Usando ISA Server como Proxy.En esta prctica usaremos IS Server como Proxy. Para poder realizar esta implementacin de forma correctamente usaremos la misma infraestructura usada en la practica (http://andresmedmon.blogspot.com/2011/08/usando-isa-server-2006-comofirewall.html) la cual cuenta con las siguientes caractersticas. y y Una maquina con Windows Server 2003 Standard Edition (3 tarjetas de red una para cada red) ISA Server previamente instalado (http://andresmedmon.blogspot.com/2011/08/instalando-isa-server-en-windows2003.html) Firewall previamente configurado en ISA Server. Una maquina con CentOS para simular la DMZ Un maquina con Windows XP para simular la red interna LAN,

y y y

Esta topologa ser implementada en Virtual Box, por lo que cada red (LAN - DMZ) estar en una red interna diferente y contaran con un direccionamiento IP distinto. y Lo primero que debemos hacer es configurar el Servidor ISA para que actu como proxy. Esto se hace en la pestaa Networks , clic derecho en Internal , Properties

y

En la pestaa Web Proxy habilitamos el proxy para las conexiones clientes, y definimos el puerto por el cual trabajara.

y

En el navegador de nuestra red interna LAN debemos configurar la IP de nuestra interfaz del servidor ISA con su respectivo puerto.

y

Ahora configuraremos las reglas de acceso que se definieron en la configuracin del Firewall, para que tengan implementaciones de Proxy. En este caso configuraremos la regla de acceso WEB para que tenga autenticacin de usuarios. Clic derecho en ella, Properties.

y

En la pestaa Users agregaremos un nuevo usuario para que se autentique contra el Proxy. Clic en Add y luego en New

y

Comienza el asistente para la configuracin de un nuevo usuario para ser autenticado.

y

En este caso agregaremos un usuario local. Windows Users and Groups .

y

Comprobaremos que el usuario ingresado sea vlido.

y

Verificamos la informacin ingresada.

y

Finaliza el proceso de configuracin del nuevo usuario.

y

Luego de configurar el nuevo usuario, lo agregamos para la autenticacin.

y

Al intentar navegar desde la maquina en la red interna LAN, nos deber pedir autenticacin.

y

ISA Server ofrece la facilidad de configurar diferentes reglas de acceso a diferentes reglas de Firewall. En este caso configuraremos el acceso segn el horario para la regla de acceso de FTP. Clic derecho sobre ella, Propiedades , Schedule .

y

Al intentar acceder a un servidor FTP fuera del rango de horario establecido, nos deber aparecer un error.

y

Para denegar por extensiones, Clic derecho sobre la regla e acceso deseado, Configure HTTP .

y

En la pestaa Extensions , elegiremos Bloquear extensiones especificas , Add .

y

Definimos las extensiones a denegar.

y

Al intentar descargar un archivo con esa extensin, nos deber aparecer un error similar al del FTP. Para denegar por URL s, en la pestaa Firewall Policy , Toolbox , Network Objects , "New , URL Set .

y

Definimos un nombre para el nuevo conjunto de URL s, y agregamos las URL que vamos a denegar.

y

Para asociar el conjunto de URL s denegadas al proxy, debemos crear una nueva regla de acceso de Firewall.

y

Definimos el comportamiento de esta regla.

y

Definimos los protocolos a los cuales asociaremos esta regla.

y

Definimos el origen de las peticiones que sern filtradas.

y

Esta es la parte que diferencia una regla de Proxy de una regla de Firewall; En el destino elegimos el conjunto de direcciones que acabamos de crear.

y

Adems podemos combinar reglas de Proxy, en este caso usaremos esta regla para el usuario configurado anteriormente.

y

Finaliza el proceso para crear la nueva regla de acceso segn URL.

y

Para danger por IP en la pestaa Firewall Policy , ToolBox , Network Objects , Computer Set , New Computer Set .

y

Definimos un Nombre para el parmetro y agregamos una IP a denegar.

y

Adems podemos definir un nombre para la IP.

y

El parmetro deber quedar as.

y

Para asociar el conjunto de IP a una regla Proxy, debemos crear una regla de acceso.

y

Definimos el comportamiento de esta regla.

y

Elegimos los protocolos a los cuales se les apicara esta regla.

y

Definimos la red de origen de las peticiones que sern filtradas por esta regla, en este caso ser el conjunto de IP configurado anteriormente.

y

Definimos el destino de las peticiones que sern filtradas por esta regla.

y

Finaliza el proceso para crear la regla de filtrado por IP.

y

Para denegar por rango de direcciones, el proceso es parecido a la denegacin por IP; Solo que esta vez no agregaremos una sola IP ( Computer ) si no que agregaremos un rango ( Address Range )

y

Para asociar el RangoIP a una regla de acceso, debemos crear una nueva regla de Firewall.

y

Definimos el comportamiento de esta regla.

y

Seleccionamos los protocolos que sern filtrados por esta regla.

y

Elegimos la red de origen a la cual le filtraremos el rango de direcciones, en este caso ser el rango configurado anteriormente.

y

Definimos la red de destino de estas peticiones.

y

Elegimos a que usuarios se le aplicara esta regla.

y

Finaliza el proceso de configuracin de la nueva regla.

y

Para configurar la cache del Proxy, en la pestaa Cache , basta con configurar el tamao que tendr de cache.

y

Para denegar por dominio, en la pestaa Firewall Policy, ToolBox , Network Objects , Domain Name Set , New Domain Name Set

y

Definimos un nombre para el conjunto de dominios y agregamos los dominio que queremos denegar.

y

Para asociar el conjunto de dominios a una regla de Proxy, debemos crear una regla de Firewall.

y

Definimos el comportamiento de esta regla.

y

Elegimos los protocolos a los cuales se les aplicara esta regla.

y

Elegimos la red de origen.

y

En la red de destino elegimos el conjunto de dominios que acabamos de configurar.

y

Elegimos el usuario al cual se le aplicara esta regla.

y

Finaliza el proceso de configuracin de la regla.

Con esta configuracin tendremos cubierta las denegaciones ms comunes en un Proxy.