Configurando FIrewall y NAT en ISA Server 2006

En los últimos días he estado muy metido en el cuento de los Firewall's y aunque soy un amante del mundo Open Source no me niego a la oportunidad de conocer buenas herramientas privativas como lo es ISA Server, este es un Firewall statefull capaz de analizar los paquetes IP en capas 3, 4 y 7 del modelo OSI, también funciona como VPN y proxy.

En la primer parte de este manual procederemos a la instalación de este para poder utilizarlo en una topología de 3 brazos (LAN, WAN y DMZ) creando reglas de acceso mediante protocolos y puertos, además crearemos las reglas de NAT y en la segunda parte aprenderemos como utilizar las herramientas del proxy.

Especificaciones.

Primero que todo contamos con un servidor con Windows Server 2003 en el que instalaremos ISA Server 2006, en cuanto a topología contamos con 3 subredes, la DMZ en la que contamos con un servidor DNS y WEB que deberá estar publicado en internet mediante reglas de NAT, la LAN que tiene un host que necesita acceso a RDESKTOP o Escritorio Remoto también mediante reglas de NAT, subredes necesitan acceso a la WAN mediante PING o ICMP, acceso a WEB HTTP/HTTPS y consultas recursivas DNS.


LAN
Gateway 192.168.1.1
DNS 192.168.2.2 (Servidor en la DMZ)
Host con RDESKTOP 192.168.2.2

DMZ
Gateway 192.168.2.1
DNS/WEB 192.168.2.2 - 8.8.8.8 (DNS Publico para responder consultas recursivas)

WAN
IP publica 192.168.10.165

Instalando ISA Server 2006


Teniendo los datos con mas relevancia comenzaremos con la instalación del ISA Server, luego de haber obtenido una copia de ISA Server procederemos a instalarla de la forma en que instalamos cualquier programa en Windows.


 



Elegimos la opción que nos permite instalar ISA Server y el servidor de almacenamiento de la configuración.



Como es el único y primer servidor que instalaremos le diremos que crearemos un servidor nuevo.



Ahora nos pedirá que ingresemos la red interna es decir la LAN, le daremos en añadir, luego en añadir adaptador para definir cual es el de la LAN y por ultimo elegimos el adaptador que tenemos conectado a nuestra red LAN.






Con esto habremos finalizado la instalación, para ejecutarlo nos dirigimos a INICIO, Microsoft ISA Server, ISA Server Management.


Configurando Las Redes.

Como podemos ver en la imagen siguiente, ISA Server se instala por defecto en una topología LAN/WAN, pero nosotros queremos añadir una red DMZ así que elegimos en la parte derecha donde dice 3-leg perimeter y seguiremos los pasos.




En esta parte nos pedirá que indiquemos cual sera la LAN pero esto lo hicimos en la instalación entonces continuamos.


En esta parte nos pide que definamos cual sera el adaptador del perímetro o la DMZ entonces al igual que cuando definimos la LAN lo haremos en este momento.


Finalmente nos pregunta cual sera la política por defecto del Firewall, en mi caso sera denegar todo el trafico.


Finalmente quedara instalado y podremos ver en la siguiente imagen como quedo la configuración.


Ahora podemos ver que la topología ha cambiado y en la parte inferior en la pestaña Networks se ha agregado la red perimetral o DMZ, y podremos observar que tenemos la WAN, LAN, Host Local (ISA Server), Perímetro y redes VPN y en Cuarentena, estas 2 ultimas no las necesitamos entonces procederemos a eliminar las reglas de red que estén relacionadas con estas.


Como podemos ver entonces en la siguiente imagen, hay 5 reglas de red inherentes a NAT y Enrutamiento entre las diferentes redes, en mi caso lo único que hice fue eliminar las reglas relacionadas con las redes en cuarentena y VPN.


Las reglas de red establecidas me permiten:

1. Enrutar el ISA Server entre todas las redes.
2. Traducir direcciones desde la LAN y la DMZ hasta la WAN y la DMZ
3. Enrutar desde la DMZ hacia la WAN
4. Enmascarar la dirección de la LAN y la DMZ hacia la WAN.

En este momento solo nos faltara crear una regla de NAT que enmascare la dirección de la LAN con la DMZ, le daremos en la columna de la derecha donde dice, crear una regla de red.

Le definiremos un nombre a la regla.


El origen del trafico.


El destino del trafico.


Y el tipo de regla, sea NAT o enrutamiento.



Ahora todas las reglas de red están configuradas.


Creando Reglas de Firewall.

Ahora configuraremos las reglas del Firewall, por defecto observamos que hay una regla de bloquear todo por defecto, entonces en la parte derecha le daremos clic en crear una regla de acceso.


La regla que les mostrare de ejemplo consiste en permitir hacer consultas DNS desde la LAN hacia la DMZ ya que es necesario para resolver direcciones internas, pero ya que el DNS tiene reenviadores también debemos permitir que la DMZ realice consultas en internet para hacer consultas de dominios sobre los que no tiene autoridad y así la LAN pueda salir tranquilamente a internet.

Primero pondremos el nombre.


La acción es decir que permitiremos.


El protocolo a permitir.


El origen, es decir la LAN y la DMZ.


Y el destino es decir la DMZ y la WAN.


Y los usuarios que serán todos.



Así nos quedara la regla y con esta podremos resolver dominios tanto internos como de internet.


De la misma manera crearemos las siguientes reglas.


Estas me permiten:

1. Acceso a escritorio remoto desde la WAN hacia la LAN.
2. Consultas DNS.
3. Acceso a paginas WEB tanto las mías en la LAN como las de internet desde la DMZ y la LAN.
4. Ping a la DMZ y la WAN desde la LAN.
5. Ingreso a mis paginas WEB en la DMZ desde internet.

NOTA: Dandose el caso de que la interfaz WAN no reciba direccion del servidor DHCP deberemos crear una regla de acceso que permita el trafico de este tipo desde la WAN hasta Localhost.


Probando Las Reglas de Firewall.

Entonces desde un host en la LAN probamos:

Consultas DNS.


PING


Acceso a WEB.


Ahora podemos salir a estos servicios, pero debemos permitir que los clientes en internet que quieran acceder a mis servicios públicos desde la WAN lo hagan mediante la IP publica.
Creando Las Reglas De NAT

En la parte de la derecha le daremos clic donde dice Publicar un servidor que no es web, lo haremos de esta manera para publicar todos los servicios incluso los propios servidores WEB ya que si elegimos la opcion de publicar sitios web el los buscara dentro del propio servidor Windows.


Le definimos un nombre.


Ahora la IP de donde esta nuestro servicio, en mi caso el servidor de la DMZ.


Ahora el protocolo y le daremos nuevo.


Definimos el nombre del protocolo.


Luego el puerto y el tipo de trafico, como es trafico de entrada le damos en Inbound y el puerto sera el de HTTP es decir 80.


Deshabilitamos conexiones secundarias.



Ahora elegimos la interfaz por la que se conectaran las personas, como los clientes son externos definimos la WAN.




Con esto habremos finalizado la regla de NAT.

De la misma manera haremos una regla de NAT que redireccione las peticiones de escritorio remoto externas hacia un host en la LAN, la regla la haremos de la misma manera, lo único que cambia es el host de destino y el protocolo el cual es el 3389.


Probando las Reglas de NAT.

A la izquierda observamos mi IP publica y a la derecha un host en la WAN intentando conectarse a mi WEB y sera exitoso.


También intento conectarme mediante escritorio remoto y sera exitoso.


Con esto finalizamos la primer parte de este manual, en la segunda parte observaremos como configurar las reglas de proxy en ISA Server. Cualquier duda no duden en comentar o en escribir a los correos de contacto o twitter.

Muchas Gracias.

Si has encontrado útil este artículo puedes compartirlo desde tu blog, página Web o foro.




1 comentarios:

BiTsHoOt dijo...

Hola me parecio espectacular la info, pero me queda una pequeña duda... si quiero tener el server web a parte de la base de datos (por seguridad) donde quedaria, segun la primera imagen? o se debe crear otra zona? te agradezco de antemano tu respuesta... bitshoot@hotmail.com

Publicar un comentario

 
Licencia Creative Commons
Este obra está bajo una licencia Creative Commons Atribución-NoComercial-SinDerivadas 2.5 Colombia.