROXYProcederemos habilitar el servidor proxy en la LAN
Procedemos habilitar y vamos a trabajar con el puerto 8080
Procedemos en el explorar en opciones de internet
En la pestaa de conexiones y configuracin de LAN
Y especificamos el gateway de nuestra interfaz WAN
Ahora vamos hacer filtro por usuarios del sistema, para que un usuario vaya a navegar se tenga que autenticar, para esto crearemos un usuario y un grupo en administracin de equipos
Usuario Nuevo
Creamos el usuario
Procedemos a especificar conexiones a internet por autenticacin, lo definimos en la regla HTTP en propiedades
En la pestaa de users, add
Y Nuevo
Procedemos a crear un grupo con los usuarios que creamos para la autenticacin
Elegimos el lugar donde estn los usuarios en nuestro caso usuarios y grupos del sistema
Buscamos los usuarios con el que se van autenticar los usarios en mi caso a modo de ejemplo trabajare con uno solo
Seleccionado el usuario le damos siguiente
Y Finalizamos
Agregamos el grupo de los usuarios que son los que se van autenticar
Procedemos hacer pruebas desde nuestra LAN y podemos ver que nos pide autenticacion.
Y podemos ver que nos accedi y podemos navegar
Ahora Proceder a filtrar Por URL debemos crear una regla de firewall y las Urls a denegar, en el lado derecho New Url Set crearemos el conjunto de urls
Las urls a denegar sern youtube y Hotmail
Crearemos la regla del firewall
Un nombre comn para la Regla
Especificamos que la regla sea denegar
Especificamos los protocolos
Especificamos la interfaz por la cual va a trabajar
Seleccionamos el conjunto de urls que creamos anteriormente
Que la regla se aplica a todos los usuarios
Y Finalizamos
Procedemos hacer pruebas y podemos ver que la URL de Hotmail no la deneg
Ahora Proceder a filtrar por extensin que ser que no puedan descargar paquetes con extensiones (.exe, .zip) Tambin lo configuraremos en la regla de HTTP
Seleccionamos la pestaa de extensions y especificamos que nos bloquee las extenciones a descargar y agregaremos dichas extensiones a nuestro gusto
Asi bloquiaremos las extensin en mi caso bloqueare la extencion .exe
A modo de prueba intente descargar putty que tiene como extensin .exe
Y Podemos ver que nos deneg la extensin .exe
Ahora proceder a filtrar por palabras que es bloquear especficamente un tipo de palabras por decir porno que los filtre cuando tenga esta palabra
En la pestaa de signatures y add
Y Name y descripcin de la URl
Procedemos hacer pruebas y podemos ver que nos deneg por palabra (porno)
Ahora proceder a filtrar por IP es denegar por IP al acceso de una pgina, debemos hacer es especificar la ip y despus crear una regla en el firewall
Un nombre comn y la IP a denegar
Creamos la regla en el firewall para la denegacin de IP
Un nombre comn para la regla
Que la accin sea denegar
Le especificar los protocolos
Especificamos la interfaces
Especificamos que la regla sea para todos los usuarios
Y Finalizamos
Procedemos hacer pruebas y podemos que nos deneg por IP
Procedere a filtrar por tiempo, en un tiempo especifico que los usuarios puedan navegar o que los deniegue,tambin la aplicaremos en la regla del HTTP
Procederemos a seleccionar la pestaa de Schedule y le damos new
Especificaremos la hora en mi caso de 10 a 11 y todos los das para denegar todo el acceso
Y Procedemos hacer pruebas y podemos ver que la hora es las 10 y nos deneg por tiempo.
Ahora proceder a filtrar por dominio que ser bloquear todos los dominios que no queremos que naveguen, deberemos de crear un conjunto de dominios a navegar y tambin crearemos una regla en el firewall
El conjunto de dominios a manera de prueba bloqueare gmail
Crearemos la regla en el firewall para bloquear los dominios
Un nombre comn para la regla
Que la accin sea denegar
Especificamos los protocolos
Especificamos la interfaz internal
Especificamos nuestro conjunto de dominios
Que la regla aplique a todos los usuarios
Y Finalizamos
Y Procedemos hacer pruebas
Acceso web con autenticacin. Denegacin por URL. Denegacin por Dominios. Denegacin por palabras. Denegacin por IP. Denegacin por extensin. Denegacin por tiempo
Proxy trasparente.Ahora Proceder a que nuestro proxy sea transparente es decir que no lo reconozca automticamente y no lo tengamos que colocar manualmente, agregare un registro a nuestro servidor DNS con el nombre de nuestra maquina, en mi caso tengo mi servidor en Linux- Centos entonces nos paramos en la zona directa agregaremos los registros WPAD que apuntara a la direccin IP del ISA
Ahora procedemos a configurar nuestra tarjeta de red interna
en la pestaa auto discovery habilitamos nuestras proxy trasparente y le especificaremos que el puerto sea el 80
Ahora vamos a opciones de internet en el browser de nuestro cliente y lo colocamos detectar automticamente (Transparente) y aceptamos
Y Podemos ver que nuestro proxy transparente esta funcional