Manual de Seguridad ISA Server 2006

Manual de seguridad ISA Server 2006Esta gua est diseada para ofrecerle informacin esencial acerca de cmo reforzar y administrar de forma segura los equipos que ejecutan Microsoft Internet Security and Acceleration (ISA) Server 2006 Enterprise Edition o ISA Server 2006 Standard Edition. Adems de recomendaciones prcticas, la configuracin especfica, esta gua incluye estrategias de implementacin de ISA Server. Para equipos que ejecutan Microsoft Windows Server 2003 como sistema operativo, esta gua es un complemento de la "Windows Server 2003 Security Guide", ubicado en el sitio web de Microsoft TechNet . En concreto, muchos de los procedimientos de esta gua se relacionan directamente con las recomendaciones de seguridad introducidas en la "Gua de Seguridad de Windows Server 2003." Por lo tanto, antes de realizar los procedimientos presentados en esta gua, le recomendamos que lea primero el "Windows Server 2003 Security Guide."

Alcance de esta guaEsta gua se centra explcitamente en las operaciones necesarias para crear y mantener un servidor de seguridad ISA Server 2006 medio ambiente. Usted debe utilizar esta gua como parte de su estrategia global de seguridad para ISA Server 2006, y no como una referencia completa para crear y mantener un entorno seguro. En concreto, esta gua se recogen respuestas detalladas a las siguientes preguntas:

y y y

Cules son los pasos recomendados para asegurar que el equipo servidor ISA? Qu consideraciones de seguridad se debe aplicar a la configuracin de ISA Server? Qu gua est disponible para ayudar a preparar un servidor de seguridad ISA Server 2006 de despliegue?

Asegurar el equipo del servidor ISAUn paso importante en la obtencin de ISA Server es verificar que el equipo servidor ISA est seguro fsicamente, y que aplique las recomendaciones bsicas de configuracin de seguridad. Informacin sobre los siguientes temas se proporciona:

y y y y y y y

Administrar las actualizaciones El acceso fsico La determinacin de la pertenencia al dominio Endurecimiento de la infraestructura de Windows Administracin de funciones y permisos La reduccin de la superficie de ataque Bloqueo de modo

Las secciones siguientes describen estos temas y la forma de aplicar las recomendaciones de seguridad. Administracin de actualizaciones Como prctica recomendada de seguridad, se recomienda que siempre instale las actualizaciones ms recientes para el sistema operativo, ISA Server y otros componentes instalados por ISA Server, incluyendo Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) y Office Web Components

2003. Ejecute Windows Update para asegurarse de que tiene todas las ltimas actualizaciones instaladas. Tambin le recomendamos que analice peridicamente la seguridad del sistema, utilizando Microsoft Baseline Security Analyzer (MBSA). Puede descargar MBSA en el sitio web de Microsoft TechNet . El acceso fsico Asegrese de que el equipo de ISA Server se almacena en una ubicacin fsicamente segura. El acceso fsico a un servidor es un riesgo de seguridad alto. El acceso fsico a un servidor por un usuario no autorizado puede resultar en acceso no autorizado o modificacin, as como la instalacin de hardware o software diseado para burlar la seguridad. Para mantener un entorno seguro, debe restringir el acceso fsico al equipo servidor ISA. Si usted sospecha que el equipo servidor ISA se vio afectada, vuelva a instalar el servidor ISA. Proteger la informacin confidencial en caso de robo Para ISA Server Enterprise Edition, el servidor de almacenamiento de configuracin y cada miembro de la matriz contienen informacin codificada y confidencial acerca de los miembros de la matriz y otros acerca de la empresa de ISA Server. El miembro de la matriz tambin tiene las claves para descifrar la informacin. Por esta razn, si un servidor de almacenamiento de configuracin o un miembro de la matriz es robado, la informacin confidencial acerca de todos los miembros de la matriz est potencialmente en riesgo. Adems, en el caso del robo de un servidor de almacenamiento de configuracin, el servidor podra ser reconectado a la empresa y ser usado para modificar la configuracin existente. Para mitigar estos problemas de seguridad:

y

Si un servidor de almacenamiento de configuracin o un miembro de la matriz es robado, haga lo siguiente: Modificar toda la informacin confidencial de todos los miembros de la otra matriz. La informacin confidencial incluye contraseas de credenciales de usuario (por ejemplo, que se utiliza para iniciar sesin en un equipo que ejecuta SQL Server), autenticacin remota Dial-In User Service (RADIUS) secretos compartidos, o previamente compartida de Protocolo de Internet las claves de seguridad (IPsec). Revocar todos los certificados que se han instalado en el servidor robado. Estos certificados pueden ser certificados en los que se instalaron en miembros de la matriz para la publicacin web o de sitio a sitio de autenticacin VPN, y los certificados instalados en el servidor de almacenamiento de configuracin de autenticacin a travs de una capa de sockets seguros (SSL) con cifrado de canal. Adems, cuando un servidor de almacenamiento de configuracin es robado y no hay una configuracin de rplica de servidor de almacenamiento de configuracin, el servidor de Almacenamiento de configuracin robado debe ser eliminado de Active Directory Application Mode (ADAM) de configuracin del servidor, como un conjunto de rplicas utilizando la herramienta Repadmin. Para ms informacin sobre la herramienta Repadmin, consulte la documentacin del producto ADAM.

y

y

y

Determinar la pertenencia de dominio En muchos casos, es posible que desee configurar el equipo con ISA Server para autenticar a los usuarios del dominio. Por ejemplo, hacer esto si va a crear una regla de publicacin Web que requiere autenticacin para los usuarios que son miembros de un dominio. Para lograr la autenticacin de dominio, puede instalar y configurar el equipo con ISA Server utilizando los siguientes mtodos:

y

Instalar el equipo de ISA Server en un bosque independiente (en vez de en el bosque interno de su red corporativa). Ayuda a proteger el bosque interno se vean comprometidos, incluso si un ataque est montado en el bosque del equipo servidor ISA. Para experimentar los beneficios administrativos y de seguridad de ISA Server como miembro del dominio, se recomienda que se implemente el equipo servidor ISA en un bosque independiente con una confianza hacia el bosque corporativo. Tenga en cuenta lo siguiente:

y

Al instalar el servidor ISA como miembro de un dominio, puede bloquear el equipo con ISA Server con Directiva de grupo, en lugar de mediante la configuracin de slo una poltica local. Cuando se instala un equipo ISA Server en un bosque independiente o de dominio, el uso de la delegacin limitada de Kerberos no es un mtodo de delegacin de autenticacin viable. Esto es porque el equipo con ISA Server y los servidores web deben ser publicados en el mismo dominio, y el equipo servidor ISA y el usuario debe estar en el mismo dominio. Instalar el equipo de ISA Server en un grupo de trabajo y configurar el Lightweight Directory Access Protocol (LDAP) de autenticacin. Ayuda a proteger el dominio interno est en peligro, incluso si un ataque est montado en el equipo servidor ISA en el grupo de trabajo. Para obtener ms informacin acerca de la autenticacin, consulte "Autenticacin en ISA Server 2006" en el sitio web de Microsoft TechNet . Tenga en cuenta lo siguiente:

y

y

y

Slo la autenticacin de publicacin web con el siguiente tipo de credenciales del cliente estn disponibles al utilizar la autenticacin LDAP: autenticacin bsica y basada en formularios (contrasea nica). Software de cliente firewall depende del acceso a las cuentas de usuario de dominio. Por lo tanto, el software de cliente firewall no va a funcionar en un entorno de grupo de trabajo.

y

Por razones de seguridad, si no requieren de dominio o la funcionalidad de Active Directory para el equipo servidor ISA, considere instalar el equipo de ISA Server en un grupo de trabajo. Por ejemplo, si ISA Server est protegiendo el extremo de la red, considere la instalacin de la computadora en un grupo de trabajo. Para ms informacin sobre la instalacin de ISA Server en un grupo de trabajo, consulte "ISA Server Enterprise Edition en un grupo de trabajo" en el sitio web de Microsoft TechNet . Endurecimiento de la infraestructura de Windows Como se mencion anteriormente, esta gua supone que se aplican las configuraciones recomendadas en la "Gua de Seguridad de Windows Server 2003." En concreto, se debe aplicar el Microsoft Baseline Security Poltica de plantilla de seguridad. Sin embargo, no implementan los filtros IPSec o de cualquiera de las polticas de funcin de servidor. Adems, debe tener en cuenta la funcionalidad de ISA Server y reforzar el sistema operativo correspondiente. Nota: Le recomendamos que endurecer la infraestructura de Windows despus de que est instalado el servidor ISA. Para ISA Server Enterprise Edition, instale todos los servidores necesarios de almacenamiento de configuracin y los miembros de matriz. A continuacin, se endurecen las computadoras.

Utilizando el Asistente para configuracin de seguridad El Microsoft Windows Server 2003 como sistema operativo con el Service Pack 1 (SP1) incluye una superficie de ataque herramienta para reducir la llamada el Asistente para configuracin de seguridad. Dependiendo de la funcin de servidor que seleccione, el Asistente para configuracin de seguridad determina la funcionalidad mnima necesaria, y la funcionalidad que inhabilita no es necesario. Al instalar Windows Server 2003 SP1 en el equipo servidor ISA, puede instalar el Asistente para configuracin de seguridad y utilizar el asistente para endurecer el equipo. Para instalar el Asistente para configuracin de seguridad en un servidor con Windows Server 2003 con SP1 instalado, use el siguiente procedimiento. Para instalar el Asistente para configuracin de seguridad 1. Haga clic en Inicio , a continuacin, haga clic en Ejecutar . En la ventana del sistema, escriba appwiz.cply haga clic en Aceptar para abrir el Agregar o quitar programas cuadro de dilogo. 2. 3. Haga clic en Agregar / quitar componentes de Windows . Seleccione la configuracin de seguridad Asistente y haga clic en Siguiente .

Nota: Usted puede ser que le pida la ubicacin del servidor de Windows 2003 con Service Pack 1 de los archivos de origen.

1.

Haga clic en Finalizado , a continuacin, haga clic en el Cerrar botn para Agregar o quitar programascuadro de dilogo.

Nota: Para actualizar el Asistente para configuracin de seguridad para incluir el ISA Server 2006 funciones de servidor, consulte la seccin "Cmo actualizar el Asistente para configuracin de seguridad para las funciones del servidor ISA Server 2006" en el sitio web de Microsoft TechNet . El Asistente para configuracin de seguridad le guiar en el proceso de creacin, edicin, aplicacin o reversin de una poltica de seguridad basada en las funciones seleccionadas del servidor. Las polticas de seguridad que se crean con el Asistente para configuracin de seguridad son archivos. Xml que, cuando se aplica, configurar los servicios, seguridad de red, los valores especficos de registro, la poltica de auditora, y caso, servicios de Internet Information Server (IIS). El Asistente para configuracin de seguridad incluye una funcin para equipos servidor ISA. Para aplicar las funciones de ISA servidor apropiado 1. En el equipo servidor ISA, haga clic en Inicio , seleccione Herramientas administrativas y , a continuacin, haga clic en Asistente para configuracin de seguridad . 2. En el Asistente para configuracin de seguridad , en la bienvenida , haga clic en Siguiente . En la accin de configuracin de pgina, seleccione Crear una nueva poltica de seguridad . En la Seleccin de servidor de pgina, en Servidor , escriba el nombre o la direccin IP del equipo servidor ISA.

3.

4.

5.

En la garanta de transformacin de base de datos de configuracin de pgina, haga clic enSiguiente . En la bienvenida de la pgina de servicio basado en configuracin de pgina, haga clic en Siguiente . En el servidor Seleccionar funciones de pgina, seleccione el siguiente y haga clic en Siguiente :

6.

7.

y

Seleccione Microsoft para servidores de Internet Security and Acceleration 2006 , si se estn endureciendo un equipo que ejecuta los servicios del servidor ISA (para ISA Server Enterprise Edition, un miembro de la matriz). Seleccione acceso remoto / VPN Server , si usted va a utilizar el equipo con ISA Server de red privada virtual (VPN).

y

Nota: No seleccione los roles de servidor especficos, cuando el endurecimiento de un servidor de almacenamiento de configuracin. 8. En el cliente Seleccione Opciones pgina, seleccione las funciones de cliente predeterminado. No hay roles de cliente especial, segn las necesidades para el endurecimiento de ISA Server. A continuacin, haga clic en Siguiente . En la Administracin Seleccione y otras opciones de la pgina, seleccione las siguientes opciones: a. Seleccione Microsoft para servidores de Internet Security and Acceleration 2006 Enterprise Edition: almacenamiento de configuracin , si el servidor de Almacenamiento de configuracin est instalado en este equipo (por ISA Server Enterprise Edition). Seleccione Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition: la cuota de instalacin del cliente , si la cuota de cliente firewall est instalado en este equipo. Seleccione Agente de cuarentena de acceso remoto , si se quiere habilitar la cuarentena para el servidor ISA. (Debe haber seleccionado el acceso remoto / VPN Server papel en el paso 7.)

9.

b.

c.

En la Seleccin Servicios Adicionales pgina, seleccione los servicios pertinentes y haga clic enSiguiente . Haga clic en Siguiente hasta que termine el asistente. Para ms orientacin tcnica sobre el Asistente para configuracin de seguridad, consulte el apartado "Configuracin de seguridad Asistente para Windows Server 2003" en el sitio de Microsoft Windows Server System . De forma manual endurecer su equipo que ejecuta Windows Server 2003, vea el Apndice A: manual de endurecimiento de Windows Server 2003 . Gestin de funciones y permisos Debido a que ISA Server controla el acceso a la red, se debe tener especial cuidado en la asignacin de permisos para el equipo con ISA Server y componentes relacionados. Con cuidado, determinar quin debe tener permiso para iniciar sesin en el equipo servidor ISA. A continuacin, configure los derechos de inicio de sesin en consecuencia.

ISA Server permite aplicar funciones administrativas a los usuarios y grupos. Despus de determinar qu grupos se les permite configurar o ver la poltica de ISA Server y la informacin de supervisin, puede asignar funciones adecuadamente. En las secciones siguientes consideraciones detalle en la asignacin de roles y permisos administrativos. Funciones administrativas Al igual que con cualquier aplicacin en su entorno, al definir los permisos para ISA Server, debe tener en cuenta el papel de los administradores del servidor ISA y asignarles nicamente los permisos necesarios. Para simplificar el proceso, ISA Server utiliza funciones administrativas. Puede utilizar la administracin basada en la organizacin de los administradores del servidor ISA en funciones independientes, predefinidos, cada uno con su propio conjunto de tareas. Al asignar un rol a un usuario, que esencialmente permiten que los permisos de usuario para realizar tareas especficas. Un usuario que tiene un papel, como ISA Server Administrator completa, puede llevar a cabo tareas especficas de ISA Server que un usuario con otro papel, como ISA Server Control Basic, no puede realizar.Administracin basada en funciones implica a usuarios y grupos de Windows. Estos permisos de seguridad, pertenencia a grupos y derechos de usuario se utilizan para distinguir los usuarios que tienen los roles. La siguiente tabla describe las funciones de ISA Server Standard Edition. Estndar de papel Edition ISA Server Control Bsico

Descripcin Los usuarios y grupos asignados a esta funcin pueden supervisar el equipo servidor ISA y la actividad de la red, pero no se puede configurar la funcionalidad de supervisin especfica. Usuarios y grupos asignados a esta funcin pueden realizar todas las tareas de vigilancia, incluyendo la configuracin de registro, configuracin de definicin de alerta, y todas las funciones de vigilancia para la funcin de servidor ISA de monitoreo bsico. Usuarios y grupos asignados a esta funcin pueden realizar cualquier tarea de ISA Server, incluyendo la configuracin de la regla, la aplicacin de las plantillas de la red y monitoreo.

ISA Server Extended Control ISA Server Administrator completa

La siguiente tabla describe las funciones de ISA Server Enterprise Edition.

Enterprise Edition papel ISA Server matriz de seguimiento Auditor ISA Server matriz Auditor

Descripcin Los usuarios y grupos asignados a esta funcin pueden supervisar el equipo servidor ISA y la actividad de la red, pero no se puede configurar la funcionalidad de supervisin especfica. Usuarios y grupos asignados a esta funcin pueden realizar todas las tareas de vigilancia, incluyendo la configuracin de registro, configuracin de definicin de alerta, y todas las funciones de vigilancia para la funcin de servidor ISA de monitoreo bsico en la versin Standard. Usuarios y grupos asignados a esta funcin pueden realizar cualquier tarea de ISA Server, incluyendo la configuracin de la regla, la aplicacin de las plantillas de la red y monitoreo. Usuarios y grupos asignados a esta funcin tienen un control total sobre la empresa y todas las configuraciones de matriz. El Administrador de empresa tambin se puede asignar funciones a otros usuarios y grupos. Usuarios y grupos asignados a esta funcin pueden ver la configuracin de la empresa y todas las configuraciones de matriz.

ISA Server matriz del administrador ISA Server Enterprise Administrator ISA Server Enterprise Auditor

Los miembros de estos grupos de ISA Server administrativa puede ser cualquier usuario de Windows. No hay privilegios especiales o permisos de Windows son obligatorios. La nica excepcin es que para ver los contadores de rendimiento del servidor ISA, con monitor de rendimiento o el panel de

ISA Server, el usuario debe ser miembro de la Windows Server 2003 del Monitor de rendimiento del grupo Usuarios. Tenga en cuenta que los administradores con los permisos de ISA Server Control extendido se pueden exportar e importar toda la informacin de configuracin, incluyendo la informacin de configuracin secreto. Esto significa que puede descifrar la informacin secreta. Los usuarios con permisos de administrador en el equipo servidor ISA no tienen automticamente el servidor ISA nivel de la matriz, permisos o permisos a nivel de empresa. Usted debe especificar estos usuarios asignar las funciones adecuadas. Ntese, sin embargo, que los usuarios que pertenecen al grupo Administradores en el servidor de almacenamiento de configuracin puede controlar fundamentalmente la configuracin de la empresa.Esto se debe a que puede modificar directamente los datos en el servidor de Almacenamiento de configuracin. Para asignar funciones administrativas de ISA Server Standard Edition 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Microsoft Internet Security and Acceleration Server 2006 y haga clic en nombreDeServidor . 2. 3. En la tareas de la ficha, haga clic en Definir funciones administrativas . En la bienvenida del Asistente para delegar la administracin de ISA Server, haga clic en Siguiente . Haga clic en Agregar . En grupos de usuarios (recomendado) o , escriba el nombre del grupo o de usuario a la que los permisos administrativos especficos sern asignados. En Papel , seleccione la funcin administrativa aplicable.

4. 5.

6.

Para asignar funciones administrativas de ISA Server Enterprise Edition 1. En el rbol de la consola de Administracin del servidor ISA, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , a continuacin, haga clic en Array_Name . 2. 3. 4. En la tareas de la ficha, haga clic en Configurar propiedades de la matriz . Seleccione la Asignacin de Funciones ficha Si el equipo que ejecuta los servicios del servidor ISA est en un dominio, sobre el asignar funcionespestaa, haga clic en la parte superior Aadir botn. Luego, en grupo o usuario , escriba el nombre del grupo o de usuario que puede acceder al servidor de almacenamiento de configuracin. En Papel , seleccione uno de los siguientes:

y

ISA Server matriz del administrador . Permite que el grupo o los permisos de usuario completo control de la matriz. El administrador tambin puede ver la poltica de empresa aplicada a la matriz. ISA Server matriz Auditor . Permite que el grupo o los permisos de usuario y control para ver la configuracin de la matriz. ISA Server matriz de seguimiento Auditor . Permite que el grupo o algunos permisos de usuario de control.

y

y

1.

Si el equipo que ejecuta los servicios del servidor ISA es un grupo de trabajo, en los roles Asignarpestaa, haga clic en el menor Aadir botn. Luego, en grupo o usuario , escriba el nombre del grupo o de usuario que puede acceder al servidor de almacenamiento de configuracin. En Papel , seleccione uno de los siguientes:

y

ISA Server matriz del administrador . Permite que el grupo o los permisos de usuario completo control de la matriz. El administrador tambin puede ver la poltica de empresa aplicada a la matriz. ISA Server matriz Auditor . Permite que el grupo o los permisos de usuario y control para ver la configuracin de la matriz. ISA Server matriz de seguimiento Auditor . Permite que el grupo o algunos permisos de usuario de control.

y

y

Nota: Cuando ISA Server est en un grupo de trabajo, es necesario asignar funciones de ISA Server a cuentas reflejadas. Para ms informacin sobre cuentas reflejadas, consulte la Ayuda del producto. Credenciales Cuando se le solicite para establecer las credenciales, utilizar contraseas seguras. Una contrasea se considera fuerte si se proporciona una defensa eficaz contra el acceso no autorizado. Una contrasea segura no contiene la totalidad o parte del nombre de la cuenta de usuario, y contiene al menos tres de las cuatro siguientes categoras de caracteres: los caracteres en maysculas, minsculas, dgitos de base 10 y smbolos que aparecen en el teclado (como por ejemplo, @ , o #). Permisos Es importante proporcionar a los usuarios con el nivel de permiso mnimo, al tiempo que permite a los usuarios hacer su trabajo. Esto tambin se aplica a la asignacin de permisos a los usuarios que sean administradores de ISA Server como se describe en la siguiente seccin. Con cuidado, determinar quin est autorizado a iniciar sesin en el equipo servidor ISA, lo que elimina el acceso a aquellos que no son fundamentales para el funcionamiento del servidor. Privilegios mnimos Aplicar el principio de privilegios mnimos, donde el usuario tiene los privilegios mnimos necesarios para realizar una tarea especfica. Esto ayuda a asegurar que, si una cuenta de usuario se ve comprometida, el impacto se minimiza por los privilegios limitados en poder de ese usuario. Mantener al grupo Administradores y otros grupos de usuarios lo ms pequeo posible. Un usuario que pertenezca al grupo Administradores en el equipo servidor ISA, por ejemplo, puede realizar cualquier tarea en el equipo servidor ISA. En Standard Edition, los usuarios del grupo Administradores de forma implcita le asigna el papel de administrador del servidor ISA completa. Ellos tienen todos los derechos para configurar y supervisar el servidor ISA. Para ms informacin sobre funciones, consulte la funciones administrativas seccin. En Enterprise Edition, los usuarios que pertenecen al grupo Administradores en el servidor de almacenamiento de configuracin puede controlar la configuracin de la empresa. Se puede modificar directamente los datos en el servidor de Almacenamiento de configuracin. Conexin y configuracin Al iniciar sesin en el equipo de ISA Server, inicie sesin con la cuenta con privilegios mnimos necesarios para realizar la tarea. Por ejemplo, para configurar una regla, debe iniciar sesin como administrador del servidor ISA.Sin embargo, si usted slo desea ver un informe, inicie sesin con menos privilegios. En general, utilizar una cuenta con permisos restrictivos para realizar tareas rutinarias que no estn relacionados con la administracin, y utilizar una cuenta con amplios permisos slo cuando se realizan tareas administrativas especficas. Las cuentas de invitado Le recomendamos que no habilite la cuenta de invitado en el equipo servidor ISA.

Cuando un usuario inicia sesin en el equipo con ISA Server, el sistema operativo comprueba si las credenciales coinciden con un usuario conocido. Si las credenciales no coinciden con un usuario conocido, el usuario ha iniciado sesin como invitado, con los mismos privilegios permitidos a la cuenta de invitado. El servidor ISA reconoce la cuenta Invitado por defecto todos los usuarios autenticados de usuario establecido. Discrecional listas de control de acceso Con una nueva instalacin, el servidor ISA discrecional listas de control de acceso (DACL) estn correctamente configurados. Adems, el servidor ISA vuelve a configurar las DACL correctamente cuando se modifican las funciones administrativas (para obtener ms informacin, consulte la funciones administrativas seccin) y cuando el servidor ISA de control de servicios (isactrl) se reinicia.

Precaucin: Porque el servidor ISA vuelve a configurar peridicamente las DACL, no debe utilizar la herramienta de anlisis de seguridad y de configuracin para configurar las DACL del archivo por los objetos de ISA Server.De lo contrario, puede haber un conflicto entre las DACL establecidas por la directiva de grupo y las DACL que el servidor ISA intenta configurar. No modifique las DACL establecidas por ISA Server. Tenga en cuenta que el servidor ISA no establece DACL para los objetos de la lista siguiente. Usted debe fijar DACL para los objetos de la lista siguiente con atencin, dar permisos slo al de confianza, los usuarios especficos:

y y

Carpeta de informes (cuando se selecciona la publicacin de los informes). Los archivos de configuracin creados al exportar o realizar copias de seguridad de la configuracin. Archivos de registro que se copian en una ubicacin diferente.

y

Asegrese de configurar cuidadosamente las DACL, concediendo permisos slo a los usuarios y grupos de confianza. Tambin, asegrese de crear DACL estrictas en los objetos que son utilizados indirectamente por el servidor ISA. Por ejemplo, al crear una conectividad abierta de bases de datos (ODBC) que ser utilizado por el servidor ISA, asegrese de mantener el nombre de la fuente de datos (DSN) seguro. Configure DACL estrictas para todas las aplicaciones que se ejecutan en el equipo servidor ISA. Asegrese de configurar DACL estrictas para los datos asociados en el sistema de archivos y en el registro. Si personaliza el SecurID HTML o plantillas de mensajes de error, asegrese de configurar DACL apropiado. La DACL recomendada es "Heredar el permiso de los padres." Consejo: Le recomendamos que no guarde los datos crticos (como los archivos ejecutables y archivos de registro) a las particiones FAT32. Esto se debe a DACL no se puede configurar para las particiones FAT32. La revocacin de los permisos de usuario Al revocar los permisos administrativos para un administrador de ISA Server, asegrese de realizar tambin lo siguiente:

y

En el equipo servidor ISA, borrar la cuenta del usuario.

y

En el servidor de almacenamiento de configuracin (para ISA Server Enterprise Edition), revise los objetos de ADAM. Modificar la propiedad de los objetos que pertenecen a la cuenta revocada.

y

La reduccin de la superficie de ataque Para asegurar an ms el equipo servidor ISA, aplique el principio de la superficie de ataque reducida. Para reducir la amplitud de su superficie de ataque, siga estas instrucciones:

y

No ejecute aplicaciones y servicios innecesarios en el equipo servidor ISA. Desactivar los servicios y funciones no crticas para la tarea actual, tal como se describe en el endurecimiento de la infraestructura de Windows seccin. Deshabilitar las caractersticas de ISA Server que no utiliza. Por ejemplo, si usted no requiere almacenamiento en cach, desactivar el almacenamiento en cach. Si usted no necesita la funcionalidad de VPN de ISA Server, deshabilite el acceso de cliente de VPN. Identificar los servicios y tareas no crticas para cmo usted maneja su red, y luego desactivar las reglas del sistema asociado de poltica. Limitar la aplicabilidad de las reglas del sistema normativo a las entidades de la red requiere solamente. Por ejemplo, el sistema Active Directory directiva de grupo de configuracin, activado por defecto, se aplica a todos los equipos de la red interna. Se podra limitar esto a slo se aplican a un grupo especfico de Active Directory en la red interna.

y

y

y

Las secciones siguientes describen cmo se puede reducir la superficie de ataque del equipo del servidor ISA. Deshabilitar las caractersticas de ISA Server Dependiendo de sus necesidades de red especficas, es posible que no requieren el conjunto de las funciones incluidas en ISA Server. Usted debe considerar cuidadosamente sus necesidades especficas y determinar si es necesario lo siguiente:

y y y y

VPN de acceso de cliente El almacenamiento en cach Web Proxy Los complementos

Si no se requiere una caracterstica especfica, deshabilitar esta caracterstica. VPN de acceso de cliente De acceso de cliente de VPN est desactivado por defecto. Esto significa que el sistema de reglas de poltica pertinentes, denominada Permitir el trfico de clientes de VPN a ISA Server, tambin se desactiva. La regla de red predeterminada, los clientes VPN llamado a la red interna, es permitido, incluso cuando el acceso de cliente de VPN est desactivado. Si VPN de acceso de cliente haba sido activado, se puede desactivar, si no es necesario. Para verificar que el acceso de cliente VPN est desactivado 1. En el rbol de la consola de Administracin del servidor ISA , haga clic en Redes Privadas Virtuales (VPN) :

y

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Redes Privadas Virtuales (VPN) .

y

Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Redes Privadas Virtuales (VPN) .

2.

En el panel de detalles, haga clic en el de clientes de VPN ficha y haga clic en Verificar que el acceso VPN Client est activado . En el general ficha, asegrese de que Habilitar el acceso de cliente de VPN no est seleccionada.

3.

El almacenamiento en cach El almacenamiento en cach est desactivado por defecto. Esto significa que todas las funciones de almacenamiento en cach pertinentes, incluida la descarga de contenido programado, se desactivan. Si la cach se ha habilitado previamente para ISA Server, se puede desactivar. Para verificar que el almacenamiento en cach est desactivado 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en cach :

y

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin y haga clic en Cach . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en Cach .

y

2.

En el panel de detalles, para la versin Enterprise Edition, haga clic en la Unidades de cach ficha. Para Standard Edition, haga clic en la Reglas de cach ficha. En la tareas de la ficha, haga clic en Desactivar almacenamiento en cach .

3.

Nota: Si la cach est deshabilitada, no ver la opcin. Web Proxy Proxy Web est habilitado por defecto y es uno de los escenarios de implementacin central de ISA Server 2006.Le recomendamos que desactive el proxy Web en escenarios al proxy Web no se utiliza. La siguiente es una lista de los escenarios en que ISA Server no utiliza el servicio proxy Web:

y y y y y y

ISA Server se utiliza nicamente para conexiones VPN. No hay ningn requisito para las siguientes caractersticas adicionales ISA Server: El almacenamiento en cach La compresin HTTP La capa de aplicaciones de filtrado Hay otro equipo con ISA Server proporciona servicios de proxy Web.

Para desactivar el proxy Web en un equipo servidor ISA, es necesario crear un nuevo protocolo con el puerto TCP 80 y verificar que filtro Web Proxy no est seleccionada para el nuevo protocolo. Cuando se crea una regla de acceso para permitir el trfico HTTP con el nuevo protocolo, se aplica lo siguiente:

y

Los usuarios deben tener una puerta de enlace predeterminada definido correctamente o utilizar el cliente firewall. La resolucin de nombres deben ser bien definidas. Configuracin de proxy web debe ser limpiado.

y y

Para proxy Web volver a habilitar, utilizar el original del protocolo HTTP que ISA Server crea durante la instalacin en cualquier regla de acceso. Para desactivar el proxy Web En el rbol de la consola de Administracin del servidor ISA , haga clic en Directiva de firewall : Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall . En el panel de detalles, haga clic en la caja de herramientas ficha y, a continuacin, haga clic enProtocolos . Haga clic en Nuevo y seleccione Protocolo . Tipo http1, para el nombre de la definicin del Protocolo . Definir la informacin de conexin principal , haga clic en Nuevo y escriba 80 para el De y Parapropiedades. No define ningn Conexiones secundarias . Haga clic en Finalizar para crear el nuevo protocolo. Nota: no se unen filtro Web Proxy con el protocolo creado, ya que esto permitir proxy Web. Los complementos Cuando se instala ISA Server, un conjunto de filtros y filtros de aplicacin Web tambin se instalan. Posteriormente, puede instalar complementos adicionales proporcionados por otros proveedores. Siga estas pautas de seguridad:

y y y

No instale filtros de aplicacin o filtros Web que no requieren. Nunca instale un filtro de una fuente no confiable. Guarde la librera de enlace dinmico (DLL) asociadas con el complemento de una biblioteca protegida (por ejemplo,% ProgramFiles% \ Microsoft ISA Server). Asegrese de configurar listas de control estricto de acceso (ACL) para esta biblioteca. Desactivar los filtros de aplicaciones y web que no necesita.

y

Para deshabilitar un complemento 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Add-ins :

y

Para ISA Server 2006 Enterprise Edition, para la matriz a nivel de los complementos, ampliarMicrosoft Internet Security and Acceleration Server 2006 , expanda matrices , expandaArray_Name , ampliar la configuracin y haga clic en Add-ins . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en Add-ins .

y

2. 3.

En el panel de detalles, seleccione la aplicacin del complemento. En la tareas de la ficha, haga clic en Deshabilitar filtros seleccionados .

Directivas del sistema ISA Server incluye un sistema de configuracin por defecto de poltica, lo que permite el uso de los servicios, son necesarios para la infraestructura de red para funcionar correctamente. En general, desde una perspectiva de seguridad, le recomendamos que configure la directiva del sistema para que el acceso a los servicios que no son necesarios para gestionar la red no est permitido. Despus de la instalacin, lea atentamente las normas de registro del sistema. Del mismo modo, despus de realizar las principales tareas de administracin, revise la configuracin de directivas del sistema nuevo. Las secciones siguientes se describen los servicios que estn habilitados por las reglas de directiva del sistema. Para ms informacin sobre la configuracin del sistema poltica, consulte la seccin "Poltica de ISA Server System" en el sitio web de Microsoft TechNet . Servicios de red Al instalar el servidor ISA, los servicios bsicos de red estn habilitados. Despus de la instalacin, ISA Server puede acceder a los servidores de resolucin de nombres y servicios de sincronizacin de tiempo en la red interna. Si los servicios de red estn disponibles en una red diferente, debe modificar la configuracin de las fuentes aplicables grupo para aplicar a la red especfica. Por ejemplo, supongamos que el Dynamic Host Configuration Protocol (DHCP) no se encuentra en la red interna, pero en una red perimetral. Modificar el cdigo fuente para el grupo de configuracin DHCP para solicitar a la red perimetral. Puede modificar la directiva del sistema para que slo determinados equipos de la red interna se puede acceder.Como alternativa, puede agregar redes adicionales, si los servicios se encuentran en otros lugares. La siguiente tabla muestra las reglas de directiva del sistema que se aplican a los servicios de red. Configuracin del grupo Nombre de la regla DHCP Permitir peticiones DHCP desde el servidor ISA a interna Permitir respuestas DHCP de servidores DHCP al servidor ISA Permitir DNS del servidor ISA a servidores seleccionados Permitir NTP del servidor ISA a servidores NTP de confianza

Descripcin de la regla Permite que el equipo de ISA Server para acceder a la red interna por medio de DHCP (respuesta) y DHCP (peticin).

DNS

Permite que el equipo de ISA Server para acceder a todas las redes utilizando el sistema de nombres de dominio (DNS) de protocolo. Permite que el equipo de ISA Server para acceder a la red interna mediante el protocolo NTP (UDP) de protocolo.

NTP

DHCP servicios Si el servidor DHCP no se encuentra en la red interna, se debe modificar la regla de poltica del sistema por lo que se aplica a la red en la que se encuentra el servidor DHCP. Por ejemplo, si el servidor DHCP se encuentra en la red externa, realice el siguiente procedimiento. Para modificar la regla de poltica del sistema 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , a continuacin, haga clic en Directiva de firewall . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor y haga clic en Directiva de firewall .

y

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en DHCP . En el de la ficha, haga clic en Agregar . En Agregar entidades de red , seleccione un objeto de red. Consejo: Le recomendamos que si usted conoce la direccin IP del servidor DHCP, crear un equipo configurado con slo la direccin IP y seleccionar dicho conjunto. Le recomendamos encarecidamente este cuando el servidor DHCP se encuentra en una red insegura.

4. 5.

6.

Haga clic en Agregar , haga clic en Cerrar y haga clic en Aceptar .

Servicios de Autenticacin Una de las capacidades fundamentales de ISA Server es la posibilidad de aplicar una poltica de firewall a usuarios especficos. Para autenticar a los usuarios, sin embargo, el servidor ISA debe ser capaz de comunicarse con los servidores de autenticacin. Por esta razn, de manera predeterminada, ISA Server puede comunicarse con los servidores de Active Directory (para la autenticacin de Windows) y con los servidores RADIUS que se encuentran en la red interna. La siguiente tabla muestra las reglas de directiva del sistema que se aplican a los servicios de autenticacin. Usted puede desactivar las reglas para los tipos de autenticacin no est siendo utilizado. Configuracin del grupo Active Directory

Nombre de la regla Permitir el acceso a los servicios de directorio para la autenticacin Permitir RPC del servidor ISA a servidores de confianza Permitir CIFS de Microsoft desde el servidor ISA a servidores de confianza Permitir la autenticacin Kerberos del servidor ISA a servidores de confianza Permitir la autenticacin SecurID de ISA Server para servidores de confianza

Descripcin de la regla Permite que el equipo de ISA Server para acceder a la red interna mediante varios protocolos LDAP, llamada a procedimiento remoto (RPC) (todas las interfaces) de protocolo, varios Microsoft comunes del sistema de archivos de Internet (CIFS) protocolos, y varios protocolos Kerberos, utilizando el servicio de directorio Active Directory.

RSA SecurID

Permite que el equipo de ISA Server para acceder a la red interna mediante el protocolo RSA SecurID .

RADIUS

Permitir la autenticacin RADIUS del servidor ISA a servidores RADIUS de confianza Permitir el trfico HTTP de ISA Server para todas las redes (para descargas de CRL)

Permite que el equipo de ISA Server para acceder a la red interna mediante varios protocolos RADIUS.

La lista de revocacin de certificados (CRL) Descargar

Permite transferencia de hipertexto (HTTP) de ISA Server para todas las redes para la descarga de actualizaciones de las listas de certificados revocados (CRL).

DCOM Si usted requiere el uso del protocolo DCOM, por ejemplo, para administrar de forma remota el equipo servidor ISA, asegrese de que no permiten cumplir estrictamente el cumplimiento RPC . Para verificar que cumplir estrictamente el cumplimiento RPC no est seleccionada 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y


y

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en Active Directory . Verifique que cumplir estrictamente el cumplimiento RPC no est seleccionada.

4.

Consejo: DCOM es a menudo necesaria para varios servicios, incluyendo la gestin remota y automtica de certificados de inscripcin. Windows y los servicios de autenticacin RADIUS Si no se requiere la autenticacin de Windows o la autenticacin RADIUS, debe realizar los siguientes pasos para desactivar el sistema de grupos de configuracin de aplicacin de polticas. Para desactivar la aplicacin del sistema de configuracin poltica de los grupos 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y


y

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en Active Directory .

4.

En el general ficha, asegrese de que Habilitar este grupo de configuracin no est seleccionada. Nota: Cuando se desactiva el sistema de Active Directory directiva de grupo de configuracin, el acceso a todos los protocolos LDAP ya no es permitido. Si necesita los protocolos LDAP, cree una regla de acceso que permite el uso de estos protocolos.

5.

Repita los pasos 3 y 4 para el RADIUS grupo de configuracin. Consejo: Si usted requiere slo la autenticacin de Windows, asegrese de configurar la directiva del sistema, desactivar el uso de todos los mecanismos de autenticacin.

RSA SecurID servicios de autenticacin La comunicacin con los servidores de autenticacin RSA SecurID no est habilitada por defecto. Si su poltica de firewall requiere la autenticacin RSA SecurID, asegrese de activar este grupo de configuracin. CRL servicios de autenticacin Las listas de certificados revocados (CRL) no se pueden descargar de forma predeterminada. Esto se debe a que el grupo de configuracin Descarga de CRL no est activado por defecto. Para habilitar la descarga de CRL 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y


y

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en Descargar CRL . En el general ficha, asegrese de que Habilitar este grupo de configuracin es seleccionado. En el A , seleccione las entidades de la red de laboratorios comunitarios de referencia que se puede descargar.

4.

5.

Importante: El mtodo ms comn para descargar la CRL es a travs de HTTP. Por lo tanto, cuando se habilita ladescarga de CRL , todo el trfico HTTP se permitir a partir de la red de host local (el equipo servidor ISA) a las entidades de red que aparecen en la A pestaa. Si los certificados de uso de otro protocolo para descargar la CRL, es necesario crear una regla de acceso para estos protocolos. La administracin remota

A menudo, usted administrar el servidor ISA desde un equipo remoto. Con cuidado, determinar qu equipos remotos pueden gestionar y supervisar el servidor ISA. La siguiente tabla muestra las reglas de directiva del sistema que debe ser configurado. Configuracin del grupo Microsoft Management Console

Nombre de la regla Permitir la administracin remota desde equipos seleccionados que usan MMC MS permiten la comunicacin de control de firewall para los equipos seleccionados Permitir la administracin remota desde equipos seleccionados mediante Terminal Server Permitir la administracin remota de equipos seleccionados mediante una aplicacin web Permitir ICMP (PING) de equipos seleccionados para ISA Server

Descripcin de la regla Permite a los ordenadores en la gestin remota de equipos Equipos de conjunto para acceder al equipo servidor ISA mediante el MS Firewall Control y RPC (todas las interfaces) protocolos.

Terminal Server

Permite a los ordenadores en la gestin remota de equipos Equipos de conjunto para acceder al equipo servidor ISA mediante el RDP (Terminal Services) de protocolo. Permite la gestin remota desde equipos seleccionados mediante una aplicacin web.

Web de gestin

ICMP (ping)

Permite a los ordenadores en la gestin remota de equipos Equipos de conjunto para acceder al equipo servidor ISA mediante el protocolo PING, y viceversa.

Por defecto, las normas de registro del sistema que permite la gestin remota de ISA Server estn habilitadas con excepcin del grupo de gestin de configuracin Web. ISA Server se pueden gestionar mediante la ejecucin de un control remoto de Microsoft Management Console (MMC), o mediante el uso de los Servicios de Terminal Server. Por defecto, estas reglas se aplican al conjunto integrado en el ordenador de gestin remota equipos. Al instalar el servidor ISA, este conjunto de equipos vaco se crea. Aadir a este equipo conjunto vaco de forma remota todos los equipos que va a administrar el servidor ISA. Hasta que lo haga, la administracin remota no se encuentre efectivamente disponible desde cualquier ordenador. Consejo: Limite la administracin remota de equipos especficos mediante la configuracin de la gestin remota conjunto de equipos Equipos. Para habilitar la administracin remota 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y


y

2. 3.

En la caja de herramientas ficha, haga clic en Objetos de red . Expanda Conjuntos de equipos , haga clic en equipos de gestin remota , a continuacin, haga clic enPropiedades .

4. 5. 6.

Haga clic en Agregar , a continuacin, haga clic en PC . En Nombre , escriba el nombre del equipo. En Direccin IP del equipo , escriba la direccin IP del equipo que puede administrar remotamente el servidor ISA.

Nota: Cuando se crea una serie durante la instalacin de ISA Server de servicios de firewall, el servidor de almacenamiento de configuracin se aade automticamente al conjunto de equipos Equipos de administracin remota. Si se crea la matriz antes de instalar el firewall de ISA Server, tendr que aadir manualmente el servidor de Almacenamiento de configuracin para el conjunto de equipos Equipos de administracin remota. Registro y supervisin a distancia De manera predeterminada, el registro remoto y el monitoreo son discapacitados. Slo el grupo de configuracin SMTP est activada por defecto, lo que permite Simple Mail Transfer Protocol (SMTP) la comunicacin de ISA Server a los equipos de la red interna. Esto es necesario, por ejemplo, cuando usted desea enviar la informacin de alerta en un mensaje de correo electrnico. Los grupos de configuracin estn desactivadas por defecto:

y y y y

Registro remoto (NetBIOS) Registro remoto (SQL) Supervisin remota del rendimiento Microsoft Operations Manager

La siguiente tabla proporciona una descripcin de los grupos de configuracin. Configuracin del grupo Registro remoto (NetBIOS) Registro remoto (SQL) Supervisin remota del rendimiento

Nombre de la regla Permitir el registro remoto a servidores de confianza con NetBIOS Permitir el registro de SQL remota del servidor ISA a servidores seleccionados Permitir la supervisin remota de rendimiento del servidor ISA desde servidores de confianza Permitir la supervisin remota del servidor ISA a servidores de confianza, el uso de Microsoft Operations Manager (MOM) Agente Permitir SMTP del servidor ISA a servidores de confianza

Descripcin de la regla Permite que el equipo de ISA Server para acceder a la red interna mediante varios protocolos NetBIOS. Permite que el equipo de ISA Server para utilizar Microsoft (SQL) protocolos de acceso a la red interna. Permite a los ordenadores en la gestin remota de equipos Equipos de conjunto para acceder al equipo servidor ISA mediante varios protocolos NetBIOS. Permite que el equipo de ISA Server para acceder a la red interna mediante el agente de Microsoft Operations Manager. Permite que el equipo de ISA Server para acceder a la red interna a travs de SMTP.

Microsoft Operations Manager SMTP

Habilitar el registro y monitoreo remoto Utilice el siguiente procedimiento para habilitar el registro y monitoreo remoto. Para habilitar el registro y monitoreo remoto

1.

En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y


y

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, seleccione uno o ms de los grupos de configuracin siguientes:

y y y y y4.

Registro remoto (NetBIOS) Registro remoto (SQL) Supervisin remota del rendimiento Microsoft Operations Manager SMTP

En el general ficha, asegrese de que Habilitar este grupo de configuracin es seleccionado.

Los servicios de diagnstico Por defecto, las normas de registro del sistema que permite el acceso a los servicios de diagnstico estn activadas, a excepcin de la conectividad HTTP verificadores grupo, con los siguientes permisos:

y

ICMP. Esto es posible a todas las redes (y host local). Este servicio es importante para determinar la conectividad con otros equipos. De red de Windows. Esto permite la comunicacin NetBIOS, por defecto en los ordenadores de la red interna. Microsoft Error Reporting. Esto permite el acceso HTTP al conjunto de informes de errores de Microsoft URL sitios, para permitir la presentacin de la informacin de error. Por defecto, este conjunto de direcciones URL incluye sitios especficos de Microsoft, y no debe ser modificado. Comprobadores de conectividad HTTP. Esto permite que el equipo servidor ISA para usar HTTP y HTTP seguro (HTTPS) Los protocolos para comprobar si un determinado equipo es sensible.

y

y

y

La siguiente tabla muestra los grupos de polticas de configuracin del sistema que estn habilitadas por defecto. Configuracin del grupo

Nombre de la regla

Descripcin de la regla

ICMP

Permitir peticiones ICMP del servidor ISA a servidores seleccionados Permitir NetBIOS del servidor ISA a servidores de confianza Permitir HTTP / HTTPS del servidor ISA a determinados sitios de Microsoft de informes de errores

Permite que el equipo de ISA Server para acceder a todas las redes con varios protocolos ICMP y el protocolo PING. Permite que el equipo de ISA Server para acceder a todas las redes con varios protocolos NetBIOS. Permite que el equipo de ISA Server para acceder a los miembros de la Error Microsoft Reporting sitios conjunto de direcciones URL a travs de protocolos HTTP o HTTPS.

De red de Windows

Comunicacin de Microsoft (Microsoft Error Reporting)

Adems, el servicio de diagnstico que no est activado por defecto: HTTP comprobadores de conectividad. Cuando se crea un comprobador de conectividad, la conectividad HTTP grupo de configuracin de los verificadores se activa, lo que permite la red de host local para utilizar HTTP o HTTPS para acceder a los ordenadores de cualquier otra red. La siguiente tabla describe la configuracin de conectividad HTTP grupo de verificadores. Configuracin del grupo Conectividad HTTP verificadores

Nombre de la regla Permitir HTTP / HTTPS del servidor ISA a servidores seleccionados para los comprobadores de conectividad

Descripcin de la regla Permite que el equipo de ISA Server para comprobar la conectividad mediante el envo de peticiones HTTP GET al equipo especificado.

Le recomendamos que limitar este acceso a los equipos especficos cuya conectividad desee comprobar. Para limitar este acceso 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y


y

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en HTTP comprobadores de conectividad . En la A pestaa, haga clic en todas las redes (y host local) y haga clic en Quitar . Haga clic en Agregar y luego seleccionar las entidades de la red cuya conectividad desee comprobar. Todo el trfico HTTP se permitir a partir de la red de host local (el equipo servidor ISA) a las entidades de red que aparecen en la A pestaa.

4. 5.

Las tareas programadas de descarga Por defecto, la descarga programada funcin de puestos de trabajo est desactivado. La siguiente tabla describe la configuracin de descarga programada grupo de trabajo.

Configuracin del grupo Trabajos programados Descargar

Nombre de la regla Permitir HTTP de ISA Server a los equipos seleccionados para los trabajos de descarga de contenidos

Descripcin de la regla Permite que el equipo de ISA Server para acceder a todas las redes a travs de HTTP.

Cuando se crea un trabajo de descarga de contenido, se le pedir que habilite esta regla de poltica del sistema.ISA Server se podr acceder a los sitios especificados en el trabajo de descarga de contenido. Sitios permitidos La directiva del sistema predeterminada permite el acceso HTTP y HTTPS de la red de host local (el equipo servidor ISA) en el sitio Web Microsoft.com. Esto es necesario para:

y y

El informe de errores (como se describe en el servicios de diagnstico ). Mantenimiento y gestin.

De manera predeterminada, el grupo de sitios permitidos de configuracin est activada, permitiendo que el servidor ISA para acceder a contenidos en sitios especficos que pertenecen a la directiva del sistema de sitios permitidos conjunto de nombres de dominio. La siguiente tabla describe el grupo de sitios permitidos de configuracin. Configuracin del grupo Sitios permitidos

Nombre de la regla Permitir HTTP / HTTPS del servidor ISA a sitios especificados

Descripcin de la regla Permite que el equipo de ISA Server para acceder a los miembros de la directiva del sistema permiten URL Sitios conjunto con los protocolos HTTP y HTTPS.

Este conjunto de direcciones URL incluye varios sitios web de Microsoft, de forma predeterminada. No se puede modificar la directiva del sistema de sitios permitidos conjunto de dominio, sin embargo se puede crear un conjunto de nombres de dominio y agregarlo al grupo de animales Sitios poltica del sistema para incluir sitios Web adicionales, que ISA Server se le permitir el acceso. Para modificar el conjunto de direcciones URL para incluir sitios Web adicionales 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y


y

2. 3.

En la tareas de la ficha, haga clic en Editar directiva del sistema . En el Editor de directivas del sistema, en los Grupos de configuracin de rbol, haga clic en Sitios permitidos . En la A pestaa, haga clic en Agregar y, a continuacin, seleccione el conjunto de nombres de dominio requerido.

4.

HTTP y HTTPS de acceso se permitir a los sitios Web especificados.

Modo de bloqueo de Una parte crtica de un firewall es la de reaccionar a un ataque. Cuando ocurre un ataque, puede parecer que la primera lnea de defensa es desconectarse de Internet, el aislamiento de la red comprometida maliciosa del exterior. Sin embargo, este no es el enfoque recomendado. Aunque el ataque debe ser manejado, la conectividad de red normal debe reanudarse lo antes posible, y la fuente del ataque deben ser identificados. La caracterstica de bloqueo combina la necesidad de aislamiento con la necesidad de estar conectado. Ante una situacin que provoca que el servicio Firewall de Microsoft para cerrar, el servidor ISA entra en modo de bloqueo.Esto ocurre cuando:

y

Un evento que desencadena el servicio de firewall para cerrar. Al configurar las definiciones de alerta, a decidir qu eventos va a hacer que el servicio de firewall para cerrar. En esencia, se configura cuando el servidor ISA entra en modo de bloqueo. El servicio de Firewall se apague manualmente. Si usted se da cuenta de los ataques maliciosos, puede cerrar el servicio de Firewall, al configurar el equipo con ISA Server y la red para manejar los ataques.

y

Funcionalidad afectada Cuando est en modo de bloqueo, la funcionalidad aplica lo siguiente:

y y

El filtro de paquetes del firewall del motor (fweng) se aplica la directiva de firewall. El trfico de salida de la red de host local a todas las redes est permitido. Si una conexin de salida se ha establecido, esa conexin puede ser utilizada para responder al trfico entrante. Por ejemplo, una consulta DNS puede recibir una respuesta DNS, en la misma conexin. No se permite el trfico entrante, a menos que una regla de poltica del sistema que especficamente permite que el trfico est activada. La nica excepcin es el trfico DHCP, que siempre est permitido. Peticiones DHCP en User Datagram Protocol (UDP) el puerto 67 se permite a partir de la red de host local a todas las redes, y las respuestas DHCP en el puerto UDP 68 se les permita volver pulg Las reglas del sistema siguiendo la poltica que siguen siendo aplicables:

y

y

y y

Permitir ICMP desde servidores de confianza para el equipo local. Permitir la administracin remota del firewall mediante MMC (RPC a travs del puerto 3847). Permitir la administracin remota del firewall mediante RDP. Clientes VPN de acceso remoto no pueden acceder a ISA Server. Del mismo modo, se niega el acceso a las redes de sitios remotos en los escenarios de sitio a sitio VPN. Cualquier cambio en la configuracin de la red, mientras que en el modo de bloqueo slo se aplican despus de reiniciar el servicio de firewall y servidor ISA sale del modo de bloqueo. Por ejemplo, si mueve fsicamente un segmento de red y configurar ISA Server para que coincida con los cambios fsicos, la nueva topologa est en vigor slo despus de que el modo de bloqueo de las salidas de ISA Server. ISA Server no se activa ninguna alerta.

y y

y

y

Salir del modo de bloqueo Cuando se reinicia el servicio de firewall, servidor ISA sale del modo de bloqueo y contina funcionando, como antes. Los cambios realizados en la configuracin del servidor ISA se aplican despus del modo de bloqueo de las salidas de ISA Server.

Seguridad en la configuracinAl configurar el firewall de ISA Server poltica en relacin con su poltica de seguridad corporativa, siga el principio de negar todo el trfico que no est explcitamente permitido. ISA Server por defecto ejecucin de esta poltica. Un firewall por defecto la regla de poltica, llamada regla predeterminada, deniega el acceso de todos los usuarios de todas las redes. Debido a esta regla se proces por ltima vez, todo el trfico no permitido explcitamente se negaron. Mejores prcticas de seguridad para la Gestin Empresarial ISA Server 2006 Enterprise Edition presenta una arquitectura de mltiples niveles, en el que la informacin de configuracin se almacena en el servidor de Almacenamiento de configuracin. Miembros de la matriz comunicarse con el servidor de almacenamiento de configuracin para levantarse al da la informacin de configuracin.Adems, los miembros de la matriz se comunican entre s. Para ayudar a proteger este modelo de implementacin, siga las mejores prcticas de seguridad que figuran en este tema. Asegurando el servidor de almacenamiento de configuracin Para proteger el servidor de almacenamiento de configuracin, siga estas instrucciones:

y

Le recomendamos que instale el servidor de almacenamiento de configuracin en un equipo dedicado que no se utiliza para tareas adicionales. Salvaguardar la seguridad del servidor de almacenamiento de configuracin. Asegrese de que el equipo est fsicamente seguro. Despus de crear las funciones de administrador, evitar la realizacin de las tareas en el servidor de Almacenamiento de configuracin. Cambios en el servidor de almacenamiento de configuracin se debe hacer uso de credenciales de administrador en un equipo matriz de ISA Server o equipo de administracin remota. Los usuarios que pertenecen al grupo Administradores en el servidor de almacenamiento de configuracin efectivamente tienen permisos de Administrador de empresa. Esto se debe a que puede modificar directamente los datos en el servidor de Almacenamiento de configuracin. Le recomendamos que no coloque el servidor de almacenamiento de configuracin en el borde de la red. Por el contrario, el lugar detrs de un equipo que ejecuta servicios de ISA Server, lo que ayudar a protegerla de posibles ataques. Auditar los cambios de permisos en el servidor de Almacenamiento de configuracin. Cuando sea posible, se recomienda implementar un servidor de almacenamiento de configuracin slo en la sede corporativa, y no en las sucursales. Por ejemplo, si una sucursal tiene una buena conexin a la sede, se debe implementar un servidor de almacenamiento de configuracin en la sede para asegurar un lugar seguro fsica para el servidor de Almacenamiento de configuracin. Sin embargo, puede requerir de un servidor de almacenamiento de configuracin de la sucursal cuando la conexin de red a la sede central es lento y no es un lugar seguro fsica para el servidor de almacenamiento de configuracin en la sucursal.

y

y

y

y

y y

Firewall de bloqueo de cuentas

El servidor de almacenamiento de configuracin de ISA Server reconoce a cada miembro de la matriz de una cuenta nica, creada especialmente para este propsito. Esta cuenta no est sujeto a bloqueo de la cuenta, evitando as la posible denegacin de ataques de servicio. La contrasea por defecto en este sentido, se crea al instalar el miembro de la matriz, es una contrasea segura. Si cambia la contrasea, le recomendamos que configure una contrasea segura. Asegurar la comunicacin intra-Array Para asegurar la comunicacin intra-array, siga estas instrucciones:

y

Tras la instalacin, un par de claves privadas y pblicas se crean para cada miembro de la matriz. Estas teclas se utilizan para la transferencia de datos confidenciales entre los miembros de la matriz. Si usted cree que las claves han sido comprometidos, crear un nuevo par de claves por desinstalar y volver a instalar el servidor ISA. Le recomendamos que utilice un adaptador de red dedicado en una red que se utiliza slo para la comunicacin dentro de la matriz.

y

Configuracin de la validacin despus de la actualizacin ISA Server 2004 la poltica se puede actualizar a ISA Server 2006. Despus de actualizar a ISA Server 2006, revise cuidadosamente la poltica de actualizacin, asegurndose de que la poltica de firewall sigue configurado de acuerdo con la poltica de seguridad de su organizacin. Para ms informacin sobre cmo actualizar a ISA Server 2006, consulte "Actualizacin de ISA Server 2006 Standard Edition" en el sitio web de Microsoft TechNet y "Actualizacin de ISA Server 2006 Enterprise Edition" en elsitio web de Microsoft TechNet . Validacin de la configuracin de Directiva de firewall Despus de crear una poltica de firewall, le recomendamos que revise la poltica activa. Validar que el trfico que desea pasar a travs de est permitido. Tambin comprobar que slo los puertos estn abiertos aplicables. Por ejemplo, el uso de escaneo de puertos para comprobar que slo los puertos de aplicacin son realmente abierto. Dominios Locales Le recomendamos que incluya todos los nombres de dominio local en los mbitos que se consideran locales a la red interna. De lo contrario, ISA Server puede enviar una solicitud de resolucin de nombres a un servidor DNS externo, lo que podra exponer a los nombres de los dominios internos. Para configurar la tabla de dominios locales 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Redes :

y

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin, y haga clic en Redes . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en Redes .

y

2.

En el panel de detalles, haga clic en la redes de la ficha, y luego seleccione la interna de la red. En la tareas de la ficha, haga clic en Editar red seleccionada . En el dominio pestaa, haga clic en Agregar . A continuacin, escriba el nombre de dominio en el Escriba un nombre de dominio que incluyen caja.

3. 4.

Respaldo y restauracin ISA Server incluye una funcin de importacin y exportacin que le permite respaldar y restaurar la informacin de configuracin. Los parmetros de configuracin se pueden exportar y almacenan localmente en un archivo. Xml.Puede guardar la configuracin en cualquier carpeta y el nombre del archivo. El archivo. Xml puede contener informacin confidencial y debe ser almacenado en consecuencia. Cuando se restaura un archivo de configuracin, potencialmente cambiar la poltica de firewall existentes. Por esta razn, tener especial cuidado en el uso exclusivo de confianza los archivos de configuracin al restaurar (importar) la informacin de configuracin. Red privada virtual Es importante que siga las mejores prcticas de seguridad cuando se utiliza ISA Server 2006 como una red privada virtual (VPN). La siguiente es una lista de recomendaciones para proteger tu PC de ISA Server en su papel como un servidor VPN:

y

Protocolo de tnel de capa dos (L2TP) sobre seguridad del protocolo Internet (IPsec) las conexiones se recomiendan para el cifrado ms potente. Le recomendamos que aplicar y hacer cumplir una poltica de contraseas fuertes, reduciendo as la posibilidad de un ataque de diccionario. Cuando se implementa esta poltica, puede desactivar el bloqueo de la cuenta, reduciendo as la posibilidad de que un atacante provocar el bloqueo de cuentas. Posibilidad de exigir su clientes VPN remotos para ejecutar determinados sistemas operativos (como Microsoft Windows Server 2003 o Windows XP). No todos los sistemas operativos tienen los mismos niveles de seguridad en sus sistemas de archivo y en sus cuentas de usuario. Adems, no todas las funciones de acceso remoto estn disponibles en todos los sistemas operativos. Utilizar mtodos de autenticacin que ofrezcan una seguridad adecuada. El mtodo ms seguro de autenticacin Protocolo de autenticacin extensible-Seguridad en el Transporte Nivel (EAP-TLS) cuando se utiliza junto con las tarjetas inteligentes. Utilice la funcin de control de cuarentena de ISA Server para proporcionar un acceso gradual de la red para los clientes VPN remotos. Con el control de cuarentena, los clientes se limitan a un modo de cuarentena antes de que se permite el acceso a la red. Aunque el control de cuarentena no protege contra los atacantes, configuraciones de los equipos de los usuarios autorizados pueden ser verificadas y, si es necesario, corregir antes de que puedan acceder a la red.

y

y

y

Proteccin contra virus con VPN Infectados con el virus equipos cliente VPN no son automticamente bloqueados por las inundaciones en el equipo servidor ISA o las redes que protege a las solicitudes. Para evitar que esto ocurra, implementar prcticas de vigilancia para detectar anomalas tales como alertas o picos inusuales en las cargas de trfico, y configurar una notificacin de alerta de utilizar mensajes de correo electrnico. Si una persona infectada equipo cliente de VPN se identifica, ya sea:

y

Utilice la directiva de acceso remoto a excluir al usuario de los clientes VPN que tienen permiso para conectarse. Restringir el acceso VPN por direccin IP. Para ello, cree una nueva red que contiene direcciones IP externas que estn bloqueados, y mover la direccin IP del cliente de la red externa a la nueva red.

y

Mitigacin de las inundaciones ISA Server 2006 puede ayudar a detectar y mitigar los brotes de virus y la posterior inundacin de conexiones que son una realidad empresarial prevaleciente. El ISA Server cuenta con la mitigacin de inundaciones incluyen diversas funciones, que se puede configurar y monitorizar para asegurar que la red queda protegida de los ataques maliciosos. Por defecto, la mitigacin de inundaciones se activa

con la configuracin predeterminada y est configurado para registrar el trfico bloqueado por la configuracin de mitigacin de inundaciones. Para modificar o ver la configuracin de mitigacin de inundaciones 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en general :

y

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin, y haga clic en general . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en general .

y

2.

En el panel de detalles, haga clic en Configurar las opciones de mitigacin de inundaciones . Haga clic en Editar para modificar los valores de la configuracin deseada.

3.

De autenticacin para VPN Utilizar mtodos de autenticacin que ofrezcan suficiente seguridad VPN. De acceso de cliente VPN El mtodo ms seguro de autenticacin Protocolo de autenticacin extensible-Seguridad en el Transporte Nivel (EAP-TLS) cuando se utiliza junto con las tarjetas inteligentes. A pesar del despliegue desafos involucrados en el uso de EAP-TLS y tarjetas inteligentes, que requieren una infraestructura de clave pblica (PKI), este se considera el mtodo de autenticacin ms segura. Habilitar EAP-TLS, que est desactivado por defecto en el perfil de una poltica de acceso remoto. Cuando se utiliza el protocolo de autenticacin EAP-TLS, debe instalar un certificado de equipo en el Servicio de autenticacin Internet (IAS). Para el cliente y la autenticacin de usuarios, puede instalar un certificado en el equipo cliente, o puede utilizar las tarjetas inteligentes. Antes de implementar certificados, debe disear el certificado con los requisitos correctos. Si utiliza autenticacin basada en contrasea, hacer cumplir las directivas de contraseas seguras en la red para realizar ataques de diccionario ms difcil. Posibilidad de exigir su clientes VPN remotos se autentiquen con protocolos de autenticacin ms seguros, como desafo la versin de Microsoft protocolo de enlace de autenticacin 2 (MS-CHAP v2) o Protocolo de Autenticacin Extensible (EAP), en lugar de lo que les permite utilizar protocolos como el Protocolo de autenticacin de contrasea (PAP), contrasea de Shiva Authentication Protocol (SPAP), y el Protocolo de autenticacin (CHAP). Le recomendamos encarecidamente que PAP, SPAP y CHAP se desactivar. PAP, SPAP y CHAP estn deshabilitados por defecto. De sitio a sitio VPN El uso de certificados para la autenticacin de las conexiones de sitio a sitio VPN es el escenario de implementacin recomendada. Los siguientes consideraciones de seguridad es necesario abordar el uso de certificados:

y

Usted debe utilizar una entidad dedicada certificacin interna (CA) para emitir los certificados necesarios para las conexiones de sitio a sitio VPN. Esto se debe al hecho de que IPsec no coincide con el nombre del certificado en el nombre del sitio. Si los certificados proceden de la misma CA, esto es suficiente para la autenticacin. Hacer cumplir la lista de revocacin de certificados (CRL). Por defecto, IPsec intentar descargar la CRL de la entidad emisora en el establecimiento de la conexin VPN. Si la CRL no se puede descargar por cualquier motivo, IPsec sigue considerando que el certificado sea

y

vlido y permite el establecimiento de la conexin VPN. Si un miembro de la matriz es robado, el sistema o el certificado de exportacin podra ser utilizado para establecer una conexin de sitio a sitio VPN con otro miembro de la matriz, incluso si el certificado ha sido revocado. Para mitigar este riesgo, configurar StrongCRLCheck la comprobacin de todos los miembros de la matriz. StrongCRLCheck fuerzas de control de la miembro de la matriz para verificar la validez de cada certificado que se presenta en contra de la CRL. Si el miembro de la matriz no se puede descargar la CRL, el certificado se considera como no vlido y la conexin se rechazar. Para configurar StrongCRLCheck 1. Configurar un punto adicional de distribucin de CRL de la entidad emisora. El nombre de host utilizado en el punto de distribucin CRL deben resolverse a travs de Internet. 2. Reducir el perodo de validez de la CRL. El perodo de validez de una CRL es el perodo de tiempo que el CRL se considera autorizada por un verificador de un certificado. Siempre y cuando el verificador de un certificado tiene una CRL vlida en su cach local, que no intentar recuperar otra CRL de la CA. El perodo de validez de una CRL se basa en el intervalo de publicacin de CRL ms un mximo de 10 por ciento para permitir la replicacin. El intervalo predeterminado de publicacin de CRL es de una semana. Para ms informacin sobre los puntos de distribucin CRL, publicar CRL y revocaciones de certificados, consulte Windows Server 2003 ayuda del producto. Reedicin de todos los certificados ya emitidos, para incluir el nuevo punto de distribucin CRL valor en el certificado. Publicar un nuevo punto de distribucin de CRL a Internet a travs de la Web de ISA Server Asistente para la publicacin. Especificar que el tnel de VPN no se puede establecer si el certificado ha sido revisado con la CRL:

3.

4.

5.

y

Establecer el valor StrongCRL en el registro, bajo la clave HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ PolicyAgent \ clave, agregue una nueva subclave Oakley, con una entrada DWORD: StrongCRLCheck, y asignarle un valor de 2.

6.

A continuacin, reinicie el servicio Agente de directivas y el servicio Firewall de Microsoft. Nota: Cuando el Agente de directivas se detiene y se reinicia, el IPSec de sitio a sitio de conexin VPN ya no funciona correctamente. TCP SYN y UDP dejar de ISA Server en texto plano, y cualquier respuesta ser dado de baja por el servidor ISA, porque estn en texto plano. Para corregir este problema, despus de reiniciar el Agente de directivas, detener e iniciar el servicio Firewall de Microsoft o reiniciar el servidor. Nota: Por defecto, IPsec se espere 10 segundos para completar el proceso de recuperacin de CRL. Si la CRL no se puede recuperar en ese momento, IPsec har que la autenticacin falle cuando StrongCRLCheck se ha establecido en un valor de 2. En una conexin con enlaces lentos, esto puede causar una conexin de sitio a sitio VPN a fallar.

Para obtener ms informacin acerca de IPsec, consulte la seccin "Cmo funciona IPSec" en el sitio web de Microsoft TechNet . IPsec del trfico

ISA Server no bloquea ningn Encapsulating Security Payload (ESP) o el trfico de autenticacin de cabecera, que es parte del trfico de IPsec. Adems, este trfico no se considera falsa, ya que estos protocolos son considerados seguros por diseo. Conectividad VPN de sucursales Asistente para archivo de respuesta Despus de una red de sitio a sitio VPN se ha creado un administrador de ISA Server puede crear un archivo de respuesta mediante la ejecucin de la opcin Crear archivo de respuesta para el sitio remoto VPN tarea. El archivo de respuesta puede ser utilizado cuando se ejecuta la conectividad VPN de sucursales asistente. Importante: El archivo de respuesta contiene informacin confidencial y deben ser tratados en consecuencia. Transferir el archivo de respuesta para el equipo filial de ISA Server slo de una manera segura. Network Load Balancing Para Enterprise Edition, para el equilibrio de carga de red (NLB), siga estas instrucciones:

y

Al habilitar NLB, siga las mejores prcticas de seguridad detalladas en "Network Load Balancing: Prcticas recomendadas de seguridad para Windows 2000 y Windows Server 2003" en el sitio web de Microsoft TechNet . Al habilitar NLB, el lugar de un router en frente de la matriz con NLB. Configurar el router para que se bloquee el trfico IP en bruto. De lo contrario, todos los miembros de la matriz se encargar del trfico al mismo tiempo. Cuando NLB est activado, sincroniza miembros de la matriz mediante el uso de Ethernet puro protocolo de comunicacin. Este trfico de bajo nivel no est protegido por el servidor ISA. Para ayudar a asegurar que el trfico, le recomendamos que coloque un enrutador de capa 3 entre Internet y la matriz con NLB. Adems, el lugar de un enrutador de capa 3 entre los equipos de ISA Server y cualquier red con los ordenadores son de confianza. Este router Layer-3 no permitir que el bajo nivel de protocolo Ethernet para pasar, ayudando as a proteger la matriz de trfico Ethernet potencialmente maliciosos de Internet, la intencin de perturbar el funcionamiento de NLB.

y

y

y

Cache Array Routing Protocol Para Enterprise Edition, cuando se habilita el protocolo de enrutamiento de matriz de cach (CARP), siga estas instrucciones:

y

Le recomendamos que desplegar una red dedicada a la comunicacin dentro de la matriz, y utilizar esta red para la comunicacin CARP. De lo contrario, el uso de una red dedicada a la carpa de comunicacin.Configurar IPsec para esta red. Redes para las cuales CARP est habilitado debe ser accesible slo a los miembros de la matriz.

y

Traduccin de vnculos La funcin de traduccin de vnculos de ISA Server 2006 traduce los encabezados HTTP, independientemente de si la traduccin de vnculos est habilitada. Esto implica que cuando se publica un servidor web, que especifica quecualquier nombre de dominio puede ser utilizado, un atacante podra enviar el contenido malicioso en la cabecera. Si el servidor publicado redirige las peticiones a una pgina en cualquier equipo, la respuesta podra ser envenenada. (Sera modificado para que contenga la direccin URL del encabezado enviado por el atacante.) Si esta pgina se almacena en cach de un servidor indirecto, a un usuario acceder a la pgina sern redireccionados al sitio web configurado por el atacante.

Por esta razn, se recomienda que especifique los nombres de dominio especficos a los que la regla de publicacin Web se aplica. Para especificar los nombres de dominio especfico 1. En el rbol de la consola de Administracin del servidor ISA, haga clic en Directiva de firewall :

y


y

2. 3. 4.

En el panel de detalles, seleccione la regla de publicacin web correspondiente. En la tareas de la ficha, haga clic en Editar regla seleccionada . En el nombre pblico pestaa, en Esta regla se aplica a , seleccione las solicitudes de los siguientes sitios Web . Haga clic en Agregar . En nombre de dominio pblico o la direccin IP , escriba el nombre de dominio especfico para que la regla de publicacin Web debe aplicarse.

5. 6.

Mitigacin de Inundaciones ISA Server limita el nmero de conexiones en un momento dado. Puede configurar el lmite, establecer el nmero mximo de conexiones simultneas. Cuando el nmero mximo de conexiones se ha alcanzado, las solicitudes de nuevos clientes para la escucha de web que se neg. Puede limitar el nmero total de UDP, ICMP, y otras creaciones Raw sesin de IP permite la publicacin de un servidor o regla de acceso, por segundo. Estas limitaciones no se aplican a las conexiones TCP. Cuando el nmero especificado de conexiones es superado, las nuevas conexiones no se crear. Las conexiones existentes no se desconectar. La siguiente tabla muestra las propiedades de mitigacin de las inundaciones y los ajustes por defecto. Propiedad Mxima conexin TCP peticiones por minuto por direccin IP Mximo de conexiones TCP simultneas por direccin IP La mitad del mximo de conexiones TCP abiertas Mximo de peticiones HTTP por minuto por direccin IP Nuevo mximo no sesiones TCP por minuto por regla Mximo de sesiones UDP simultneas por direccin IP Especificar el nmero de paquetes neg activar una alerta El valor por defecto Lmite: 600 Lmite: 160 Lmite: 80 No se puede configurar Lmite: 600 Lmite: 1.000 Lmite: 160 Lmite: 600

Le recomendamos encarecidamente que no cambie estos lmites preconfigurados. Si debe modificar los lmites de conexin, hacer pequeos cambios incrementales hasta alcanzar el efecto deseado. Para configurar los lmites de conexin

1.

En el rbol de la consola de Administracin del servidor ISA, haga clic en general :

y

Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda matrices , expanda Array_Name , ampliar la configuracin y haga clic en general . Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006 , expanda nombreDeServidor , ampliar la configuracin y haga clic en general .

y

2.

En el panel de detalles, haga clic en Configurar las opciones de mitigacin de inundaciones . Seleccione Editar para la propiedad que desee y cambie el valor deseado.

3.

Formas de personalizacin Puede especificar una carpeta diferente para las formas de la carpeta por defecto proporcionados por ISA Server 2006. Todos los archivos se encuentran en la carpeta donde crear formularios personalizados son accesibles por usuarios annimos. Usted necesita asegurarse de que ninguno de los archivos en la carpeta especificada contienen informacin confidencial. ISA Server Management El ISA Server de Microsoft Management Console (MMC) en las tiendas de los archivos confidenciales de los documentos del usuario y la carpeta Configuracin del equipo de la consola. Para proteger estos archivos, administracin de ISA Server debe instalarse en un equipo cuyo sistema de traccin est formateado para el sistema de archivos NTFS. Protocolos personalizados Al crear un protocolo personalizado, cuidado configurar el uso de rangos de conexin secundaria. Si la solapa configurar secundaria rango de puertos ya definidas en el firewall del servidor ISA, una conexin a un servidor diferente podra ser establecido en uno de los puertos definidos secundaria, despus de una sesin se crea en el puerto principal. Para mitigar este riesgo:

y

Confirme que el rango de protocolo de puerto secundario no se superpone con un puerto de servidor conocidos ISA o rango de puertos. Use una regla de publicacin de servidor para publicar una aplicacin y no una regla de acceso.

y

Nota: Si usted es el desarrollo de aplicaciones, usted debe seguir las normas de seguro Winsock programacin, disponible en el sitio Web MDSN . Publicacin en la Web Esta seccin trata sobre los problemas de seguridad especficos para la publicacin Web. Estaciones de quiosco Los usuarios deben ser educados para registro de forma correcta de los quioscos o puestos de trabajo pblicos.Esto es especialmente importante cuando se utilizan las aplicaciones publicadas que no tienen un botn de cierre de sesin y al inicio de sesin nico (SSO) se ha configurado. Si un usuario est accediendo a una aplicacin publicada, se almacena una cookie en el equipo local. Si la solicitud no tiene un botn de cierre de sesin y el usuario navega a otra pgina Web y luego se va al quiosco sin cerrar la sesin, la cookie todava est en el equipo y an vigentes. Otro usuario podra usar esta cookie para acceder a cualquier otra aplicacin publicada que se ha configurado como una aplicacin SSO publicados.

Las siguientes recomendaciones deben ser utilizados cuando utilice ordenadores pblicos para acceder a Internet:

y y y y y

No seleccione Este es un equipo privado . Realizar el cierre de sesin en las aplicaciones publicadas, si est disponible. Borrar las cookies despus de haber terminado con las aplicaciones publicadas. Eliminar archivos temporales de Internet. Elimine los archivos temporales que crea la Oficina cuando se trabaja con Microsoft Office SharePoint Portal Server. Elimine todos los archivos que se descargan de forma manual a la caseta. Cierre todas las ventanas del navegador. Cerrar sesin en Windows, si es posible.

Manual de Seguridad ISA Server 2006

Documents

Transcript of Manual de Seguridad ISA Server 2006