Microsoft Internet Security and Acceleration Server (ISA Server) Planeamiento
Este articulo lo creo para responder a LuisMLG que lleva unos dias con unas dudas en referencia a ISA Server y puesto que se me puede alargar la explicación demasiado aprovecho para crear un articulo y que pueda servirle a los demás lectores del blog.
Bueno, en este articulo vamos a basarnos en la configuración de uno de los lectores que es la mas habitual en los casos de implementación de servidores ISA Server, para ello veamos que configuración utiliza nuestro compañero LuisMLG como explica en una de las webs de Microsoft TechNet, dejo el enlace:
http://forums.microsoft.com/TechNet-ES/ShowPost.aspx?PostID=1284805&SiteID=30
Como podemos ver LuisMLG deja un comentario en el que explica un poco como esta planteando su implementación y en esta voy a trabajar en este articulo, quiero decir que yo en ISA tengo muy poca experiencia y actualmente no lo tengo implementado en mi red pero si he realizado varias prácticas con este, esto lo digo porque si hay algún error no dudeis en comentarlo, no soy ningún experto en servidores ISA.
Bueno, como vemos en el ejemplo nuestro compañero comenta que tiene un servidor ISA con dos tarjetas de red lo que le va a permitir gestionar y controlar el tráfico de la red. Hemos comentando en el articulo Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006) (5 Videos) ya algo acerca del tema de si ISA Server enruta o no, por norma general un Firewall no enruta el tráfico pero si controla las peticiones de paquetes de la red A a la red B (por ejemplo) siendo estas redes habitualmente que pertenecen a la red Lan y a la red de Internet.
Microsoft Windows Server 2003 incorpora el servicio de Enrutamiento y Acceso Remoto que a su vez incorpora un pequeño firewall para controlar un poco las conexiones como podemos ver en un articulo de este blog Redirigiendo (abriendo) puertos en Windows Server 2003 – Video + Narración.
Al instalar ISA Server creia recordar que el servicio de Enrutamiento y Acceso Remoto quedaba “deshabilitado” ya que ISA pasaba a controlar las conexiones pero tras los comentarios de nuestro compañero ya estoy en duda.
Cuando implementamos ISA Server uno de los pasos que debemos llevar a cabo es el de definir las redes con las que trabajamos, que nos va a permitir mas a delante configurar mas facilmente las reglas de red.
Siguiendo el ejemplo del compañero por norma general a un servidor ISA se le conectan dos tarjetas de red una que nos conecta con la red de Internet y la otra a la red interna que como explico antes las definimos para poder trabajar con ellas, a la hora de crear reglas lo haremos desde un origen a un destino (red origen, red destino, equipos, usuarios…) tenemos varias combinaciones.
Bien, una vez definimos las redes ISA Server bloqueará absolutamente todo el tráfico procedente de cualquier ubicación a cualquier ubicación lo que nos va a dejar completamente incomunicados. Si tenemos dominio decir que ISA se integrará excelentemente con este a la vez que lo hará con Exchange entre otros.
Si tenemos servicios u otras funcionalidades como lo es Exchange etc deberemos crear reglas que permitan el tráfico desde y hacia este así como reglas básicas para permitir tráfico NetBios, DNS o DHCP entre otros, no cabe decir que son imprescindibles para cualquier red los puertos destinados a la navegación Web (http o https), servicios de acceso remoto (puertos 3389) etc y no olvidar nunca que deberemos abrir estos en el ISA pero también en nuestros dispositivos de conexión como routers u otros firewall que podamos tener.
Y creo que con esto dicho no cabe decir mucho mas os dejo unos articulos de este blog relacionados que tal vez os puedan resultar de interés un saludo a todos.
Microsoft Internet Security and Acceleration Server (ISA Server) Planeamiento
Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006) (5 Videos)
Instalación completa de Windows Server 2003 Standard, Exchange Server 2003 e ISA Server 2006 (16 Videos)
Endian firewall
IpCop Linux Firewall Parte II Características
IpCop Linux Firewall Parte I Instalación (1 Video)
Colabora s3v Informática
LuisMLG
Gracias por el artículo, espero sea útil para mucha gente, a mi seguro que me ayuda.
Estaré atento.
Pablo Martinez
Pues nada, aquí te dejo esto de momento espero que realmente te sea de ayuda, pero ya sabes para mas info pregunta que aquí siempre se trata de ayudaros.
Saludos!
LuisMLG
Muy buenas!
Veamos… recapitulando, yo tengo mi red LAN (Interna) y luego está la red Externa del ISA, y yo voy y me creo otra red que llamaré WAN, que contendrá al router ADSL y al segundo interface de red del ISA Server.
Hasta ahí, está claro. Ahora la cosa es como creo una regla para que la gente salga a inet. Como origen pondré, obviamente, la red “interna”, pero como destino, deberia de poner la nueva “WAN”, no?. De esta forma no uso la red “externa” del ISA, y no se si asi saldrán los paquetes.
Tengo la sensación que hay alguna obviedad que se me escapa… por que no debe ser complicado esto que pretendo hacer…
Alguna idea?
Gracias por artículo.
Pablo Martinez
Eso tras la instalación cuando defines las redes, dile que esa Wan es tu red de Internet, pero vamos que se puede cambiar sin problemas desde uno de los paneles, perdona que no te de mas pistas pero es que no recuerdo los nombres, sé que se puede cambiar y al crear la regla pues vas eligiendo según te conviene pero no recuerdo que yo tuviese internet y la otra tarjeta como externa o Wan o algo así, y yo la llamo también WAN a una y LAN a la otra, bueno supongo que no te estoy ayudando mucho pero recuerdo que era algo sencillo, en uno de los paneles tienes las configuraciones de las diferentes redes, buscalas y redefinelas haciendo que sea la de Internet tu WAN. Si puedo instalo todo y te lo comento, un saludo.
LuisMLG
Bueno el tema del enrutado lo tengo medio listo.
Ahora estoy intentando bloquear el MSN Live.
He leido articulos, y he hecho lo que dicen, pero no lo he conseguido…
Alguien que lo haya logrado?
Pablo Martinez
No se que versión de ISA trabajas si sé que en las últimas versiones (2006 si mal no recuerdo) esto no se hace mediante bloqueo de puertos ya que algunas aplicaciones que uede que queramos bloquear puede ser que los puertos sean configurables por lo que el sistema cambia.
Para bloquearlos ISA analiza los paquetes de la red y cuando detecta uno procedente (por ejemplo) de EMule lo detiene, o lo deja pasar, según las reglas que tengamos fijadas.
Dime que versión de ISA utilizas y busco información, de todas formas si es una red Administrada siempre puedes decirle al firewall del cliente (de Windows Xp/Vista o lo que sea) que no lo deje pasar y bloquear a su vez el acceso al firewall del cliente, puedes utilizar drectivas para conseguir esto, no se si te ayudo la verdad…
Dime la versión del ISA y busco info.
un saludo!
LuisMLG
Uso la 2004. Yo he encontrado información y metodos que se suponen que lo hace, pero siempre tengo alguna pega, alguno solo vale para version del MSN que tiene por defecto el XP, otros bloquen el MSN pero tb accesos a diferentes sitios webs, en definitiva…
El mayor problema que se me plante es el de bloquear el MSN Live 8.x. Lo intente mediante filtos HTTP y tambien contrloando las cabaceras pero ningana de las opciones me satisface plenamente.
Seguiré investigando…
LuisMLG
Bueno pues tengo que decir que al final he conseguido lo que queria.
Por desgracia los filtros HTTP, no me funcionaban para MSN Live 8.x y no recuerdo para tb capada el messenger via web. La cosa es uqe no me valia, así que probe el otro método que se explica en las web de technet de microsoft, que es el de bloquear contenidos. Este funcionaba bien, bloqueaba MSN 7.x y 8.x además del web. El problema era que tambien bloqueaba el trafico https. No se por que pero es asi, cualquier web que necesitara https no cargaba, asi que esta solución asi tampoco me valia.
Yo supongo que hay alguna cosa q se me escapa y que existe una solución mas elegante a la mia que es mas bien un poco chapucerilla.
Lo he solucionado colocando una regla por encima de la que capa por contenido, permitiendo el todo el tráfico https.
De esta forma estaba solucionado el tema de el acceso a los webs con https, pero surgió otro problema, que ahora el web messenger si funcionaba, ya q se cuela por la 1ª regla q permitia el acceso libre por https.
Para solucionarlo he tenido que sacarme de la manga otro parche, y es uqe a la 2ª regla la que restringe el acceso por contenido, en el campo “A”, tenia puesto Externa, pues bien ahí he añadido una restricción, la de que no permita acceso a [http://*.live.com/*]
ASi parece que rula, no obstante seguiré investigando a ver si se puede hacer de otra manera mas eficiente.
saludos
Pablo Martinez
neneeeeee, si no te importa voy a hacer un copy paste de lo que nos has contado para hacer un articulo relacionado con esto del MSN Live, espero a que me des tu permiso.
MAKINA!!
LuisMLG
Por supuesto, ningún problema. No obstante seguiré en ello, hasta que quede satisfecho con la forma de hacerlo, ya que ahora no me convence.
saludo.
Pablo Martinez
Muchas gracis, por supuesto mencionaré que esto es cosa tuya y perdona de veras que no pueda ayudarte mas pero ahora mismo no dispongo de ISA ni de la red para realizar las pruebas corectamente, siento mucho no poder ayudarte.
Gracias de nuevo por tu aportación.
ken
Hey LuisMLG que sucedio con el bloqueo de MSN lo lograsts?
SALU2!
Pablo Martinez
Por su puesto, este LuisMLG es un genio aqui te dejo el enlace!
Capar Live Messenger en ISA Server – Artículo cedido por LuisMLG
Un saludo.
Aprovecho una vez mas para darle la enhorabuena a LuisMLG por este estupendo trabajo.
maykoll
Mira estan haciendo algo mal, tienes que defirnir bien escensialmete 2 redes una Interna o Lan y otra Externa o Wan como desees llamarla solo 2. cundo le indicas al Isa al momento de instalarlo defines cual de las 2 va a ser la red interna te pide definirlo por rangos o por adaptador de red y por defecto el Isa server toma la otra tarjeta como Red Externa o Wan para esto antes que nada tienes que definir bien las IPs de ambas tarjetas por ejemplo la red Externa o Wan debe tener una IP del rango que navega a internet por ejemplo si es un ADSL debe tenet el rango 192.168.1.2 por ejemplo ya que el Router coje la 192.168.1.1 la Mascara de Subnet debe ser la que defina el Router en este caso 255.255.255.0 y el Gateway o puerta de Enlace debe ser la IP del Router 192.168.1.1 en caso de ser un ADSL si no las IPs del rango interno que te proporcione tu Router en esta tarjeta de red se dede de desactivar la opcion de compartir archivo e impresoras y la de client for microsoft network y se debe colocar la direccion de IP de los DNS Internos. Ahora algo muy importante en la tarjeta definida como Lan o Red interna se debe asiganr una IP del rango de la red interna algo como 10.10.10.1 las mascara de Subnet pude ser 255.255.255.0 y no se debe definir Gateway bajo ningun motivo, repito no se debe colocar Gateway ya que el ISA Server realiza el Enrotamiento y se debe colocar la misma direcion de lo Servidores DNS Internos que en la Ip de la tarjeta Externa o Wan. Con eso ya puede establecer las reglas de navegacion por usuarios de dominio o por PCs de acuerdo a lo que desees.
Si no esta confirgurado de esa manera puede que trabaje a veces y en otras tendras problemas.
Espero te ayude mi comentario
Pablo Martinez
Estoy totalmente de acuerdo… ahora no recuerdo exactamente que es lo que estaba pasando estos días (la entrada es de Enero del año pasado) pero si es cierto que la tarjeta de red conectada con la red LAN no debe de tener puerta de enlace salvo que solo este esta en el servidor, entonces si ya que será utilizada para conectarse a otra red (internet)
Gracias por el comentrio.