Anda di halaman 1dari 43

Manual de seguridad ISA Server 2006

Esta gua est diseada para ofrecerle informacin esencial acerca de cmo reforzar y administrar de forma segura los equipos que ejecutan Microsoft Internet Security and Acceleration (ISA) Server 2006 Enterprise Edition o ISA Server 2006 Standard Edition. Adems de recomendaciones prcticas, la configuracin especfica, esta gua incluye estrategias de implementacin de ISA Server. Para equipos que ejecutan Microsoft Windows Server 2003 como sistema operativo, esta gua es un complemento de la "Windows Server 2003 Security Guide", ubicado en el sitio web de Microsoft TechNet . En concreto, muchos de los procedimientos de esta gua se relacionan directamente con las recomendaciones de seguridad introducidas en la "Gua de Seguridad de Windows Server 2003." Por lo tanto, antes de realizar los procedimientos presentados en esta gua, le recomendamos que lea primero el "Windows Server 2003 Security Guide."

Alcance de esta gua


Esta gua se centra explcitamente en las operaciones necesarias para crear y mantener un servidor de seguridad ISA Server 2006 medio ambiente. Usted debe utilizar esta gua como parte de su estrategia global de seguridad para ISA Server 2006, y no como una referencia completa para crear y mantener un entorno seguro. En concreto, esta gua se recogen respuestas detalladas a las siguientes preguntas:

y y y

Cules son los pasos recomendados para asegurar que el equipo servidor ISA? Qu consideraciones de seguridad se debe aplicar a la configuracin de ISA Server? Qu gua est disponible para ayudar a preparar un servidor de seguridad ISA Server 2006 de despliegue?

Asegurar el equipo del servidor ISA


Un paso importante en la obtencin de ISA Server es verificar que el equipo servidor ISA est seguro fsicamente, y que aplique las recomendaciones bsicas de configuracin de seguridad. Informacin sobre los siguientes temas se proporciona:

y y y y y y y

Administrar las actualizaciones El acceso fsico La determinacin de la pertenencia al dominio Endurecimiento de la infraestructura de Windows Administracin de funciones y permisos La reduccin de la superficie de ataque Bloqueo de modo

Las secciones siguientes describen estos temas y la forma de aplicar las recomendaciones de seguridad. Administracin de actualizaciones Como prctica recomendada de seguridad, se recomienda que siempre instale las actualizaciones ms recientes para el sistema operativo, ISA Server y otros componentes instalados por ISA Server, incluyendo Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) y Office Web Components

2003. Ejecute Windows Update para asegurarse de que tiene todas las ltimas actualizaciones instaladas. Tambin le recomendamos que analice peridicamente la seguridad del sistema, utilizando Microsoft Baseline Security Analyzer (MBSA). Puede descargar MBSA en el sitio web de Microsoft TechNet . El acceso fsico Asegrese de que el equipo de ISA Server se almacena en una ubicacin fsicamente segura. El acceso fsico a un servidor es un riesgo de seguridad alto. El acceso fsico a un servidor por un usuario no autorizado puede resultar en acceso no autorizado o modificacin, as como la instalacin de hardware o software diseado para burlar la seguridad. Para mantener un entorno seguro, debe restringir el acceso fsico al equipo servidor ISA. Si usted sospecha que el equipo servidor ISA se vio afectada, vuelva a instalar el servidor ISA. Proteger la informacin confidencial en caso de robo Para ISA Server Enterprise Edition, el servidor de almacenamiento de configuracin y cada miembro de la matriz contienen informacin codificada y confidencial acerca de los miembros de la matriz y otros acerca de la empresa de ISA Server. El miembro de la matriz tambin tiene las claves para descifrar la informacin. Por esta razn, si un servidor de almacenamiento de configuracin o un miembro de la matriz es robado, la informacin confidencial acerca de todos los miembros de la matriz est potencialmente en riesgo. Adems, en el caso del robo de un servidor de almacenamiento de configuracin, el servidor podra ser reconectado a la empresa y ser usado para modificar la configuracin existente. Para mitigar estos problemas de seguridad:

Si un servidor de almacenamiento de configuracin o un miembro de la matriz es robado, haga lo siguiente: Modificar toda la informacin confidencial de todos los miembros de la otra matriz. La informacin confidencial incluye contraseas de credenciales de usuario (por ejemplo, que se utiliza para iniciar sesin en un equipo que ejecuta SQL Server), autenticacin remota Dial-In User Service (RADIUS) secretos compartidos, o previamente compartida de Protocolo de Internet las claves de seguridad (IPsec). Revocar todos los certificados que se han instalado en el servidor robado. Estos certificados pueden ser certificados en los que se instalaron en miembros de la matriz para la publicacin web o de sitio a sitio de autenticacin VPN, y los certificados instalados en el servidor de almacenamiento de configuracin de autenticacin a travs de una capa de sockets seguros (SSL) con cifrado de canal. Adems, cuando un servidor de almacenamiento de configuracin es robado y no hay una configuracin de rplica de servidor de almacenamiento de configuracin, el servidor de Almacenamiento de configuracin robado debe ser eliminado de Active Directory Application Mode (ADAM) de configuracin del servidor, como un conjunto de rplicas utilizando la herramienta Repadmin. Para ms informacin sobre la herramienta Repadmin, consulte la documentacin del producto ADAM.

Determinar la pertenencia de dominio En muchos casos, es posible que desee configurar el equipo con ISA Server para autenticar a los usuarios del dominio. Por ejemplo, hacer esto si va a crear una regla de publicacin Web que requiere autenticacin para los usuarios que son miembros de un dominio. Para lograr la autenticacin de dominio, puede instalar y configurar el equipo con ISA Server utilizando los siguientes mtodos:

Instalar el equipo de ISA Server en un bosque independiente (en vez de en el bosque interno de su red corporativa). Ayuda a proteger el bosque interno se vean comprometidos, incluso si un ataque est montado en el bosque del equipo servidor ISA. Para experimentar los beneficios administrativos y de seguridad de ISA Server como miembro del dominio, se recomienda que se implemente el equipo servidor ISA en un bosque independiente con una confianza hacia el bosque corporativo. Tenga en cuenta lo siguiente:

Al instalar el servidor ISA como miembro de un dominio, puede bloquear el equipo con ISA Server con Directiva de grupo, en lugar de mediante la configuracin de slo una poltica local. Cuando se instala un equipo ISA Server en un bosque independiente o de dominio, el uso de la delegacin limitada de Kerberos no es un mtodo de delegacin de autenticacin viable. Esto es porque el equipo con ISA Server y los servidores web deben ser publicados en el mismo dominio, y el equipo servidor ISA y el usuario debe estar en el mismo dominio. Instalar el equipo de ISA Server en un grupo de trabajo y configurar el Lightweight Directory Access Protocol (LDAP) de autenticacin. Ayuda a proteger el dominio interno est en peligro, incluso si un ataque est montado en el equipo servidor ISA en el grupo de trabajo. Para obtener ms informacin acerca de la autenticacin, consulte "Autenticacin en ISA Server 2006" en el sitio web de Microsoft TechNet . Tenga en cuenta lo siguiente:

Slo la autenticacin de publicacin web con el siguiente tipo de credenciales del cliente estn disponibles al utilizar la autenticacin LDAP: autenticacin bsica y basada en formularios (contrasea nica). Software de cliente firewall depende del acceso a las cuentas de usuario de dominio. Por lo tanto, el software de cliente firewall no va a funcionar en un entorno de grupo de trabajo.

Por razones de seguridad, si no requieren de dominio o la funcionalidad de Active Directory para el equipo servidor ISA, considere instalar el equipo de ISA Server en un grupo de trabajo. Por ejemplo, si ISA Server est protegiendo el extremo de la red, considere la instalacin de la computadora en un grupo de trabajo. Para ms informacin sobre la instalacin de ISA Server en un grupo de trabajo, consulte "ISA Server Enterprise Edition en un grupo de trabajo" en el sitio web de Microsoft TechNet . Endurecimiento de la infraestructura de Windows Como se mencion anteriormente, esta gua supone que se aplican las configuraciones recomendadas en la "Gua de Seguridad de Windows Server 2003." En concreto, se debe aplicar el Microsoft Baseline Security Poltica de plantilla de seguridad. Sin embargo, no implementan los filtros IPSec o de cualquiera de las polticas de funcin de servidor. Adems, debe tener en cuenta la funcionalidad de ISA Server y reforzar el sistema operativo correspondiente. Nota: Le recomendamos que endurecer la infraestructura de Windows despus de que est instalado el servidor ISA. Para ISA Server Enterprise Edition, instale todos los servidores necesarios de almacenamiento de configuracin y los miembros de matriz. A continuacin, se endurecen las computadoras.

Utilizando el Asistente para configuracin de seguridad El Microsoft Windows Server 2003 como sistema operativo con el Service Pack 1 (SP1) incluye una superficie de ataque herramienta para reducir la llamada el Asistente para configuracin de seguridad. Dependiendo de la funcin de servidor que seleccione, el Asistente para configuracin de seguridad determina la funcionalidad mnima necesaria, y la funcionalidad que inhabilita no es necesario. Al instalar Windows Server 2003 SP1 en el equipo servidor ISA, puede instalar el Asistente para configuracin de seguridad y utilizar el asistente para endurecer el equipo. Para instalar el Asistente para configuracin de seguridad en un servidor con Windows Server 2003 con SP1 instalado, use el siguiente procedimiento. Para instalar el Asistente para configuracin de seguridad 1. Haga clic en Inicio , a continuacin, haga clic en Ejecutar . En la ventana del sistema, escriba appwiz.cply haga clic en Aceptar para abrir el Agregar o quitar programas cuadro de dilogo. 2. 3. Haga clic en Agregar / quitar componentes de Windows . Seleccione la configuracin de seguridad Asistente y haga clic en Siguiente .

Nota: Usted puede ser que le pida la ubicacin del servidor de Windows 2003 con Service Pack 1 de los archivos de origen.

1.

Haga clic en Finalizado , a continuacin, haga clic en el Cerrar botn para Agregar o quitar programascuadro de dilogo.

Nota: Para actualizar el Asistente para configuracin de seguridad para incluir el ISA Server 2006 funciones de servidor, consulte la seccin "Cmo actualizar el Asistente para configuracin de seguridad para las funciones del servidor ISA Server 2006" en el sitio web de Microsoft TechNet . El Asistente para configuracin de seguridad le guiar en el proceso de creacin, edicin, aplicacin o reversin de una poltica de seguridad basada en las funciones seleccionadas del servidor. Las polticas de seguridad que se crean con el Asistente para configuracin de seguridad son archivos. Xml que, cuando se aplica, configurar los servicios, seguridad de red, los valores especficos de registro, la poltica de auditora, y caso, servicios de Internet Information Server (IIS). El Asistente para configuracin de seguridad incluye una funcin para equipos servidor ISA. Para aplicar las funciones de ISA servidor apropiado 1. En el equipo servidor ISA, haga clic en Inicio , seleccione Herramientas administrativas y , a continuacin, haga clic en Asistente para configuracin de seguridad . 2. En el Asistente para configuracin de seguridad , en la bienvenida , haga clic en Siguiente . En la accin de configuracin de pgina, seleccione Crear una nueva poltica de seguridad . En la Seleccin de servidor de pgina, en Servidor , escriba el nombre o la direccin IP del equipo servidor ISA.

3.

4.

5.

En la garanta de transformacin de base de datos de configuracin de pgina, haga clic enSiguiente . En la bienvenida de la pgina de servicio basado en configuracin de pgina, haga clic en Siguiente . En el servidor Seleccionar funciones de pgina, seleccione el siguiente y haga clic en Siguiente :

6.

7.

Seleccione Microsoft para servidores de Internet Security and Acceleration 2006 , si se estn endureciendo un equipo que ejecuta los servicios del servidor ISA (para ISA Server Enterprise Edition, un miembro de la matriz). Seleccione acceso remoto / VPN Server , si usted va a utilizar el equipo con ISA Server de red privada virtual (VPN).

Nota: No seleccione los roles de servidor especficos, cuando el endurecimiento de un servidor de almacenamiento de configuracin. 8. En el cliente Seleccione Opciones pgina, seleccione las funciones de cliente predeterminado. No hay roles de cliente especial, segn las necesidades para el endurecimiento de ISA Server. A continuacin, haga clic en Siguiente . En la Administracin Seleccione y otras opciones de la pgina, seleccione las siguientes opciones: a. Seleccione Microsoft para servidores de Internet Security and Acceleration 2006 Enterprise Edition: almacenamiento de configuracin , si el servidor de Almacenamiento de configuracin est instalado en este equipo (por ISA Server Enterprise Edition). Seleccione Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition: la cuota de instalacin del cliente , si la cuota de cliente firewall est instalado en este equipo. Seleccione Agente de cuarentena de acceso remoto , si se quiere habilitar la cuarentena para el servidor ISA. (Debe haber seleccionado el acceso remoto / VPN Server papel en el paso 7.)

9.

b.

c.

En la Seleccin Servicios Adicionales pgina, seleccione los servicios pertinentes y haga clic enSiguiente . Haga clic en Siguiente hasta que termine el asistente. Para ms orientacin tcnica sobre el Asistente para configuracin de seguridad, consulte el apartado "Configuracin de seguridad Asistente para Windows Server 2003" en el sitio de Microsoft Windows Server System . De forma manual endurecer su equipo que ejecuta Windows Server 2003, vea el Apndice A: manual de endurecimiento de Windows Server 2003 . Gestin de funciones y permisos Debido a que ISA Server controla el acceso a la red, se debe tener especial cuidado en la asignacin de permisos para el equipo con ISA Server y componentes relacionados. Con cuidado, determinar quin debe tener permiso para iniciar sesin en el equipo servidor ISA. A continuacin, configure los derechos de inicio de sesin en consecuencia.

ISA Server permite aplicar funciones administrativas a los usuarios y grupos. Despus de determinar qu grupos se les permite configurar o ver la poltica de ISA Server y la informacin de supervisin, puede asignar funciones adecuadamente. En las secciones siguientes consideraciones detalle en la asignacin de roles y permisos administrativos. Funciones administrativas Al igual que con cualquier aplicacin en su entorno, al definir los permisos para ISA Server, debe tener en cuenta el papel de los administradores del servidor ISA y asignarles nicamente los permisos necesarios. Para simplificar el proceso, ISA Server utiliza funciones administrativas. Puede utilizar la administracin basada en la organizacin de los administradores del servidor ISA en funciones independientes, predefinidos, cada uno con su propio conjunto de tareas. Al asignar un rol a un usuario, que esencialmente permiten que los permisos de usuario para realizar tareas especficas. Un usuario que tiene un papel, como ISA Server Administrator completa, puede llevar a cabo tareas especficas de ISA Server que un usuario con otro papel, como ISA Server Control Basic, no puede realizar.Administracin basada en funciones implica a usuarios y grupos de Windows. Estos permisos de seguridad, pertenencia a grupos y derechos de usuario se utilizan para distinguir los usuarios que tienen los roles. La siguiente tabla describe las funciones de ISA Server Standard Edition. Estndar de papel Edition ISA Server Control Bsico

Descripcin Los usuarios y grupos asignados a esta funcin pueden supervisar el equipo servidor ISA y la actividad de la red, pero no se puede configurar la funcionalidad de supervisin especfica. Usuarios y grupos asignados a esta funcin pueden realizar todas las tareas de vigilancia, incluyendo la configuracin de registro, configuracin de definicin de alerta, y todas las funciones de vigilancia para la funcin de servidor ISA de monitoreo bsico. Usuarios y grupos asignados a esta funcin pueden realizar cualquier tarea de ISA Server, incluyendo la configuracin de la regla, la aplicacin de las plantillas de la red y monitoreo.

ISA Server Extended Control ISA Server Administrator completa

La siguiente tabla describe las funciones de ISA Server Enterprise Edition.

Enterprise Edition papel ISA Server matriz de seguimiento Auditor ISA Server matriz Auditor

Descripcin Los usuarios y grupos asignados a esta funcin pueden supervisar el equipo servidor ISA y la actividad de la red, pero no se puede configurar la funcionalidad de supervisin especfica. Usuarios y grupos asignados a esta funcin pueden realizar todas las tareas de vigilancia, incluyendo la configuracin de registro, configuracin de definicin de alerta, y todas las funciones de vigilancia para la funcin de servidor ISA de monitoreo bsico en la versin Standard. Usuarios y grupos asignados a esta funcin pueden realizar cualquier tarea de ISA Server, incluyendo la configuracin de la regla, la aplicacin de las plantillas de la red y monitoreo. Usuarios y grupos asignados a esta funcin tienen un control total sobre la empresa y todas las configuraciones de matriz. El Administrador de empresa tambin se puede asignar funciones a otros usuarios y grupos. Usuarios y grupos asignados a esta funcin pueden ver la configuracin de la empresa y todas las configuraciones de matriz.

ISA Server matriz del administrador ISA Server Enterprise Administrator ISA Server Enterprise Auditor

Los miembros de estos grupos de ISA Server administrativa puede ser cualquier usuario de Windows. No hay privilegios especiales o permisos de Windows son obligatorios. La nica excepcin es que para ver los contadores de rendimiento del servidor ISA, con monitor de rendimiento o el panel de

ISA Server, el usuario debe ser miembro de la Windows Server 2003 del Monitor de rendimiento del grupo Usuarios. Tenga en cuenta que los administradores con los permisos de ISA Server Control extendido se pueden exportar e importar toda la informacin de configuracin, incluyendo la informacin de configuracin secreto. Esto significa que puede descifrar la informacin secreta. Los usuarios con permisos de administrador en el equipo servidor ISA no tienen automticamente el servidor ISA nivel de la matriz, permisos o permisos a nivel de empresa. Usted debe especificar estos usuarios asignar las funciones adecuadas. Ntese, sin embargo, que los usuarios que pertenecen al grupo Administradores en el servidor de almacenamiento de configuracin puede controlar fundamentalmente la configuracin de la empresa.Esto se debe a que puede modificar directamente los datos en el servidor de Almacenamiento de configuracin. Para asignar funciones administrativas de ISA Server Standard Edition 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Microsoft Internet Security and Acceleration Server 2006 y haga clic en nombreDeServidor . 2. 3. En la tareas de la ficha, haga clic en Definir funciones administrativas . En la bienvenida del Asistente para delegar la administracin de ISA Server, haga clic en Siguiente . Haga clic en Agregar . En grupos de usuarios (recomendado) o , escriba el nombre del grupo o de usuario a la que los permisos administrativos especficos sern asignados. En Papel , seleccione la funcin administrativa aplicable.

4. 5.

6.

Para asignar funciones administrativas de ISA Server Enterprise Edition 1. En el rbol de la consola de Administracin del servidor ISA, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , a continuacin, haga clic en Array_Name . 2. 3. 4. En la tareas de la ficha, haga clic en Configurar propiedades de la matriz . Seleccione la Asignacin de Funciones ficha Si el equipo que ejecuta los servicios del servidor ISA est en un dominio, sobre el asignar funcionespestaa, haga clic en la parte superior Aadir botn. Luego, en grupo o usuario , escriba el nombre del grupo o de usuario que puede acceder al servidor de almacenamiento de configuracin. En Papel , seleccione uno de los siguientes:

ISA Server matriz del administrador . Permite que el grupo o los permisos de usuario completo control de la matriz. El administrador tambin puede ver la poltica de empresa aplicada a la matriz. ISA Server matriz Auditor . Permite que el grupo o los permisos de usuario y control para ver la configuracin de la matriz. ISA Server matriz de seguimiento Auditor . Permite que el grupo o algunos permisos de usuario de control.

1.

Si el equipo que ejecuta los servicios del servidor ISA es un grupo de trabajo, en los roles Asignarpestaa, haga clic en el menor Aadir botn. Luego, en grupo o usuario , escriba el nombre del grupo o de usuario que puede acceder al servidor de almacenamiento de configuracin. En Papel , seleccione uno de los siguientes:

ISA Server matriz del administrador . Permite que el grupo o los permisos de usuario completo control de la matriz. El administrador tambin puede ver la poltica de empresa aplicada a la matriz. ISA Server matriz Auditor . Permite que el grupo o los permisos de usuario y control para ver la configuracin de la matriz. ISA Server matriz de seguimiento Auditor . Permite que el grupo o algunos permisos de usuario de control.

Nota: Cuando ISA Server est en un grupo de trabajo, es necesario asignar funciones de ISA Server a cuentas reflejadas. Para ms informacin sobre cuentas reflejadas, consulte la Ayuda del producto. Credenciales Cuando se le solicite para establecer las credenciales, utilizar contraseas seguras. Una contrasea se considera fuerte si se proporciona una defensa eficaz contra el acceso no autorizado. Una contrasea segura no contiene la totalidad o parte del nombre de la cuenta de usuario, y contiene al menos tres de las cuatro siguientes categoras de caracteres: los caracteres en maysculas, minsculas, dgitos de base 10 y smbolos que aparecen en el teclado (como por ejemplo, @ , o #). Permisos Es importante proporcionar a los usuarios con el nivel de permiso mnimo, al tiempo que permite a los usuarios hacer su trabajo. Esto tambin se aplica a la asignacin de permisos a los usuarios que sean administradores de ISA Server como se describe en la siguiente seccin. Con cuidado, determinar quin est autorizado a iniciar sesin en el equipo servidor ISA, lo que elimina el acceso a aquellos que no son fundamentales para el funcionamiento del servidor. Privilegios mnimos Aplicar el principio de privilegios mnimos, donde el usuario tiene los privilegios mnimos necesarios para realizar una tarea especfica. Esto ayuda a asegurar que, si una cuenta de usuario se ve comprometida, el impacto se minimiza por los privilegios limitados en poder de ese usuario. Mantener al grupo Administradores y otros grupos de usuarios lo ms pequeo posible. Un usuario que pertenezca al grupo Administradores en el equipo servidor ISA, por ejemplo, puede realizar cualquier tarea en el equipo servidor ISA. En Standard Edition, los usuarios del grupo Administradores de forma implcita le asigna el papel de administrador del servidor ISA completa. Ellos tienen todos los derechos para configurar y supervisar el servidor ISA. Para ms informacin sobre funciones, consulte la funciones administrativas seccin. En Enterprise Edition, los usuarios que pertenecen al grupo Administradores en el servidor de almacenamiento de configuracin puede controlar la configuracin de la empresa. Se puede modificar directamente los datos en el servidor de Almacenamiento de configuracin. Conexin y configuracin Al iniciar sesin en el equipo de ISA Server, inicie sesin con la cuenta con privilegios mnimos necesarios para realizar la tarea. Por ejemplo, para configurar una regla, debe iniciar sesin como administrador del servidor ISA.Sin embargo, si usted slo desea ver un informe, inicie sesin con menos privilegios. En general, utilizar una cuenta con permisos restrictivos para realizar tareas rutinarias que no estn relacionados con la administracin, y utilizar una cuenta con amplios permisos slo cuando se realizan tareas administrativas especficas. Las cuentas de invitado Le recomendamos que no habilite la cuenta de invitado en el equipo servidor ISA.

Cuando un usuario inicia sesin en el equipo con ISA Server, el sistema operativo comprueba si las credenciales coinciden con un usuario conocido. Si las credenciales no coinciden con un usuario conocido, el usuario ha iniciado sesin como invitado, con los mismos privilegios permitidos a la cuenta de invitado. El servidor ISA reconoce la cuenta Invitado por defecto todos los usuarios autenticados de usuario establecido. Discrecional listas de control de acceso Con una nueva instalacin, el servidor ISA discrecional listas de control de acceso (DACL) estn correctamente configurados. Adems, el servidor ISA vuelve a configurar las DACL correctamente cuando se modifican las funciones administrativas (para obtener ms informacin, consulte la funciones administrativas seccin) y cuando el servidor ISA de control de servicios (isactrl) se reinicia.

Precaucin: Porque el servidor ISA vuelve a configurar peridicamente las DACL, no debe utilizar la herramienta de anlisis de seguridad y de configuracin para configurar las DACL del archivo por los objetos de ISA Server.De lo contrario, puede haber un conflicto entre las DACL establecidas por la directiva de grupo y las DACL que el servidor ISA intenta configurar. No modifique las DACL establecidas por ISA Server. Tenga en cuenta que el servidor ISA no establece DACL para los objetos de la lista siguiente. Usted debe fijar DACL para los objetos de la lista siguiente con atencin, dar permisos slo al de confianza, los usuarios especficos:

y y

Carpeta de informes (cuando se selecciona la publicacin de los informes). Los archivos de configuracin creados al exportar o realizar copias de seguridad de la configuracin. Archivos de registro que se copian en una ubicacin diferente.

Asegrese de configurar cuidadosamente las DACL, concediendo permisos slo a los usuarios y grupos de confianza. Tambin, asegrese de crear DACL estrictas en los objetos que son utilizados indirectamente por el servidor ISA. Por ejemplo, al crear una conectividad abierta de bases de datos (ODBC) que ser utilizado por el servidor ISA, asegrese de mantener el nombre de la fuente de datos (DSN) seguro. Configure DACL estrictas para todas las aplicaciones que se ejecutan en el equipo servidor ISA. Asegrese de configurar DACL estrictas para los datos asociados en el sistema de archivos y en el registro. Si personaliza el SecurID HTML o plantillas de mensajes de error, asegrese de configurar DACL apropiado. La DACL recomendada es "Heredar el permiso de los padres." Consejo: Le recomendamos que no guarde los datos crticos (como los archivos ejecutables y archivos de registro) a las particiones FAT32. Esto se debe a DACL no se puede configurar para las particiones FAT32. La revocacin de los permisos de usuario Al revocar los permisos administrativos para un administrador de ISA Server, asegrese de realizar tambin lo siguiente:

En el equipo servidor ISA, borrar la cuenta del usuario.

En el servidor de almacenamiento de configuracin (para ISA Server Enterprise Edition), revise los objetos de ADAM. Modificar la propiedad de los objetos que pertenecen a la cuenta revocada.

La reduccin de la superficie de ataque Para asegurar an ms el equipo servidor ISA, aplique el principio de la superficie de ataque reducida. Para reducir la amplitud de su superficie de ataque, siga estas instrucciones:

No ejecute aplicaciones y servicios innecesarios en el equipo servidor ISA. Desactivar los servicios y funciones no crticas para la tarea actual, tal como se describe en el endurecimiento de la infraestructura de Windows seccin. Deshabilitar las caractersticas de ISA Server que no utiliza. Por ejemplo, si usted no requiere almacenamiento en cach, desactivar el almacenamiento en cach. Si usted no necesita la funcionalidad de VPN de ISA Server, deshabilite el acceso de cliente de VPN. Identificar los servicios y tareas no crticas para cmo usted maneja su red, y luego desactivar las reglas del sistema asociado de poltica. Limitar la aplicabilidad de las reglas del sistema normativo a las entidades de la red requiere solamente. Por ejemplo, el sistema Active Directory directiva de grupo de configuracin, activado por defecto, se aplica a todos los equipos de la red interna. Se podra limitar esto a slo se aplican a un grupo especfico de Active Directory en la red interna.

Las secciones siguientes describen cmo se puede reducir la superficie de ataque del equipo del servidor ISA. Deshabilitar las caractersticas de ISA Server Dependiendo de sus necesidades de red especficas, es posible que no requieren el conjunto de las funciones incluidas en ISA Server. Usted debe considerar cuidadosamente sus necesidades especficas y determinar si es necesario lo siguiente:

y y y y

VPN de acceso de cliente El almacenamiento en cach Web Proxy Los complementos

Si no se requiere una caracterstica especfica, deshabilitar esta caracterstica. VPN de acceso de cliente De acceso de cliente de VPN est desactivado por defecto. Esto significa que el sistema de reglas de poltica pertinentes, denominada Permitir el trfico de clientes de VPN a ISA Server, tambin se desactiva. La regla de red predeterminada, los clientes VPN llamado a la red interna, es permitido, incluso cuando el acceso de cliente de VPN est desactivado. Si VPN de acceso de cliente haba sido activado, se puede desactivar, si no es necesario. Para verificar que el acceso de cliente VPN est desactivado 1. En el rbol de la consola de Administracin del servidor ISA , haga clic en Redes Privadas Virtuales (VPN) :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Redes Privadas Virtuales (VPN) .

Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Redes Privadas Virtuales (VPN) .

2.

En el panel de detalles, haga clic en el de clientes de VPN ficha y haga clic en Verificar que el acceso VPN Client est activado . En el general ficha, asegrese de que Habilitar el acceso de cliente de VPN no est seleccionada.

3.

El almacenamiento en cach El almacenamiento en cach est desactivado por defecto. Esto significa que todas las funciones de almacenamiento en cach pertinentes, incluida la descarga de contenido programado, se desactivan. Si la cach se ha habilitado previamente para ISA Server, se puede desactivar. Para verificar que el almacenamiento en cach est desactivado 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en cach :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin y haga clic en Cach . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en Cach .

2.

En el panel de detalles, para la versin Enterprise Edition, haga clic en la Unidades de cach ficha. Para Standard Edition, haga clic en la Reglas de cach ficha. En la tareas de la ficha, haga clic en Desactivar almacenamiento en cach .

3.

Nota: Si la cach est deshabilitada, no ver la opcin. Web Proxy Proxy Web est habilitado por defecto y es uno de los escenarios de implementacin central de ISA Server 2006.Le recomendamos que desactive el proxy Web en escenarios al proxy Web no se utiliza. La siguiente es una lista de los escenarios en que ISA Server no utiliza el servicio proxy Web:

y y y y y y

ISA Server se utiliza nicamente para conexiones VPN. No hay ningn requisito para las siguientes caractersticas adicionales ISA Server: El almacenamiento en cach La compresin HTTP La capa de aplicaciones de filtrado Hay otro equipo con ISA Server proporciona servicios de proxy Web.

Para desactivar el proxy Web en un equipo servidor ISA, es necesario crear un nuevo protocolo con el puerto TCP 80 y verificar que filtro Web Proxy no est seleccionada para el nuevo protocolo. Cuando se crea una regla de acceso para permitir el trfico HTTP con el nuevo protocolo, se aplica lo siguiente:

Los usuarios deben tener una puerta de enlace predeterminada definido correctamente o utilizar el cliente firewall. La resolucin de nombres deben ser bien definidas. Configuracin de proxy web debe ser limpiado.

y y

Para proxy Web volver a habilitar, utilizar el original del protocolo HTTP que ISA Server crea durante la instalacin en cualquier regla de acceso. Para desactivar el proxy Web En el rbol de la consola de Administracin del servidor ISA , haga clic en Directiva de firewall : Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall . En el panel de detalles, haga clic en la caja de herramientas ficha y, a continuacin, haga clic enProtocolos . Haga clic en Nuevo y seleccione Protocolo . Tipo http1, para el nombre de la definicin del Protocolo . Definir la informacin de conexin principal , haga clic en Nuevo y escriba 80 para el De y Parapropiedades. No define ningn Conexiones secundarias . Haga clic en Finalizar para crear el nuevo protocolo. Nota: no se unen filtro Web Proxy con el protocolo creado, ya que esto permitir proxy Web. Los complementos Cuando se instala ISA Server, un conjunto de filtros y filtros de aplicacin Web tambin se instalan. Posteriormente, puede instalar complementos adicionales proporcionados por otros proveedores. Siga estas pautas de seguridad:

y y y

No instale filtros de aplicacin o filtros Web que no requieren. Nunca instale un filtro de una fuente no confiable. Guarde la librera de enlace dinmico (DLL) asociadas con el complemento de una biblioteca protegida (por ejemplo,% ProgramFiles% \ Microsoft ISA Server). Asegrese de configurar listas de control estricto de acceso (ACL) para esta biblioteca. Desactivar los filtros de aplicaciones y web que no necesita.

Para deshabilitar un complemento 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Add-ins :

Para ISA Server 2006 Enterprise Edition, para la matriz a nivel de los complementos, ampliarMicrosoft Internet Security and Acceleration Server 2006 , expanda matrices , expandaArray_Name , ampliar la configuracin y haga clic en Add-ins . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en Add-ins .

2. 3.

En el panel de detalles, seleccione la aplicacin del complemento. En la tareas de la ficha, haga clic en Deshabilitar filtros seleccionados .

Directivas del sistema ISA Server incluye un sistema de configuracin por defecto de poltica, lo que permite el uso de los servicios, son necesarios para la infraestructura de red para funcionar correctamente. En general, desde una perspectiva de seguridad, le recomendamos que configure la directiva del sistema para que el acceso a los servicios que no son necesarios para gestionar la red no est permitido. Despus de la instalacin, lea atentamente las normas de registro del sistema. Del mismo modo, despus de realizar las principales tareas de administracin, revise la configuracin de directivas del sistema nuevo. Las secciones siguientes se describen los servicios que estn habilitados por las reglas de directiva del sistema. Para ms informacin sobre la configuracin del sistema poltica, consulte la seccin "Poltica de ISA Server System" en el sitio web de Microsoft TechNet . Servicios de red Al instalar el servidor ISA, los servicios bsicos de red estn habilitados. Despus de la instalacin, ISA Server puede acceder a los servidores de resolucin de nombres y servicios de sincronizacin de tiempo en la red interna. Si los servicios de red estn disponibles en una red diferente, debe modificar la configuracin de las fuentes aplicables grupo para aplicar a la red especfica. Por ejemplo, supongamos que el Dynamic Host Configuration Protocol (DHCP) no se encuentra en la red interna, pero en una red perimetral. Modificar el cdigo fuente para el grupo de configuracin DHCP para solicitar a la red perimetral. Puede modificar la directiva del sistema para que slo determinados equipos de la red interna se puede acceder.Como alternativa, puede agregar redes adicionales, si los servicios se encuentran en otros lugares. La siguiente tabla muestra las reglas de directiva del sistema que se aplican a los servicios de red. Configuracin del grupo Nombre de la regla DHCP Permitir peticiones DHCP desde el servidor ISA a interna Permitir respuestas DHCP de servidores DHCP al servidor ISA Permitir DNS del servidor ISA a servidores seleccionados Permitir NTP del servidor ISA a servidores NTP de confianza

Descripcin de la regla Permite que el equipo de ISA Server para acceder a la red interna por medio de DHCP (respuesta) y DHCP (peticin).

DNS

Permite que el equipo de ISA Server para acceder a todas las redes utilizando el sistema de nombres de dominio (DNS) de protocolo. Permite que el equipo de ISA Server para acceder a la red interna mediante el protocolo NTP (UDP) de protocolo.

NTP

DHCP servicios Si el servidor DHCP no se encuentra en la red interna, se debe modificar la regla de poltica del sistema por lo que se aplica a la red en la que se encuentra el servidor DHCP. Por ejemplo, si el servidor DHCP se encuentra en la red externa, realice el siguiente procedimiento. Para modificar la regla de poltica del sistema 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en DHCP . En el de la ficha, haga clic en Agregar . En Agregar entidades de red , seleccione un objeto de red. Consejo: Le recomendamos que si usted conoce la direccin IP del servidor DHCP, crear un equipo configurado con slo la direccin IP y seleccionar dicho conjunto. Le recomendamos encarecidamente este cuando el servidor DHCP se encuentra en una red insegura.

4. 5.

6.

Haga clic en Agregar , haga clic en Cerrar y haga clic en Aceptar .

Servicios de Autenticacin Una de las capacidades fundamentales de ISA Server es la posibilidad de aplicar una poltica de firewall a usuarios especficos. Para autenticar a los usuarios, sin embargo, el servidor ISA debe ser capaz de comunicarse con los servidores de autenticacin. Por esta razn, de manera predeterminada, ISA Server puede comunicarse con los servidores de Active Directory (para la autenticacin de Windows) y con los servidores RADIUS que se encuentran en la red interna. La siguiente tabla muestra las reglas de directiva del sistema que se aplican a los servicios de autenticacin. Usted puede desactivar las reglas para los tipos de autenticacin no est siendo utilizado. Configuracin del grupo Active Directory

Nombre de la regla Permitir el acceso a los servicios de directorio para la autenticacin Permitir RPC del servidor ISA a servidores de confianza Permitir CIFS de Microsoft desde el servidor ISA a servidores de confianza Permitir la autenticacin Kerberos del servidor ISA a servidores de confianza Permitir la autenticacin SecurID de ISA Server para servidores de confianza

Descripcin de la regla Permite que el equipo de ISA Server para acceder a la red interna mediante varios protocolos LDAP, llamada a procedimiento remoto (RPC) (todas las interfaces) de protocolo, varios Microsoft comunes del sistema de archivos de Internet (CIFS) protocolos, y varios protocolos Kerberos, utilizando el servicio de directorio Active Directory.

RSA SecurID

Permite que el equipo de ISA Server para acceder a la red interna mediante el protocolo RSA SecurID .

RADIUS

Permitir la autenticacin RADIUS del servidor ISA a servidores RADIUS de confianza Permitir el trfico HTTP de ISA Server para todas las redes (para descargas de CRL)

Permite que el equipo de ISA Server para acceder a la red interna mediante varios protocolos RADIUS.

La lista de revocacin de certificados (CRL) Descargar

Permite transferencia de hipertexto (HTTP) de ISA Server para todas las redes para la descarga de actualizaciones de las listas de certificados revocados (CRL).

DCOM Si usted requiere el uso del protocolo DCOM, por ejemplo, para administrar de forma remota el equipo servidor ISA, asegrese de que no permiten cumplir estrictamente el cumplimiento RPC . Para verificar que cumplir estrictamente el cumplimiento RPC no est seleccionada 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en Active Directory . Verifique que cumplir estrictamente el cumplimiento RPC no est seleccionada.

4.

Consejo: DCOM es a menudo necesaria para varios servicios, incluyendo la gestin remota y automtica de certificados de inscripcin. Windows y los servicios de autenticacin RADIUS Si no se requiere la autenticacin de Windows o la autenticacin RADIUS, debe realizar los siguientes pasos para desactivar el sistema de grupos de configuracin de aplicacin de polticas. Para desactivar la aplicacin del sistema de configuracin poltica de los grupos 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en Active Directory .

4.

En el general ficha, asegrese de que Habilitar este grupo de configuracin no est seleccionada. Nota: Cuando se desactiva el sistema de Active Directory directiva de grupo de configuracin, el acceso a todos los protocolos LDAP ya no es permitido. Si necesita los protocolos LDAP, cree una regla de acceso que permite el uso de estos protocolos.

5.

Repita los pasos 3 y 4 para el RADIUS grupo de configuracin. Consejo: Si usted requiere slo la autenticacin de Windows, asegrese de configurar la directiva del sistema, desactivar el uso de todos los mecanismos de autenticacin.

RSA SecurID servicios de autenticacin La comunicacin con los servidores de autenticacin RSA SecurID no est habilitada por defecto. Si su poltica de firewall requiere la autenticacin RSA SecurID, asegrese de activar este grupo de configuracin. CRL servicios de autenticacin Las listas de certificados revocados (CRL) no se pueden descargar de forma predeterminada. Esto se debe a que el grupo de configuracin Descarga de CRL no est activado por defecto. Para habilitar la descarga de CRL 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en Descargar CRL . En el general ficha, asegrese de que Habilitar este grupo de configuracin es seleccionado. En el A , seleccione las entidades de la red de laboratorios comunitarios de referencia que se puede descargar.

4.

5.

Importante: El mtodo ms comn para descargar la CRL es a travs de HTTP. Por lo tanto, cuando se habilita ladescarga de CRL , todo el trfico HTTP se permitir a partir de la red de host local (el equipo servidor ISA) a las entidades de red que aparecen en la A pestaa. Si los certificados de uso de otro protocolo para descargar la CRL, es necesario crear una regla de acceso para estos protocolos. La administracin remota

A menudo, usted administrar el servidor ISA desde un equipo remoto. Con cuidado, determinar qu equipos remotos pueden gestionar y supervisar el servidor ISA. La siguiente tabla muestra las reglas de directiva del sistema que debe ser configurado. Configuracin del grupo Microsoft Management Console

Nombre de la regla Permitir la administracin remota desde equipos seleccionados que usan MMC MS permiten la comunicacin de control de firewall para los equipos seleccionados Permitir la administracin remota desde equipos seleccionados mediante Terminal Server Permitir la administracin remota de equipos seleccionados mediante una aplicacin web Permitir ICMP (PING) de equipos seleccionados para ISA Server

Descripcin de la regla Permite a los ordenadores en la gestin remota de equipos Equipos de conjunto para acceder al equipo servidor ISA mediante el MS Firewall Control y RPC (todas las interfaces) protocolos.

Terminal Server

Permite a los ordenadores en la gestin remota de equipos Equipos de conjunto para acceder al equipo servidor ISA mediante el RDP (Terminal Services) de protocolo. Permite la gestin remota desde equipos seleccionados mediante una aplicacin web.

Web de gestin

ICMP (ping)

Permite a los ordenadores en la gestin remota de equipos Equipos de conjunto para acceder al equipo servidor ISA mediante el protocolo PING, y viceversa.

Por defecto, las normas de registro del sistema que permite la gestin remota de ISA Server estn habilitadas con excepcin del grupo de gestin de configuracin Web. ISA Server se pueden gestionar mediante la ejecucin de un control remoto de Microsoft Management Console (MMC), o mediante el uso de los Servicios de Terminal Server. Por defecto, estas reglas se aplican al conjunto integrado en el ordenador de gestin remota equipos. Al instalar el servidor ISA, este conjunto de equipos vaco se crea. Aadir a este equipo conjunto vaco de forma remota todos los equipos que va a administrar el servidor ISA. Hasta que lo haga, la administracin remota no se encuentre efectivamente disponible desde cualquier ordenador. Consejo: Limite la administracin remota de equipos especficos mediante la configuracin de la gestin remota conjunto de equipos Equipos. Para habilitar la administracin remota 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la caja de herramientas ficha, haga clic en Objetos de red . Expanda Conjuntos de equipos , haga clic en equipos de gestin remota , a continuacin, haga clic enPropiedades .

4. 5. 6.

Haga clic en Agregar , a continuacin, haga clic en PC . En Nombre , escriba el nombre del equipo. En Direccin IP del equipo , escriba la direccin IP del equipo que puede administrar remotamente el servidor ISA.

Nota: Cuando se crea una serie durante la instalacin de ISA Server de servicios de firewall, el servidor de almacenamiento de configuracin se aade automticamente al conjunto de equipos Equipos de administracin remota. Si se crea la matriz antes de instalar el firewall de ISA Server, tendr que aadir manualmente el servidor de Almacenamiento de configuracin para el conjunto de equipos Equipos de administracin remota. Registro y supervisin a distancia De manera predeterminada, el registro remoto y el monitoreo son discapacitados. Slo el grupo de configuracin SMTP est activada por defecto, lo que permite Simple Mail Transfer Protocol (SMTP) la comunicacin de ISA Server a los equipos de la red interna. Esto es necesario, por ejemplo, cuando usted desea enviar la informacin de alerta en un mensaje de correo electrnico. Los grupos de configuracin estn desactivadas por defecto:

y y y y

Registro remoto (NetBIOS) Registro remoto (SQL) Supervisin remota del rendimiento Microsoft Operations Manager

La siguiente tabla proporciona una descripcin de los grupos de configuracin. Configuracin del grupo Registro remoto (NetBIOS) Registro remoto (SQL) Supervisin remota del rendimiento

Nombre de la regla Permitir el registro remoto a servidores de confianza con NetBIOS Permitir el registro de SQL remota del servidor ISA a servidores seleccionados Permitir la supervisin remota de rendimiento del servidor ISA desde servidores de confianza Permitir la supervisin remota del servidor ISA a servidores de confianza, el uso de Microsoft Operations Manager (MOM) Agente Permitir SMTP del servidor ISA a servidores de confianza

Descripcin de la regla Permite que el equipo de ISA Server para acceder a la red interna mediante varios protocolos NetBIOS. Permite que el equipo de ISA Server para utilizar Microsoft (SQL) protocolos de acceso a la red interna. Permite a los ordenadores en la gestin remota de equipos Equipos de conjunto para acceder al equipo servidor ISA mediante varios protocolos NetBIOS. Permite que el equipo de ISA Server para acceder a la red interna mediante el agente de Microsoft Operations Manager. Permite que el equipo de ISA Server para acceder a la red interna a travs de SMTP.

Microsoft Operations Manager SMTP

Habilitar el registro y monitoreo remoto Utilice el siguiente procedimiento para habilitar el registro y monitoreo remoto. Para habilitar el registro y monitoreo remoto

1.

En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, seleccione uno o ms de los grupos de configuracin siguientes:

y y y y y
4.

Registro remoto (NetBIOS) Registro remoto (SQL) Supervisin remota del rendimiento Microsoft Operations Manager SMTP

En el general ficha, asegrese de que Habilitar este grupo de configuracin es seleccionado.

Los servicios de diagnstico Por defecto, las normas de registro del sistema que permite el acceso a los servicios de diagnstico estn activadas, a excepcin de la conectividad HTTP verificadores grupo, con los siguientes permisos:

ICMP. Esto es posible a todas las redes (y host local). Este servicio es importante para determinar la conectividad con otros equipos. De red de Windows. Esto permite la comunicacin NetBIOS, por defecto en los ordenadores de la red interna. Microsoft Error Reporting. Esto permite el acceso HTTP al conjunto de informes de errores de Microsoft URL sitios, para permitir la presentacin de la informacin de error. Por defecto, este conjunto de direcciones URL incluye sitios especficos de Microsoft, y no debe ser modificado. Comprobadores de conectividad HTTP. Esto permite que el equipo servidor ISA para usar HTTP y HTTP seguro (HTTPS) Los protocolos para comprobar si un determinado equipo es sensible.

La siguiente tabla muestra los grupos de polticas de configuracin del sistema que estn habilitadas por defecto. Configuracin del grupo

Nombre de la regla

Descripcin de la regla

ICMP

Permitir peticiones ICMP del servidor ISA a servidores seleccionados Permitir NetBIOS del servidor ISA a servidores de confianza Permitir HTTP / HTTPS del servidor ISA a determinados sitios de Microsoft de informes de errores

Permite que el equipo de ISA Server para acceder a todas las redes con varios protocolos ICMP y el protocolo PING. Permite que el equipo de ISA Server para acceder a todas las redes con varios protocolos NetBIOS. Permite que el equipo de ISA Server para acceder a los miembros de la Error Microsoft Reporting sitios conjunto de direcciones URL a travs de protocolos HTTP o HTTPS.

De red de Windows

Comunicacin de Microsoft (Microsoft Error Reporting)

Adems, el servicio de diagnstico que no est activado por defecto: HTTP comprobadores de conectividad. Cuando se crea un comprobador de conectividad, la conectividad HTTP grupo de configuracin de los verificadores se activa, lo que permite la red de host local para utilizar HTTP o HTTPS para acceder a los ordenadores de cualquier otra red. La siguiente tabla describe la configuracin de conectividad HTTP grupo de verificadores. Configuracin del grupo Conectividad HTTP verificadores

Nombre de la regla Permitir HTTP / HTTPS del servidor ISA a servidores seleccionados para los comprobadores de conectividad

Descripcin de la regla Permite que el equipo de ISA Server para comprobar la conectividad mediante el envo de peticiones HTTP GET al equipo especificado.

Le recomendamos que limitar este acceso a los equipos especficos cuya conectividad desee comprobar. Para limitar este acceso 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en HTTP comprobadores de conectividad . En la A pestaa, haga clic en todas las redes (y host local) y haga clic en Quitar . Haga clic en Agregar y luego seleccionar las entidades de la red cuya conectividad desee comprobar. Todo el trfico HTTP se permitir a partir de la red de host local (el equipo servidor ISA) a las entidades de red que aparecen en la A pestaa.

4. 5.

Las tareas programadas de descarga Por defecto, la descarga programada funcin de puestos de trabajo est desactivado. La siguiente tabla describe la configuracin de descarga programada grupo de trabajo.

Configuracin del grupo Trabajos programados Descargar

Nombre de la regla Permitir HTTP de ISA Server a los equipos seleccionados para los trabajos de descarga de contenidos

Descripcin de la regla Permite que el equipo de ISA Server para acceder a todas las redes a travs de HTTP.

Cuando se crea un trabajo de descarga de contenido, se le pedir que habilite esta regla de poltica del sistema.ISA Server se podr acceder a los sitios especificados en el trabajo de descarga de contenido. Sitios permitidos La directiva del sistema predeterminada permite el acceso HTTP y HTTPS de la red de host local (el equipo servidor ISA) en el sitio Web Microsoft.com. Esto es necesario para:

y y

El informe de errores (como se describe en el servicios de diagnstico ). Mantenimiento y gestin.

De manera predeterminada, el grupo de sitios permitidos de configuracin est activada, permitiendo que el servidor ISA para acceder a contenidos en sitios especficos que pertenecen a la directiva del sistema de sitios permitidos conjunto de nombres de dominio. La siguiente tabla describe el grupo de sitios permitidos de configuracin. Configuracin del grupo Sitios permitidos

Nombre de la regla Permitir HTTP / HTTPS del servidor ISA a sitios especificados

Descripcin de la regla Permite que el equipo de ISA Server para acceder a los miembros de la directiva del sistema permiten URL Sitios conjunto con los protocolos HTTP y HTTPS.

Este conjunto de direcciones URL incluye varios sitios web de Microsoft, de forma predeterminada. No se puede modificar la directiva del sistema de sitios permitidos conjunto de dominio, sin embargo se puede crear un conjunto de nombres de dominio y agregarlo al grupo de animales Sitios poltica del sistema para incluir sitios Web adicionales, que ISA Server se le permitir el acceso. Para modificar el conjunto de direcciones URL para incluir sitios Web adicionales 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en Sitios permitidos . En la A pestaa, haga clic en Agregar y, a continuacin, seleccione el conjunto de nombres de dominio requerido.

4.

HTTP y HTTPS de acceso se permitir a los sitios Web especificados.

Modo de bloqueo de Una parte crtica de un firewall es la de reaccionar a un ataque. Cuando ocurre un ataque, puede parecer que la primera lnea de defensa es desconectarse de Internet, el aislamiento de la red comprometida maliciosa del exterior. Sin embargo, este no es el enfoque recomendado. Aunque el ataque debe ser manejado, la conectividad de red normal debe reanudarse lo antes posible, y la fuente del ataque deben ser identificados. La caracterstica de bloqueo combina la necesidad de aislamiento con la necesidad de estar conectado. Ante una situacin que provoca que el servicio Firewall de Microsoft para cerrar, el servidor ISA entra en modo de bloqueo.Esto ocurre cuando:

Un evento que desencadena el servicio de firewall para cerrar. Al configurar las definiciones de alerta, a decidir qu eventos va a hacer que el servicio de firewall para cerrar. En esencia, se configura cuando el servidor ISA entra en modo de bloqueo. El servicio de Firewall se apague manualmente. Si usted se da cuenta de los ataques maliciosos, puede cerrar el servicio de Firewall, al configurar el equipo con ISA Server y la red para manejar los ataques.

Funcionalidad afectada Cuando est en modo de bloqueo, la funcionalidad aplica lo siguiente:

y y

El filtro de paquetes del firewall del motor (fweng) se aplica la directiva de firewall. El trfico de salida de la red de host local a todas las redes est permitido. Si una conexin de salida se ha establecido, esa conexin puede ser utilizada para responder al trfico entrante. Por ejemplo, una consulta DNS puede recibir una respuesta DNS, en la misma conexin. No se permite el trfico entrante, a menos que una regla de poltica del sistema que especficamente permite que el trfico est activada. La nica excepcin es el trfico DHCP, que siempre est permitido. Peticiones DHCP en User Datagram Protocol (UDP) el puerto 67 se permite a partir de la red de host local a todas las redes, y las respuestas DHCP en el puerto UDP 68 se les permita volver pulg Las reglas del sistema siguiendo la poltica que siguen siendo aplicables:

y y

Permitir ICMP desde servidores de confianza para el equipo local. Permitir la administracin remota del firewall mediante MMC (RPC a travs del puerto 3847). Permitir la administracin remota del firewall mediante RDP. Clientes VPN de acceso remoto no pueden acceder a ISA Server. Del mismo modo, se niega el acceso a las redes de sitios remotos en los escenarios de sitio a sitio VPN. Cualquier cambio en la configuracin de la red, mientras que en el modo de bloqueo slo se aplican despus de reiniciar el servicio de firewall y servidor ISA sale del modo de bloqueo. Por ejemplo, si mueve fsicamente un segmento de red y configurar ISA Server para que coincida con los cambios fsicos, la nueva topologa est en vigor slo despus de que el modo de bloqueo de las salidas de ISA Server. ISA Server no se activa ninguna alerta.

y y

Salir del modo de bloqueo Cuando se reinicia el servicio de firewall, servidor ISA sale del modo de bloqueo y contina funcionando, como antes. Los cambios realizados en la configuracin del servidor ISA se aplican despus del modo de bloqueo de las salidas de ISA Server.

Seguridad en la configuracin
Al configurar el firewall de ISA Server poltica en relacin con su poltica de seguridad corporativa, siga el principio de negar todo el trfico que no est explcitamente permitido. ISA Server por defecto ejecucin de esta poltica. Un firewall por defecto la regla de poltica, llamada regla predeterminada, deniega el acceso de todos los usuarios de todas las redes. Debido a esta regla se proces por ltima vez, todo el trfico no permitido explcitamente se negaron. Mejores prcticas de seguridad para la Gestin Empresarial ISA Server 2006 Enterprise Edition presenta una arquitectura de mltiples niveles, en el que la informacin de configuracin se almacena en el servidor de Almacenamiento de configuracin. Miembros de la matriz comunicarse con el servidor de almacenamiento de configuracin para levantarse al da la informacin de configuracin.Adems, los miembros de la matriz se comunican entre s. Para ayudar a proteger este modelo de implementacin, siga las mejores prcticas de seguridad que figuran en este tema. Asegurando el servidor de almacenamiento de configuracin Para proteger el servidor de almacenamiento de configuracin, siga estas instrucciones:

Le recomendamos que instale el servidor de almacenamiento de configuracin en un equipo dedicado que no se utiliza para tareas adicionales. Salvaguardar la seguridad del servidor de almacenamiento de configuracin. Asegrese de que el equipo est fsicamente seguro. Despus de crear las funciones de administrador, evitar la realizacin de las tareas en el servidor de Almacenamiento de configuracin. Cambios en el servidor de almacenamiento de configuracin se debe hacer uso de credenciales de administrador en un equipo matriz de ISA Server o equipo de administracin remota. Los usuarios que pertenecen al grupo Administradores en el servidor de almacenamiento de configuracin efectivamente tienen permisos de Administrador de empresa. Esto se debe a que puede modificar directamente los datos en el servidor de Almacenamiento de configuracin. Le recomendamos que no coloque el servidor de almacenamiento de configuracin en el borde de la red. Por el contrario, el lugar detrs de un equipo que ejecuta servicios de ISA Server, lo que ayudar a protegerla de posibles ataques. Auditar los cambios de permisos en el servidor de Almacenamiento de configuracin. Cuando sea posible, se recomienda implementar un servidor de almacenamiento de configuracin slo en la sede corporativa, y no en las sucursales. Por ejemplo, si una sucursal tiene una buena conexin a la sede, se debe implementar un servidor de almacenamiento de configuracin en la sede para asegurar un lugar seguro fsica para el servidor de Almacenamiento de configuracin. Sin embargo, puede requerir de un servidor de almacenamiento de configuracin de la sucursal cuando la conexin de red a la sede central es lento y no es un lugar seguro fsica para el servidor de almacenamiento de configuracin en la sucursal.

y y

Firewall de bloqueo de cuentas

El servidor de almacenamiento de configuracin de ISA Server reconoce a cada miembro de la matriz de una cuenta nica, creada especialmente para este propsito. Esta cuenta no est sujeto a bloqueo de la cuenta, evitando as la posible denegacin de ataques de servicio. La contrasea por defecto en este sentido, se crea al instalar el miembro de la matriz, es una contrasea segura. Si cambia la contrasea, le recomendamos que configure una contrasea segura. Asegurar la comunicacin intra-Array Para asegurar la comunicacin intra-array, siga estas instrucciones:

Tras la instalacin, un par de claves privadas y pblicas se crean para cada miembro de la matriz. Estas teclas se utilizan para la transferencia de datos confidenciales entre los miembros de la matriz. Si usted cree que las claves han sido comprometidos, crear un nuevo par de claves por desinstalar y volver a instalar el servidor ISA. Le recomendamos que utilice un adaptador de red dedicado en una red que se utiliza slo para la comunicacin dentro de la matriz.

Configuracin de la validacin despus de la actualizacin ISA Server 2004 la poltica se puede actualizar a ISA Server 2006. Despus de actualizar a ISA Server 2006, revise cuidadosamente la poltica de actualizacin, asegurndose de que la poltica de firewall sigue configurado de acuerdo con la poltica de seguridad de su organizacin. Para ms informacin sobre cmo actualizar a ISA Server 2006, consulte "Actualizacin de ISA Server 2006 Standard Edition" en el sitio web de Microsoft TechNet y "Actualizacin de ISA Server 2006 Enterprise Edition" en elsitio web de Microsoft TechNet . Validacin de la configuracin de Directiva de firewall Despus de crear una poltica de firewall, le recomendamos que revise la poltica activa. Validar que el trfico que desea pasar a travs de est permitido. Tambin comprobar que slo los puertos estn abiertos aplicables. Por ejemplo, el uso de escaneo de puertos para comprobar que slo los puertos de aplicacin son realmente abierto. Dominios Locales Le recomendamos que incluya todos los nombres de dominio local en los mbitos que se consideran locales a la red interna. De lo contrario, ISA Server puede enviar una solicitud de resolucin de nombres a un servidor DNS externo, lo que podra exponer a los nombres de los dominios internos. Para configurar la tabla de dominios locales 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Redes :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin, y haga clic en Redes . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en Redes .

2.

En el panel de detalles, haga clic en la redes de la ficha, y luego seleccione la interna de la red. En la tareas de la ficha, haga clic en Editar red seleccionada . En el dominio pestaa, haga clic en Agregar . A continuacin, escriba el nombre de dominio en el Escriba un nombre de dominio que incluyen caja.

3. 4.

Respaldo y restauracin ISA Server incluye una funcin de importacin y exportacin que le permite respaldar y restaurar la informacin de configuracin. Los parmetros de configuracin se pueden exportar y almacenan localmente en un archivo. Xml.Puede guardar la configuracin en cualquier carpeta y el nombre del archivo. El archivo. Xml puede contener informacin confidencial y debe ser almacenado en consecuencia. Cuando se restaura un archivo de configuracin, potencialmente cambiar la poltica de firewall existentes. Por esta razn, tener especial cuidado en el uso exclusivo de confianza los archivos de configuracin al restaurar (importar) la informacin de configuracin. Red privada virtual Es importante que siga las mejores prcticas de seguridad cuando se utiliza ISA Server 2006 como una red privada virtual (VPN). La siguiente es una lista de recomendaciones para proteger tu PC de ISA Server en su papel como un servidor VPN:

Protocolo de tnel de capa dos (L2TP) sobre seguridad del protocolo Internet (IPsec) las conexiones se recomiendan para el cifrado ms potente. Le recomendamos que aplicar y hacer cumplir una poltica de contraseas fuertes, reduciendo as la posibilidad de un ataque de diccionario. Cuando se implementa esta poltica, puede desactivar el bloqueo de la cuenta, reduciendo as la posibilidad de que un atacante provocar el bloqueo de cuentas. Posibilidad de exigir su clientes VPN remotos para ejecutar determinados sistemas operativos (como Microsoft Windows Server 2003 o Windows XP). No todos los sistemas operativos tienen los mismos niveles de seguridad en sus sistemas de archivo y en sus cuentas de usuario. Adems, no todas las funciones de acceso remoto estn disponibles en todos los sistemas operativos. Utilizar mtodos de autenticacin que ofrezcan una seguridad adecuada. El mtodo ms seguro de autenticacin Protocolo de autenticacin extensible-Seguridad en el Transporte Nivel (EAP-TLS) cuando se utiliza junto con las tarjetas inteligentes. Utilice la funcin de control de cuarentena de ISA Server para proporcionar un acceso gradual de la red para los clientes VPN remotos. Con el control de cuarentena, los clientes se limitan a un modo de cuarentena antes de que se permite el acceso a la red. Aunque el control de cuarentena no protege contra los atacantes, configuraciones de los equipos de los usuarios autorizados pueden ser verificadas y, si es necesario, corregir antes de que puedan acceder a la red.

Proteccin contra virus con VPN Infectados con el virus equipos cliente VPN no son automticamente bloqueados por las inundaciones en el equipo servidor ISA o las redes que protege a las solicitudes. Para evitar que esto ocurra, implementar prcticas de vigilancia para detectar anomalas tales como alertas o picos inusuales en las cargas de trfico, y configurar una notificacin de alerta de utilizar mensajes de correo electrnico. Si una persona infectada equipo cliente de VPN se identifica, ya sea:

Utilice la directiva de acceso remoto a excluir al usuario de los clientes VPN que tienen permiso para conectarse. Restringir el acceso VPN por direccin IP. Para ello, cree una nueva red que contiene direcciones IP externas que estn bloqueados, y mover la direccin IP del cliente de la red externa a la nueva red.

Mitigacin de las inundaciones ISA Server 2006 puede ayudar a detectar y mitigar los brotes de virus y la posterior inundacin de conexiones que son una realidad empresarial prevaleciente. El ISA Server cuenta con la mitigacin de inundaciones incluyen diversas funciones, que se puede configurar y monitorizar para asegurar que la red queda protegida de los ataques maliciosos. Por defecto, la mitigacin de inundaciones se activa

con la configuracin predeterminada y est configurado para registrar el trfico bloqueado por la configuracin de mitigacin de inundaciones. Para modificar o ver la configuracin de mitigacin de inundaciones 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en general :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin, y haga clic en general . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en general .

2.

En el panel de detalles, haga clic en Configurar las opciones de mitigacin de inundaciones . Haga clic en Editar para modificar los valores de la configuracin deseada.

3.

De autenticacin para VPN Utilizar mtodos de autenticacin que ofrezcan suficiente seguridad VPN. De acceso de cliente VPN El mtodo ms seguro de autenticacin Protocolo de autenticacin extensible-Seguridad en el Transporte Nivel (EAP-TLS) cuando se utiliza junto con las tarjetas inteligentes. A pesar del despliegue desafos involucrados en el uso de EAP-TLS y tarjetas inteligentes, que requieren una infraestructura de clave pblica (PKI), este se considera el mtodo de autenticacin ms segura. Habilitar EAP-TLS, que est desactivado por defecto en el perfil de una poltica de acceso remoto. Cuando se utiliza el protocolo de autenticacin EAP-TLS, debe instalar un certificado de equipo en el Servicio de autenticacin Internet (IAS). Para el cliente y la autenticacin de usuarios, puede instalar un certificado en el equipo cliente, o puede utilizar las tarjetas inteligentes. Antes de implementar certificados, debe disear el certificado con los requisitos correctos. Si utiliza autenticacin basada en contrasea, hacer cumplir las directivas de contraseas seguras en la red para realizar ataques de diccionario ms difcil. Posibilidad de exigir su clientes VPN remotos se autentiquen con protocolos de autenticacin ms seguros, como desafo la versin de Microsoft protocolo de enlace de autenticacin 2 (MS-CHAP v2) o Protocolo de Autenticacin Extensible (EAP), en lugar de lo que les permite utilizar protocolos como el Protocolo de autenticacin de contrasea (PAP), contrasea de Shiva Authentication Protocol (SPAP), y el Protocolo de autenticacin (CHAP). Le recomendamos encarecidamente que PAP, SPAP y CHAP se desactivar. PAP, SPAP y CHAP estn deshabilitados por defecto. De sitio a sitio VPN El uso de certificados para la autenticacin de las conexiones de sitio a sitio VPN es el escenario de implementacin recomendada. Los siguientes consideraciones de seguridad es necesario abordar el uso de certificados:

Usted debe utilizar una entidad dedicada certificacin interna (CA) para emitir los certificados necesarios para las conexiones de sitio a sitio VPN. Esto se debe al hecho de que IPsec no coincide con el nombre del certificado en el nombre del sitio. Si los certificados proceden de la misma CA, esto es suficiente para la autenticacin. Hacer cumplir la lista de revocacin de certificados (CRL). Por defecto, IPsec intentar descargar la CRL de la entidad emisora en el establecimiento de la conexin VPN. Si la CRL no se puede descargar por cualquier motivo, IPsec sigue considerando que el certificado sea

vlido y permite el establecimiento de la conexin VPN. Si un miembro de la matriz es robado, el sistema o el certificado de exportacin podra ser utilizado para establecer una conexin de sitio a sitio VPN con otro miembro de la matriz, incluso si el certificado ha sido revocado. Para mitigar este riesgo, configurar StrongCRLCheck la comprobacin de todos los miembros de la matriz. StrongCRLCheck fuerzas de control de la miembro de la matriz para verificar la validez de cada certificado que se presenta en contra de la CRL. Si el miembro de la matriz no se puede descargar la CRL, el certificado se considera como no vlido y la conexin se rechazar. Para configurar StrongCRLCheck 1. Configurar un punto adicional de distribucin de CRL de la entidad emisora. El nombre de host utilizado en el punto de distribucin CRL deben resolverse a travs de Internet. 2. Reducir el perodo de validez de la CRL. El perodo de validez de una CRL es el perodo de tiempo que el CRL se considera autorizada por un verificador de un certificado. Siempre y cuando el verificador de un certificado tiene una CRL vlida en su cach local, que no intentar recuperar otra CRL de la CA. El perodo de validez de una CRL se basa en el intervalo de publicacin de CRL ms un mximo de 10 por ciento para permitir la replicacin. El intervalo predeterminado de publicacin de CRL es de una semana. Para ms informacin sobre los puntos de distribucin CRL, publicar CRL y revocaciones de certificados, consulte Windows Server 2003 ayuda del producto. Reedicin de todos los certificados ya emitidos, para incluir el nuevo punto de distribucin CRL valor en el certificado. Publicar un nuevo punto de distribucin de CRL a Internet a travs de la Web de ISA Server Asistente para la publicacin. Especificar que el tnel de VPN no se puede establecer si el certificado ha sido revisado con la CRL:

3.

4.

5.

Establecer el valor StrongCRL en el registro, bajo la clave HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ PolicyAgent \ clave, agregue una nueva subclave Oakley, con una entrada DWORD: StrongCRLCheck, y asignarle un valor de 2.

6.

A continuacin, reinicie el servicio Agente de directivas y el servicio Firewall de Microsoft. Nota: Cuando el Agente de directivas se detiene y se reinicia, el IPSec de sitio a sitio de conexin VPN ya no funciona correctamente. TCP SYN y UDP dejar de ISA Server en texto plano, y cualquier respuesta ser dado de baja por el servidor ISA, porque estn en texto plano. Para corregir este problema, despus de reiniciar el Agente de directivas, detener e iniciar el servicio Firewall de Microsoft o reiniciar el servidor. Nota: Por defecto, IPsec se espere 10 segundos para completar el proceso de recuperacin de CRL. Si la CRL no se puede recuperar en ese momento, IPsec har que la autenticacin falle cuando StrongCRLCheck se ha establecido en un valor de 2. En una conexin con enlaces lentos, esto puede causar una conexin de sitio a sitio VPN a fallar.

Para obtener ms informacin acerca de IPsec, consulte la seccin "Cmo funciona IPSec" en el sitio web de Microsoft TechNet . IPsec del trfico

ISA Server no bloquea ningn Encapsulating Security Payload (ESP) o el trfico de autenticacin de cabecera, que es parte del trfico de IPsec. Adems, este trfico no se considera falsa, ya que estos protocolos son considerados seguros por diseo. Conectividad VPN de sucursales Asistente para archivo de respuesta Despus de una red de sitio a sitio VPN se ha creado un administrador de ISA Server puede crear un archivo de respuesta mediante la ejecucin de la opcin Crear archivo de respuesta para el sitio remoto VPN tarea. El archivo de respuesta puede ser utilizado cuando se ejecuta la conectividad VPN de sucursales asistente. Importante: El archivo de respuesta contiene informacin confidencial y deben ser tratados en consecuencia. Transferir el archivo de respuesta para el equipo filial de ISA Server slo de una manera segura. Network Load Balancing Para Enterprise Edition, para el equilibrio de carga de red (NLB), siga estas instrucciones:

Al habilitar NLB, siga las mejores prcticas de seguridad detalladas en "Network Load Balancing: Prcticas recomendadas de seguridad para Windows 2000 y Windows Server 2003" en el sitio web de Microsoft TechNet . Al habilitar NLB, el lugar de un router en frente de la matriz con NLB. Configurar el router para que se bloquee el trfico IP en bruto. De lo contrario, todos los miembros de la matriz se encargar del trfico al mismo tiempo. Cuando NLB est activado, sincroniza miembros de la matriz mediante el uso de Ethernet puro protocolo de comunicacin. Este trfico de bajo nivel no est protegido por el servidor ISA. Para ayudar a asegurar que el trfico, le recomendamos que coloque un enrutador de capa 3 entre Internet y la matriz con NLB. Adems, el lugar de un enrutador de capa 3 entre los equipos de ISA Server y cualquier red con los ordenadores son de confianza. Este router Layer-3 no permitir que el bajo nivel de protocolo Ethernet para pasar, ayudando as a proteger la matriz de trfico Ethernet potencialmente maliciosos de Internet, la intencin de perturbar el funcionamiento de NLB.

Cache Array Routing Protocol Para Enterprise Edition, cuando se habilita el protocolo de enrutamiento de matriz de cach (CARP), siga estas instrucciones:

Le recomendamos que desplegar una red dedicada a la comunicacin dentro de la matriz, y utilizar esta red para la comunicacin CARP. De lo contrario, el uso de una red dedicada a la carpa de comunicacin.Configurar IPsec para esta red. Redes para las cuales CARP est habilitado debe ser accesible slo a los miembros de la matriz.

Traduccin de vnculos La funcin de traduccin de vnculos de ISA Server 2006 traduce los encabezados HTTP, independientemente de si la traduccin de vnculos est habilitada. Esto implica que cuando se publica un servidor web, que especifica quecualquier nombre de dominio puede ser utilizado, un atacante podra enviar el contenido malicioso en la cabecera. Si el servidor publicado redirige las peticiones a una pgina en cualquier equipo, la respuesta podra ser envenenada. (Sera modificado para que contenga la direccin URL del encabezado enviado por el atacante.) Si esta pgina se almacena en cach de un servidor indirecto, a un usuario acceder a la pgina sern redireccionados al sitio web configurado por el atacante.

Por esta razn, se recomienda que especifique los nombres de dominio especficos a los que la regla de publicacin Web se aplica. Para especificar los nombres de dominio especfico 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3. 4.

En el panel de detalles, seleccione la regla de publicacin web correspondiente. En la tareas de la ficha, haga clic en Editar regla seleccionada . En el nombre pblico pestaa, en Esta regla se aplica a , seleccione las solicitudes de los siguientes sitios Web . Haga clic en Agregar . En nombre de dominio pblico o la direccin IP , escriba el nombre de dominio especfico para que la regla de publicacin Web debe aplicarse.

5. 6.

Mitigacin de Inundaciones ISA Server limita el nmero de conexiones en un momento dado. Puede configurar el lmite, establecer el nmero mximo de conexiones simultneas. Cuando el nmero mximo de conexiones se ha alcanzado, las solicitudes de nuevos clientes para la escucha de web que se neg. Puede limitar el nmero total de UDP, ICMP, y otras creaciones Raw sesin de IP permite la publicacin de un servidor o regla de acceso, por segundo. Estas limitaciones no se aplican a las conexiones TCP. Cuando el nmero especificado de conexiones es superado, las nuevas conexiones no se crear. Las conexiones existentes no se desconectar. La siguiente tabla muestra las propiedades de mitigacin de las inundaciones y los ajustes por defecto. Propiedad Mxima conexin TCP peticiones por minuto por direccin IP Mximo de conexiones TCP simultneas por direccin IP La mitad del mximo de conexiones TCP abiertas Mximo de peticiones HTTP por minuto por direccin IP Nuevo mximo no sesiones TCP por minuto por regla Mximo de sesiones UDP simultneas por direccin IP Especificar el nmero de paquetes neg activar una alerta El valor por defecto Lmite: 600 Lmite: 160 Lmite: 80 No se puede configurar Lmite: 600 Lmite: 1.000 Lmite: 160 Lmite: 600

Le recomendamos encarecidamente que no cambie estos lmites preconfigurados. Si debe modificar los lmites de conexin, hacer pequeos cambios incrementales hasta alcanzar el efecto deseado. Para configurar los lmites de conexin

1.

En el rbol de la consola de Administracin del servidor ISA, haga clic en general :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin y haga clic en general . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en general .

2.

En el panel de detalles, haga clic en Configurar las opciones de mitigacin de inundaciones . Seleccione Editar para la propiedad que desee y cambie el valor deseado.

3.

Formas de personalizacin Puede especificar una carpeta diferente para las formas de la carpeta por defecto proporcionados por ISA Server 2006. Todos los archivos se encuentran en la carpeta donde crear formularios personalizados son accesibles por usuarios annimos. Usted necesita asegurarse de que ninguno de los archivos en la carpeta especificada contienen informacin confidencial. ISA Server Management El ISA Server de Microsoft Management Console (MMC) en las tiendas de los archivos confidenciales de los documentos del usuario y la carpeta Configuracin del equipo de la consola. Para proteger estos archivos, administracin de ISA Server debe instalarse en un equipo cuyo sistema de traccin est formateado para el sistema de archivos NTFS. Protocolos personalizados Al crear un protocolo personalizado, cuidado configurar el uso de rangos de conexin secundaria. Si la solapa configurar secundaria rango de puertos ya definidas en el firewall del servidor ISA, una conexin a un servidor diferente podra ser establecido en uno de los puertos definidos secundaria, despus de una sesin se crea en el puerto principal. Para mitigar este riesgo:

Confirme que el rango de protocolo de puerto secundario no se superpone con un puerto de servidor conocidos ISA o rango de puertos. Use una regla de publicacin de servidor para publicar una aplicacin y no una regla de acceso.

Nota: Si usted es el desarrollo de aplicaciones, usted debe seguir las normas de seguro Winsock programacin, disponible en el sitio Web MDSN . Publicacin en la Web Esta seccin trata sobre los problemas de seguridad especficos para la publicacin Web. Estaciones de quiosco Los usuarios deben ser educados para registro de forma correcta de los quioscos o puestos de trabajo pblicos.Esto es especialmente importante cuando se utilizan las aplicaciones publicadas que no tienen un botn de cierre de sesin y al inicio de sesin nico (SSO) se ha configurado. Si un usuario est accediendo a una aplicacin publicada, se almacena una cookie en el equipo local. Si la solicitud no tiene un botn de cierre de sesin y el usuario navega a otra pgina Web y luego se va al quiosco sin cerrar la sesin, la cookie todava est en el equipo y an vigentes. Otro usuario podra usar esta cookie para acceder a cualquier otra aplicacin publicada que se ha configurado como una aplicacin SSO publicados.

Las siguientes recomendaciones deben ser utilizados cuando utilice ordenadores pblicos para acceder a Internet:

y y y y y

No seleccione Este es un equipo privado . Realizar el cierre de sesin en las aplicaciones publicadas, si est disponible. Borrar las cookies despus de haber terminado con las aplicaciones publicadas. Eliminar archivos temporales de Internet. Elimine los archivos temporales que crea la Oficina cuando se trabaja con Microsoft Office SharePoint Portal Server. Elimine todos los archivos que se descargan de forma manual a la caseta. Cierre todas las ventanas del navegador. Cerrar sesin en Windows, si es posible.

y y y

Importante: Cuando una escucha de Web est configurado para utilizar cookies persistentes, ISA Server descarga una cookie en el ordenador del usuario despus de que el usuario se ha autenticado correctamente. Una cookie persistente permanece en el ordenador del usuario, incluso cuando el usuario cierra el navegador. Esta cookie podra ser utilizado por un usuario no autorizado para acceder a las aplicaciones publicadas. Las cookies persistentes son ms susceptibles de ser utilizados por las aplicaciones de spyware. Un cookie no persistente, tambin conocida como una cookie de sesin, slo es vlido para la ventana del navegador la cookie que fue creada. Cuando la ventana del navegador se cierra, no persistentes cookies de sesin se eliminan y no puede ser utilizado por un usuario no autorizado. Tenga en cuenta que cuando una cookie de sesin no persistentes se utiliza, el usuario se le pedir para autenticar cada vez que se abre una nueva ventana, como al abrir un documento de Word de Office desde un portal de SharePoint Portal Server, que puede resultar confuso para el usuario. Para ms informacin sobre configuracin de las cookies, consulte la Ayuda del servidor ISA. Single Sign On En las secciones siguientes se describen los elementos de seguridad con SSO. Inicio de sesin nico de dominio Al habilitar SSO, asegrese de proporcionar un determinado dominio de SSO. Proporcionar un dominio genrico, como por ejemplo. Co.uk, permitir que el navegador de Internet para enviar el ISA Server cookie de SSO a cualquier sitio Web de ese dominio, la creacin de un riesgo de seguridad. Inicio de sesin nico y la sesin de equitacin Debe asegurarse de que la aplicacin Web est diseado para resistir los ataques de sesin de montar a caballo (tambin conocido como cross-site-publicacin, cross-site-falsificacin de peticin, o atraer a los ataques) antes de publicar la aplicacin que utiliza el servidor ISA. De nombres de dominio No recomendamos la publicacin de dos sitios con el mismo nombre de host. Si haba dos sitios Web internos, http://sitio1 y http://sitio2, no los publicar con el mismo nombre de host, y http://external.contoso.com/site1 http://external.contoso. com/site2. El mtodo de publicacin ms segura es la de publicar cada sitio con un nombre de host nico, http://site1.contoso.com y http://site2.contoso.com. Publicacin de cada sitio Web con un nombre de host nico asla cada aplicacin, lo que limita los riesgos de seguridad para una aplicacin en caso de que se encuentra una vulnerabilidad en una de las aplicaciones. Granjas de servidor Web

ISA Server 2006 puede publicar un grupo de servidores que albergan los mismos datos, tambin conocida como una granja de servidores. Al proteger la granja de servidores con ISA Server 2006, va a distribuir solicitudes de los clientes entre los servidores Web, mientras que el mantenimiento de la afinidad del cliente. Recomendamos que los servidores de la granja de servidores se encuentra en una red separada de los usuarios, para asegurarse de que ISA Server puede determinar correctamente cuando los servidores estn disponibles y no disponibles. Los clientes de firewall ISA Server es compatible con una forma ms segura de comunicacin entre el cliente firewall de ISA Server y, lo que implica el uso de cifrado mediante un canal de control TCP. Le recomendamos que configure ISA Server acepte conexiones nicamente de clientes que se comunican de esta manera seguro. Esto incluye el uso del software de cliente firewall para ISA Server 2006 computadoras. Tenga en cuenta que esto impide que las versiones del software de cliente firewall antes de ISA Server 2004 de la conexin. Para configurar los clientes de firewall 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en general :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin y haga clic en general . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en general .

2. 3.

En el panel de detalles, haga clic en definir la configuracin de cliente firewall . En la conexin de la ficha, verificar que no Permitir conexiones cifradas cliente firewall no est seleccionada.

Encadenamiento de firewall Al configurar el encadenamiento de firewall, le recomendamos que utilice IPsec para proteger el canal de comunicacin entre el equipo servidor ISA y el servidor ascendente.

Proteccin de la implementacin
El primer paso en la obtencin de ISA Server es verificar que el equipo servidor ISA est seguro fsicamente y que aplique las recomendaciones bsicas de configuracin de seguridad. Despus de proteger el equipo servidor ISA y aplicar las directrices de seguridad cuando se configura la poltica en el servidor, usted debe considerar cmo implementar la infraestructura de red. En esta seccin se describen las pautas de seguridad a considerar cuando se implementa una red protegida por el servidor ISA. Proteccin del entorno de red Para asegurar el entorno de red, haga lo siguiente:

Proteger contra los ataques de nivel 2 mediante el despliegue de soluciones de seguridad tales como la capa 2 IDS y las asociaciones de MAC esttica o el puerto en los interruptores. Siempre que sea posible, configurar IPsec en la red. Para ayudar a proteger al hombre en el medio los ataques a la Address Resolution Protocol (ARP) de cach, se recomienda colocar un router antes de que el equipo servidor ISA. Esto se debe a paquetes ARP no se puede enrutar a travs de un router. Cuando el servidor ISA comparte una red fsica con una red insegura, le recomendamos que configure el servidor ISA para realizar ARP esttico. Para una seguridad ptima, le recomendamos que agregue una

y y

entrada ARP esttica para la puerta de enlace predeterminada y en otros hosts en la misma red fsica.

No instale el protocolo de Internet versin 6 (IPv6) en un equipo servidor ISA. ISA Server no inspeccionar el trfico IPv6. El trfico IPv6 pasar sin inspeccin a travs de un equipo servidor ISA.

Para Enterprise Edition:

y y

Una red dedicada se recomienda para las comunicaciones dentro de la serie. Para una red de NLB, un router se debe utilizar.

Autenticacin Le recomendamos que utilice una conexin segura, como Secure Sockets Layer (SSL), con cualquier mtodo de autenticacin. Autenticacin de clientes Cuando la autenticacin HTTP se utiliza para conectar al servidor de seguridad ISA Server sin SSL, la solicitud est potencialmente sujeto a un hombre-en-the-middle. La solicitud puede ser alterado por un atacante, durante o despus de la autenticacin. Para mitigar este ataque, el uso de autenticacin HTTP slo con conexiones SSL. Uso de servidores RADIUS Telefnico de autenticacin remota telefnica de usuario (RADIUS) es un protocolo estndar de la industria utiliza para proporcionar autenticacin. Un cliente RADIUS (normalmente un servidor de acceso telefnico, servidor VPN, o punto de acceso inalmbrico) enva credenciales de usuario y los parmetros de conexin en forma de un mensaje RADIUS a un servidor RADIUS. El servidor RADIUS autentica la peticin del cliente RADIUS, y enva un mensaje de respuesta RADIUS. Le recomendamos que configure el servidor RADIUS de la siguiente manera:

Si usted est usando un servidor RADIUS para la autenticacin, crear un comprobador de conectividad que monitorea el estado del servidor. Configurar las alertas para que uno se adopten medidas adecuadas cuando el servidor RADIUS no est disponible. Los usuarios no son de confianza no deben tener acceso a la red entre un servidor RADIUS y el servidor ISA. Si los usuarios no son de confianza debe tener acceso, utilizar IPsec en esta red. Utilizar IPSec para proporcionar seguridad adicional para los clientes y servidores RADIUS.

Web basada en proxy de autenticacin El nico mtodo de autenticacin para la autenticacin RADIUS para la publicacin Web y proxy Web es PAP. Autenticacin VPN Adems, siga estas pautas en la aplicacin de una poltica de VPN o un firewall que requiere autenticacin RADIUS:

El RADIUS usuario Contrasea mecanismo de ocultacin no pudo proporcionar la suficiente seguridad para las contraseas. El mecanismo de ocultacin de RADIUS emplea el secreto compartido de RADIUS, el autenticador de solicitudes, y el uso del algoritmo de hash MD5 para cifrar el User-Password y otros atributos, tales como Tunnel-Password y MS-CHAP-MPPEKeys. RFC 2865 toma nota de la necesidad potencial de evaluar el entorno de las amenazas y determinar si la seguridad adicionales deben ser utilizados.

Usted puede proporcionar proteccin adicional a los atributos ocultos mediante IPsec con carga til de seguridad encapsulada (ESP) y un algoritmo de cifrado, como Triple DES (3DES), para garantizar la confidencialidad de datos para el mensaje de RADIUS completo. Siga estas pautas recomendadas:

y y y

Utilizar IPSec para proporcionar seguridad adicional para los clientes y servidores RADIUS. Requieren el uso de contraseas de usuario fuerte. El conteo del uso de autenticacin y de bloqueo de cuenta para ayudar a prevenir un ataque de diccionario contra una contrasea de usuario. Utilice un secreto compartido durante mucho tiempo con una secuencia aleatoria de letras, nmeros, y la puntuacion. Cambiar a menudo para ayudar a proteger su servidor IAS. Cuando se utiliza autenticacin basada en contrasea, hacer cumplir las directivas de contraseas seguras en la red para realizar ataques de diccionario ms difcil. Cuando los nombres de usuario se especifican en un idioma distinto del Ingls, ISA Server utiliza la pgina de cdigos actual instalada en el equipo servidor ISA para traducir los datos del usuario. El usuario puede ser autenticado slo si el cliente tambin utiliza la misma pgina de cdigos. Si cambia la poltica del servidor RADIUS de autenticacin de RADIUS, mientras que los usuarios se conectan, la nueva poltica no se aplica a los usuarios que estn conectados actualmente. Esto se debe a que ISA Server almacena en cach las credenciales de los usuarios que han iniciado sesin, cuando los usuarios acceden a la web de Outlook publicado servidor de acceso de autenticar mediante la autenticacin RADIUS.Para aplicar la directiva de servidor RADIUS inmediatamente, puede desconectar la sesin.

Uso de servidores LDAP ISA Server 2006 admite la autenticacin LDAP para la publicacin web solamente. Los servidores LDAP debe estar ejecutndose en un Windows Server 2003 o Windows 2000 controlador de servidor de dominio. Recomendamos que las comunicaciones entre el equipo servidor ISA y el servidor LDAP ser asegurado mediante la configuracin de LDAPS en los controladores de dominio. Para ms informacin sobre la activacin de LDAP sobre SSL, consulte "Cmo habilitar LDAP sobre SSL con una entidad de certificacin de terceros" en la Ayuda de Microsoft y el sitio Web de soporte . Verificacin de la conectividad a los servidores de autenticacin Si usted est usando un servidor RADIUS o un servidor LDAP para la autenticacin, crear un comprobador de conectividad que monitorea el estado del servidor. Configurar las alertas para que uno se adopten medidas adecuadas cuando el servidor RADIUS o LDAP no est funcionando. Para verificar la conectividad 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Control :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic enSeguimiento . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Seguimiento .

2.

En el panel de detalles, haga clic en la conectividad de los verificadores ficha.

3. 4.

En la tareas de la ficha, haga clic en Crear nuevo comprobador de conectividad . En la bienvenida pgina del asistente, escriba un nombre para el comprobador de conectividad, a continuacin, haga clic en Siguiente. En la verificacin de conectividad Detalles pgina, haga lo siguiente: a. En Monitor de conectividad a este servidor o la direccin URL , escriba el nombre del servidor en el monitor. En el mtodo de verificacin , seleccione un mtodo de verificacin. Haga clic en Siguiente y luego haga clic en Finalizar .

5.

b.

Tenga en cuenta lo siguiente:

Para verificar un servidor LDAP, seleccione Establecer una conexin TCP al puerto , a continuacin, seleccione el servicio LDAP correspondiente. Para verificar un servidor RADIUS, seleccione Enviar una solicitud de ping . Si la regla de directiva del sistema que permite verificar la conectividad HTTP no est habilitada, y ha seleccionado Enviar un HTTP "GET" , se le pregunte si desea habilitar la regla de poltica del sistema.Haga clic en S . En el panel de detalles, seleccione la regla que acaba de crear. En la tareas de la ficha, haga clic en Editar comprobador seleccionado . En la Propiedades pestaa, verifique que activar una alerta si la respuesta del servidor no est dentro del tiempo especificado se ha seleccionado.

y y

1. 2. 3.

El despliegue de servidores de autenticacin Por razones de seguridad, le recomendamos que coloque los servidores de autenticacin en una red de alta seguridad. Considere colocar los servidores de autenticacin en una red independiente (aparte de las redes interna y perimetral), cuando sea posible. Que efectivamente impedir el acceso directo de los hosts en las redes interna y perimetral a los servidores de autenticacin. En este caso, se debe modificar la regla de poltica de aplicacin del sistema, por lo que se aplica a la red en la que se encuentra el servidor de autenticacin. Para implementar la autenticacin de servidores 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en la configuracin de grupos de rboles, en los servicios de autenticacin , haga clic en el mtodo de autenticacin aplicable.

4. 5.

En la A pestaa, haga clic en Agregar . En Agregar entidades de red , seleccione la red en la que se encuentra el servidor de autenticacin.

Servidores DNS Domain Name System (DNS) es el protocolo de resolucin de nombres para redes IP, como Internet. Un servidor DNS aloja la informacin que permite a los equipos cliente para resolver los nombres memorables, alfanumricos DNS para las direcciones IP que utilizan los ordenadores para comunicarse entre s. ISA Server incluye un mecanismo de resolucin de nombres similar al mecanismo de resolucin de nombres DNS del servidor. Cuando un cliente realiza una solicitud a un host de otra red, especificando la direccin URL de la computadora host, ISA Server puede resolver el nombre del equipo host. ISA Server enva una solicitud de resolucin de nombres al servidor DNS que se configura para su uso. Para evitar el envenenamiento de cach DNS, le recomendamos que configure ISA Server para utilizar un servidor DNS de confianza (por ejemplo, un servidor DNS de Windows), con la opcin de impedir la contaminacin de cach habilitado. Este servidor DNS debe estar ubicado en la red interna. Si implementa un servidor DNS en una red insegura (por ejemplo, en la red externa), se recomienda que tambin se instala un servidor DNS en una red de confianza (por ejemplo, una red perimetral). A continuacin, configure el servidor DNS de la red de confianza para reenviar las solicitudes al servidor de DNS en la red son de confianza. Siga estas instrucciones al despliegue de servidores DNS:

y y

Implementar un servidor de DNS en la red interna. En el equipo de ISA Server, configurar el adaptador de red conectado a la red interna para usar el servidor DNS de la red interna para todas las solicitudes de resolucin de nombres. Verifique que no haya otro adaptador de red en el equipo servidor ISA utiliza un servidor DNS no es de confianza. Crear una regla de acceso que slo permite que el servidor DNS interno para acceder a Internet para la resolucin DNS.

Importante: Slo el servidor DNS de confianza deben enviar las solicitudes de resolucin de nombres a la confianza del servidor DNS. No hay otro servidor en la red interna directa debe acceder a la confianza del servidor DNS. Para configurar el DNS 1. En el equipo servidor ISA, haga clic en Inicio , haga clic en Panel de control y haga doble clic enConexiones de red . 2. Haga clic derecho en la conexin que desea configurar y, a continuacin, haga clic en Propiedades . En el general ficha, en Esta conexin utiliza los siguientes elementos , haga clic en Protocolo Internet (TCP / IP) y haga clic en Propiedades . Seleccione Usar las siguientes direcciones de servidor DNS . En Servidor DNS preferido y Servidor DNS alternativo , escriba las direcciones IP de un servidor DNS de confianza en la red interna.

3.

4. 5.

Monitoreo y solucin de problemas Una tarea importante y la rutina que se llevar a cabo es el monitoreo del trfico de red permite pasar a travs de ISA Server. Una parte central de la funcin de control es un anlisis cuidadoso de los registros y la informacin de auditora. Las siguientes secciones ofrecen sugerencias y consejos sobre cmo ayudar a garantizar la integridad de la informacin de registro. El registro de El registro le da la oportunidad para revisar la actividad de la red, comprobar que ha tenido acceso a los recursos de la red. Revisar los registros de regular y cuidadosamente, buscando accesos sospechosos y el uso de los recursos de red. Siga estas instrucciones para hacer el mejor uso de la tala de ISA Server:

Configurar alertas para enviar notificaciones a los administradores. Implementar un procedimiento de respuesta rpida. Guarde los registros de una particin de disco NTFS para mayor seguridad. Slo los administradores del equipo del servidor ISA deben tener acceso a los registros. Cuando se guarda registro de la informacin a una base de datos SQL, utilice la autenticacin de Windows (y no la autenticacin de SQL). Si usted est ingresando la informacin a una base de datos remota, configurar el cifrado y la firma de datos para la informacin del registro se copia en la base de datos remota. Para mxima seguridad, configurar IPsec para la comunicacin entre el equipo de ISA Server y SQL Server. Si la informacin de registro no puede ser salvado por alguna razn, bloquear el equipo servidor ISA. Para ello, configurar una definicin de alerta para el caso de falta de registro que se detiene el servicio de firewall.

Registro de Lmites de almacenamiento Configurar el almacenamiento de registros definicin de los lmites de alerta para detener los servicios del servidor ISA, cuando el registro est lleno. Utilice la funcin de registro de mantenimiento con prudencia, para asegurar que el disco en el que se almacena la informacin de registro no se llene. Slo permiten el acceso cuando el acceso puede ser adecuadamente auditados por el registro de funcionamiento y de almacenamiento. Para configurar los lmites de almacenamiento de registro 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Control :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic enSeguimiento . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Seguimiento .

2. 3. 4.

En el panel de detalles, haga clic en el Alertas ficha. En la tareas de la ficha, haga clic en Configurar definiciones de alerta . En definiciones de alerta , haga clic en Iniciar sesin Lmites de almacenamiento y haga clic enEditar .

5. 6.

En la general , seleccione Habilitar . En la acciones pestaa, haga clic en Detener los servicios seleccionados , a continuacin, haga clic enSeleccionar . En Servicios , seleccione Firewall de Microsoft y Microsoft ISA Server Job Scheduler .

7.

Auditora Habilitar la auditora de Windows, de modo que usted puede controlar que inicie sesin en el equipo servidor ISA y, ms importante, que intent sin xito. Para habilitar la auditora 1. En el equipo servidor ISA, haga clic en Inicio , seleccione Todos los programas , seleccioneHerramientas administrativas y , a continuacin, haga clic en Directiva de seguridad local . 2. Expanda Configuracin de seguridad , expandir Directivas locales y , a continuacin, haga clic enDirectiva de auditora . En el panel de detalles, haga clic en eventos de inicio de sesin de auditora , a continuacin, haga clic en Propiedades . Seleccione el xito y el fracaso .

3.

4.

Los ataques de inundacin Un ataque de inundacin se produce cuando se hace un intento de negar servicios a los usuarios legtimos de forma intencionada la sobrecarga de la red. Los ataques de inundacin puede ocurrir, por ejemplo, cuando un gusano intenta propagarse fuera de la red corporativa. Los primeros sntomas que muestran que el servidor ISA est experimentando un ataque de inundacin son un aumento repentino en la utilizacin de la CPU, el aumento del consumo de memoria, o las tasas de registro muy alto en el equipo servidor ISA. Si determina que el equipo servidor ISA est experimentando un ataque de inundacin, utilice el visor de registro para determinar el origen del trfico de ofender. En concreto, fjese en lo siguiente:

Las entradas de registro para el trfico denegado . Prestar especial atencin al trfico que se ha denegado porque se supera la cuota, paquetes falsificados, y los paquetes con CHECKSUM daado. Estos por lo general son indicativos de un cliente malicioso. En ISA Server 2006 Standard Edition, las conexiones que se terminan por exceder el lmite de conexiones se tiene un cdigo de resultado de 0x80074e23. En ISA Server 2006 Enterprise Edition, el resultado aparecer como texto, lo que indica claramente la razn por la finalizacin de la conexin. Registros que indican numerosas conexiones que se crean y se cierra inmediatamente . A menudo, esto indica que un equipo cliente est explorando un rango de direcciones IP de una vulnerabilidad especfica.

Otra manera de detectar y la lista de las computadoras es ofender a configurar temporalmente el lmite de conexiones alertas para que se dispara cada segundo (en lugar de utilizar el manual de restablecimientoopcional). Una lista de las alertas se generan, cada uno lo que indica la direccin IP infractora en el texto de la alerta. Despus de identificar la lista de ofender a las direcciones IP, realice el siguiente procedimiento para mejorar el rendimiento de ISA Server durante la inundacin. Para mejorar el rendimiento del servidor ISA durante una inundacin 1. Desactivar el registro. Deshabilitar el registro, ya sea en la norma especfica que coincide con la inundacin o por completo hasta que el ataque de inundacin se detiene.

2.

Vuelva a configurar el limite de conexiones alertas (o cualquier otro tipo de alertas que puede ser activado en varias ocasiones como consecuencia de los ataques especficos) mediante la seleccin de restablecer manualmente .

Alerta de lmite de conexin Cuando una alerta de lmite de conexin se produce, determinar si su red est siendo atacada, o si es simplemente una pesada carga de trfico vlido. Si el lmite se ha superado por el trfico malicioso, intente lo siguiente:

Si el trfico malicioso parece proceder de la red interna, esto puede indicar un virus en la red interna.Identificar la direccin IP de origen, y desconecte el equipo de la red inmediatamente. Si el trfico malicioso parece proceder de un pequeo rango de direcciones IP en una red externa, crear una regla negando el acceso a un conjunto de equipos que incluye las direcciones IP de origen. Si el trfico parece provenir de una amplia gama de direcciones IP, evaluar el estado global de la red.Considerar el establecimiento de un lmite de conexiones ms pequeas, por lo que ISA Server puede proteger mejor su red.

Adems, se recomienda que se limite el nmero de conexiones, ya que esto puede ayudar a prevenir ataques de inundacin. Cuando un ataque UDP o IP primas de inundaciones ocurre, muchos pedidos se envan desde suplantacin de direcciones IP de origen, finalmente resultando en una denegacin de servicio. La proteccin de las inundaciones causadas por gusanos y virus La red interna puede estar expuesto a la infeccin por los siguientes tipos de gusanos:

y y y

Gusanos que se infiltran en el uso de un protocolo especfico. Gusanos que se destinan a determinadas direcciones IP. Gusanos que se originan en determinadas direcciones IP.

Para ayudar a proteger su red interna de los gusanos y otros programas maliciosos, recomendamos lo siguiente:

y y

Activar la proteccin de cuarentena en la red de clientes de VPN. Crear una regla de acceso que deniega el trfico desde y hacia los clientes infectados, y niega el uso de los protocolos utilizados por los gusanos. Esta regla debe ser la primera regla, para asegurarse de que se cumpla primero. No habilitar el registro de esta regla. Configurar una red desconectada, que incluye las direcciones IP de los clientes infectados. Todo el trfico procedente de estos clientes ser dado de baja como falsa.

Creacin de una red desconectada Una red desconectado representa un rango de direcciones IP que no estn conectados fsicamente al equipo servidor ISA. Para crear una red desconectada 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Redes :

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin y haga clic en Redes .

Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en Redes .

2. 3. 4.

En el panel de detalles, haga clic en la redes de la ficha. En la tareas de la ficha, haga clic en Crear una nueva red . En la bienvenida pgina, escriba el nombre de la red. Por ejemplo, escriba desconectado , a continuacin, haga clic en Siguiente . Por el tipo de red la pgina, seleccione la red externa y haga clic en Siguiente . En la Red de Direcciones de pgina, haga clic en Agregar intervalo . A continuacin, en Iniciar la direccin y en la Direccin de destino , escriba las direcciones IP de los clientes infectados. Haga clic enAceptar , haga clic en Siguiente , y luego haga clic en Finalizar . En el panel de detalles, haga clic en la Red de Normas ficha. Compruebe que no hay reglas de la red que se aplican a esta red. Nota: Asegrese de actualizar esta red cada vez que se identific a otro cliente como infectados.

5. 6.

7.

Configuracin de la tabla de enrutamiento Mediante el ajuste de la tabla de enrutamiento local en el equipo servidor ISA, puede ayudar a asegurar que los clientes infectados no se les permite el acceso a los recursos de su red interna. Haga lo siguiente:

Aadir otro adaptador de red en el equipo servidor ISA. No te asocies con ninguna red de ISA Server. Utilice la ruta de aadir comandos para agregar rutas estticas a las direcciones IP de los clientes infectados utilizando la direccin IP de este adaptador de red.

Cdigo hostil Si un usuario ejecuta inconscientemente cdigo hostil, y que el cdigo hostil se ha empaquetado con archivos adicionales que incluyen versiones modificadas de los archivos DLL del sistema, el cdigo hostil puede cargar sus propias versiones de los archivos DLL, aumentando potencialmente el tipo y el grado de dao que el cdigo se puede hacer. Configurar el registro MSS clave: Activar el modo seguro de bsqueda de DLL (recomendado) a un valor de Habilitado. Para obtener ms informacin acerca de esta clave del Registro, consulte el "Captulo 10: Configuracin adicional del Registro" en la "Gua de amenazas y contramedidas" en el sitio web de Microsoft TechNet .

Recursos adicionales
Adicionales ISA Server 2006 documentos estn disponibles en el sitio web de Microsoft TechNet .

Apndice A: manual de endurecimiento de Windows Server 2003


En este apndice se proporciona informacin sobre el endurecimiento del ordenador de forma manual y la creacin de una plantilla de seguridad. Endurecimiento del ordenador de forma manual

Si usted quiere endurecer su servidor de forma manual, puede configurar el modo de inicio del servicio, tal como se describe en esta seccin. Configurar el equipo similar a la del Asistente para configuracin de seguridad. Nota: Le recomendamos que utilice el Asistente para configuracin de seguridad para endurecer el equipo, porque es lo mejor optimizado para asegurar que el equipo servidor ISA. ISA Server Administracin y otras tareas Para un servidor para realizar las tareas necesarias, los servicios especficos deben estar habilitadas, segn las funciones que usted seleccione. Servicios innecesarios deben ser desactivados. La siguiente tabla muestra las posibles tareas de servidor para ISA Server, se describe cuando se requiera, y se enumeran los servicios que se deben activar cuando se habilita la funcin. Servicios requeridos Windows Installer Modo de inicio Manual

Servidor de tareas Instalacin de aplicaciones de forma local utilizando Windows Installer De reserva

Escenario de uso Necesarios para instalar, desinstalar o reparar aplicaciones utilizando el servicio de instalador de Microsoft. Requerido si se utiliza un programa de copia de seguridad en el equipo servidor ISA.

Microsoft instantneas de software Volume Shadow Copy Servicio de almacenamiento extrable Volume Shadow Copy Servicio de almacenamiento extrable Error Reporting Service

Manual Manual Manual Manual Manual

Informe de errores

Se utiliza para habilitar los informes de error, contribuyendo as a aumentar la fiabilidad de Windows, la presentacin de informes de fallos crticos de Microsoft para su anlisis. Permite la recopilacin de datos histricos de equipo de Microsoft escalada de incidentes de Servicios de Apoyo. Necesarias para permitir el registro mediante bases de datos MSDE. Si no se habilita el servicio correspondiente, puede acceder a bases de datos SQL o en archivos. Sin embargo, usted no ser capaz de utilizar el visor de registro en el modo fuera de lnea. Permite fondo recoleccin de datos de rendimiento en el equipo servidor ISA. Permite la impresin desde el equipo servidor ISA. Permite la administracin remota del servidor de

Automtico

Ayuda y soporte tcnico ISA Server 2006: registro MSDE

Ayuda y soporte tcnico SQLAgent $ MSFW MSSQL $ MSFW

Automtico

Manual Automtico

Los datos de recopilacin de rendimiento Imprimir

Registros y alertas de rendimiento Cola de impresin TCP / IP NetBIOS Puesto de trabajo Servidor

Automtico

Automtico Automtico Automtico Automtico

Remoto de

administracin de Windows Sincronizacin de la hora

Windows (no es necesario para la administracin remota de ISA Server). Permite que el equipo de ISA Server en contacto con un servidor NTP para sincronizar el reloj. Desde una perspectiva de seguridad, un reloj de precisin es importante para la auditora de eventos y otros protocolos de seguridad. Permite que la caracterstica de asistencia remota para ser utilizado en este equipo.

Registro remoto De hora de Windows

Automtico Automtico

Expertos de Asistencia remota

Ayuda y soporte tcnico Ayuda de escritorio remoto Session Manager Servicios de Terminal Server

Automtico Manual Manual

Notas

Para que funcione correctamente, las aplicaciones cliente de tiempo requieren que el wi-fi o el servicio de servidor est en ejecucin. Para funcionar correctamente, los contadores de rendimiento requieren que tanto el registro remoto y servicios de servidor se estn ejecutando. El modo de inicio del servicio Servidor debe ser Automtico cuando se usa enrutamiento y gestin de acceso remoto, en lugar de Administracin del servidor ISA, para configurar una red privada virtual (VPN).

El modo de inicio del servicio de enrutamiento y acceso remoto es Manual. ISA Server inicia el servicio si una VPN est habilitada. El servicio de servidor slo es necesaria si se utiliza enrutamiento y gestin de acceso remoto (en vez de ISA Server Management) para configurar una VPN.

Las funciones del servidor ISA cliente Los servidores pueden ser clientes de otros servidores. Roles del cliente dependen de la funcin especfica de los servicios son activados. La siguiente tabla muestra las posibles funciones de cliente de ISA Server, se describe cuando se requiera, y se enumeran los servicios que se deben activar cuando se habilita la funcin. Servicios requeridos Actualizaciones automticas Servicio de transferencia inteligente en segundo plano El cliente DHCP Modo de inicio Automtico Manual

Cliente papel Automtico de actualizacin de clientes

Escenario de uso Seleccione esta funcin para permitir la deteccin automtica y la actualizacin de Microsoft Windows Update.

Cliente DHCP

Seleccione esta funcin si el equipo servidor ISA recibe su direccin IP automticamente desde un servidor DHCP. Seleccione esta funcin si el equipo servidor ISA necesita recibir la informacin de resolucin de nombres de otros servidores.

Automtico

Cliente DNS

Cliente DNS

Automtico

Tambin puede seleccionar la funcin de cliente DNS en el servidor ISA requiere informacin de resolucin de nombres (DNS y el archivo de hosts). Miembro de dominio Seleccione esta funcin si el equipo servidor ISA pertenece a un dominio. Red de conocimiento de la ubicacin Net Logon De hora de Windows El cliente DHCP Manual Automtico Automtico Automtico

DNS de registro de clientes Microsoft cliente de red

Seleccione esta funcin para permitir que el equipo de ISA Server para registrar automticamente su nombre y direccin con un servidor DNS. Seleccione esta funcin si el equipo servidor ISA tiene que conectarse a otros clientes de Windows. Si no se selecciona esta funcin, el equipo de ISA Server no ser capaz de acceder a recursos compartidos en equipos remotos, por ejemplo, la publicacin de informes. Seleccione esta funcin si el equipo servidor ISA utiliza WINS basado en la resolucin de nombres.

TCP / IP NetBIOS Puesto de trabajo

Automtico Automtico

WINS cliente

TCP / IP NetBIOS

Automtico

Creacin de una plantilla de seguridad Puede crear una plantilla con la plantillas de seguridad de Microsoft Management Console (MMC) complemento. La plantilla incluye informacin sobre qu servicios deben estar habilitadas, as como su modo de inicio. Mediante el uso de una plantilla de seguridad, usted puede configurar fcilmente una poltica de seguridad y luego aplicarla a cada equipo servidor ISA. Para ms informacin sobre la creacin y el despliegue de una plantilla de seguridad, vea "Windows Server 2003 Security Guide" en el sitio web de Microsoft TechNet .