Configurando proxy, vpn y firewall en Windows 2003 con isa server 2006

DANIEL PALACIO VLEZ

NETWORKINGROUP

ADMINISTRACION DE REDES MAURICIO ORTIZ

CENTRO DE SERVICIOS Y GESTIONS EMPRESARIAL SENA 2010

INTRODUCCION.

Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo. Dependiendo del servicio el firewall decide si lo permite o no.

MARCO TEORICO

FIREWALL
Un Firewall como su nombre lo dice es un "muro de fuego" este tiene la funcin de realizar un filtrado de paquetes hacia los diferentes destinos valindose de reglas configuradas a nuestro gusto. Es decir que si no queremos que a el Equipo A le lleguen paquetes de ningn equipo, del tipo TCP con puerto de origen 80 configuraremos dicha regla en el Firewall para que esto se filtre. Existen varios tipos de Firewall y varias maneras de definirlos, por ahora nos centraremos en que existen Firewall de Host y Firewall de Red. Un Firewall de Host es con el que contamos en nuestros equipos, el que viene de manera nativa en nuestro Sistema Operativo como lo son las IPTABLES en Linux o el Contrafuegos de Windows y solo filtra paquetes desde y hacia nuestro equipo y un Firewall de Red es el que se puede instalar en dispositivos como routers para filtrar todo el trafico que circule a travs de el desde y hacia las diferentes subredes.

PROXY

Es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina A solicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Su finalidad ms habitual es la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc.

VPN

Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet.

VPN de acceso remoto Es quizs el modelo ms usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etctera) utilizando Internet como vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con estatecnologa su infraestructura dialup (mdems y lneas telefnicas). VPN punto a punto Este esquema se utiliza para conectar oficinas remotas con la sede central de la organizacin. El servidor VPN, que posee un vnculo permanente a Internet, acepta las conexiones va Internet provenientes de los sitios y establece el tnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones debanda ancha. Esto permite eliminar los costosos vnculos punto a punto tradicionales (realizados comnmente mediante conexiones de cable fsicas entre los nodos), sobre todo en las comunicaciones internacionales. Es ms comn el siguiente punto, tambin llamado tecnologa de tnel o tunneling.

FIREWALL

Seleccionamos Microsoft isa server y elegimos Isa server management

En la pestaa de network al lado derecho escogemos la topologa con la que vamos a trabajar en mi caso voy a tener LAN,DMZ y WAN

LA bienvenida a la instalacin de nuestra topologa

Siguiente o en caso de que tengamos una configuracin la exportamos

La direccin de la LAN y damos siguiente

Agregaremos un adaptador que ser el de la DMZ

Seleccionamos la DMZ

Y la direccin de la DMZ, siguiente

La poltica de nuestro firewall ser de denegar por defecto para mayor seguridad

Verificamos el resumen de los cambios y finalizamos

Asi quedara nuestra topologa LAN,WAN y DMZ (Perimetro)

Procederemos a configurar las reglas de NAT en la pestaa de networks y network rules, las reglas que no me sirven las elimine, clic derecho sobre el permetro (DMZ) y configurar

Nuestras Tarjetas de origen ser la LAN y la DMZ

Y las tarjetas de destino sern la WAN Y el permetro (DMZ)

Ahora procederemos a configurar las reglas del firewall Create Access rule

Regla de salida HTTP (80) y HTTPS (443)

Allow (permitir) recordemos que estamos trabajando con denegar por defecto

Agregaremos los protocolos

HTTP Y HTTPS

origen Agregaremos las redes de origen que tendrn acceso

Internal y permetro (DMZ)

Agregamos las Redes De Destino

External y Perimetro

Que todos los usuarios tengan acceso

Y Finalizamos

Aplicamos y podemos ver como quedaron las reglas

Asi quedaron todas las reglas HTTP, HTTPS, SSH, ICMP, DNS, DHCP, IMAP, IMAP4, POP3, POP3S Los permit con su respective regla

Procedemos a la configurar de DNAT Para que nuestros servicios salgan a internet los publicaremos, en la pestaa del lado derecho publish Non-Web Server

Publicare nuestro servidor WEB

La direccin donde esta el servidor web en mi caso est en la DMZ

Seleccionamos el protocolo y especiaremos el puerto por donde se va conectar nuestro servicio

Por el puerto 80

Nuestra tarjeta de salida ser la externat (WAN) que es por donde vamos a entrar al servicio

Y finalizamos

Podemos ver la regla como quedo, asi publicamos todos los servicios que queramos que nuestros clientes se conecten va WAN

VPN
Procedemos a crear un grupo y usuarios

Clic derecho en usuarios y grupos y clic derecho grupo nuevo

Creamos el grupo

Creamos el usuario

Seleccionamos el Usuario al grupo

Y lo Creamos

Procedemos a configurar las opciones para la creacin de una VPN, primero configuraremos el mtodo de asignacin de direcciones

asignaremos En la pestaa de address assignment le asignaremos el pool de direcciones, asignamos un rango diferente a el peremitro y a la interna

El rango de direcciones

Ya agregada le damos aceptar y guardaremos los cambios

Procedemos a configurar enable vpn client Access

Especificamos el numero mximo de usuarios que se van a poder conectar a la VPN

Procedemos a configurar la otra opcin specify Windows ther or selec a

En la pestaa de groups, le damos add

Y agregamos la vpn

Configuramos la pestaa verify Vpn propierties

Elegimos la pestaa protocolos y y habilitamos enable L2TP/IPSEC

Crearemos una regla de firewall que permita el acceso a los clientes VPN

Nombre de la regla y siguiente

Permitir porque nuestra regla por defecto es denegar

Elegimos todo el trfico saliente

Agregaremos la VPN clients

Ya agregada, damos siguiente

Y agregaremos las tarjetas de destino

Agregamos las internal y el peremitro

A todos los usuarios se le aplicara la regla

Finalizar

Podemos visualizar la regla que acabamos de crear de la VPN

Procedemos a configurar la ultima pestaa view network rules para que traduzca las direcciones publicas a las internas.

Ahora procedemos hacer DNAT

Le definimos un nombre a la regla

Le especificaremos las tarjetas de origen

Que el origen ser de la VPN

Y agregaremos las tarjetas de destino

Que ser de la internal y el peremitro

Escogemos la opcin network address tranlation (Traduccion de NAT) y siguiente

Y Finalizamos

Conexin Cliente VPN

Procederemos hacer las pruebas conectndonos desde un cliente xp y en conexiones de red le damos crear una conexin nueva

Siguiente

Seleccionamos conectarse a la red de mi lugar de trabajo

Seleccionamos Conexin de red privada virtual

Un nombre para la organizacin

Y la IP a la que nos vamos a conectar que es la ip publica donde esta nuestra VPN

Y Finalizamos

Le damos propiedades para cambiar algo de la seguridad para la conexin

En la pestaa de funciones de red, le expecificamos que ser una red privada virtual (VPN)

En la pestaa de seguridad seleccionamos configuracin IPSec

Y La contrasea para la autenticacin

Y le damos aceptar

De inmediatamente nos abre la ventana para conectar con el usuario que contrasea creamos y la contrasea

Y podemos ver el rango de direcciones que le asignamos que significa que ya estamos conectados a nuestra VPN

PROXY
Procederemos habilitar el servidor proxy en la LAN

Procedemos habilitar y vamos a trabajar con el puerto 8080

Procedemos en el explorar en opciones de internet

En la pestaa de conexiones y configuracin de LAN

Y especificamos el gateway de nuestra interfaz WAN

Ahora vamos hacer filtro por usuarios del sistema, para que un usuario vaya a navegar se tenga que autenticar, para esto crearemos un usuario y un grupo en administracin de equipos

Usuario Nuevo

Creamos el usuario

Procedemos a especificar conexiones a internet por autenticacin, lo definimos en la regla HTTP en propiedades

En la pestaa de users, add

Y Nuevo

Procedemos a crear un grupo con los usuarios que creamos para la autenticacin

Elegimos el lugar donde estn los usuarios en nuestro caso usuarios y grupos del sistema

Buscamos los usuarios con el que se van autenticar los usarios en mi caso a modo de ejemplo trabajare con uno solo

Seleccionado el usuario le damos siguiente

Y Finalizamos

Agregamos el grupo de los usuarios que son los que se van autenticar

Procedemos hacer pruebas desde nuestra LAN y podemos ver que nos pide autenticacion.

Y podemos ver que nos accedi y podemos navegar

Ahora Proceder a filtrar Por URL debemos crear una regla de firewall y las Urls a denegar, en el lado derecho New Url Set crearemos el conjunto de urls

Las urls a denegar sern youtube y Hotmail

Crearemos la regla del firewall

Un nombre comn para la Regla

Especificamos que la regla sea denegar

Especificamos los protocolos

Especificamos la interfaz por la cual va a trabajar

Seleccionamos el conjunto de urls que creamos anteriormente

Que la regla se aplica a todos los usuarios

Y Finalizamos

Procedemos hacer pruebas y podemos ver que la URL de Hotmail no la deneg

Ahora Proceder a filtrar por extensin que ser que no puedan descargar paquetes con extensiones (.exe, .zip) Tambin lo configuraremos en la regla de HTTP

Seleccionamos la pestaa de extensions y especificamos que nos bloquee las extenciones a descargar y agregaremos dichas extensiones a nuestro gusto

Asi bloquiaremos las extensin en mi caso bloqueare la extencion .exe

A modo de prueba intente descargar putty que tiene como extensin .exe

Y Podemos ver que nos deneg la extensin .exe

Ahora proceder a filtrar por palabras que es bloquear especficamente un tipo de palabras por decir porno que los filtre cuando tenga esta palabra

En la pestaa de signatures y add

Y Name y descripcin de la URl

Procedemos hacer pruebas y podemos ver que nos deneg por palabra (porno)

Ahora proceder a filtrar por IP es denegar por IP al acceso de una pgina, debemos hacer es especificar la ip y despus crear una regla en el firewall

Un nombre comn y la IP a denegar

Creamos la regla en el firewall para la denegacin de IP

Un nombre comn para la regla

Que la accin sea denegar

Le especificar los protocolos

Especificamos la interfaces

Especificamos que la regla sea para todos los usuarios

Y Finalizamos

Procedemos hacer pruebas y podemos que nos deneg por IP

Procedere a filtrar por tiempo, en un tiempo especifico que los usuarios puedan navegar o que los deniegue,tambin la aplicaremos en la regla del HTTP

Procederemos a seleccionar la pestaa de Schedule y le damos new

Especificaremos la hora en mi caso de 10 a 11 y todos los das para denegar todo el acceso

Y Procedemos hacer pruebas y podemos ver que la hora es las 10 y nos deneg por tiempo.

Ahora proceder a filtrar por dominio que ser bloquear todos los dominios que no queremos que naveguen, deberemos de crear un conjunto de dominios a navegar y tambin crearemos una regla en el firewall

El conjunto de dominios a manera de prueba bloqueare gmail

Crearemos la regla en el firewall para bloquear los dominios

Un nombre comn para la regla

Que la accin sea denegar

Especificamos los protocolos

Especificamos la interfaz internal

Especificamos nuestro conjunto de dominios

Que la regla aplique a todos los usuarios

Y Finalizamos

Y Procedemos hacer pruebas

Acceso web con autenticacin. Denegacin por URL. Denegacin por Dominios. Denegacin por palabras. Denegacin por IP. Denegacin por extensin. Denegacin por tiempo

Proxy trasparente.
Ahora Proceder a que nuestro proxy sea transparente es decir que no lo reconozca automticamente y no lo tengamos que colocar manualmente, agregare un registro a nuestro servidor DNS con el nombre de nuestra maquina, en mi caso tengo mi servidor en Linux- Centos entonces nos paramos en la zona directa agregaremos los registros WPAD que apuntara a la direccin IP del ISA

Ahora procedemos a configurar nuestra tarjeta de red interna

en la pestaa auto discovery habilitamos nuestras proxy trasparente y le especificaremos que el puerto sea el 80

Ahora vamos a opciones de internet en el browser de nuestro cliente y lo colocamos detectar automticamente (Transparente) y aceptamos

Y Podemos ver que nuestro proxy transparente esta funcional