Microsoft ISA Server 2000, edicin estndar: gua de instalacin

y distribucin
Prefacio: acerca de esta gua
Internet ofrece a las organizaciones nuevas oportunidades para conectarse con sus clientes, asociados y empleados.
Aunque ello presenta grandes oportunidades, tambin introduce nuevos riesgos y preocupaciones en cuanto a la
seguridad, el rendimiento y la facilidad de administracin. Microsoft Internet Security and Acceleration (ISA Server
resuelve las necesidades de los negocios actuales basados en Internet. ISA Server incluye un servidor de seguridad
multicapa que le ayuda a proteger sus recursos de red. !a cac" #eb de ISA Server permite a las organizaciones
a"orrar anc"o de banda y me$orar la velocidad de acceso a #eb de los usuarios al proporcionarles los ob$etos desde
un origen local, en lugar de "acerlo desde Internet, que en ocasiones est% saturada.
&anto si se implementa como componentes dedicados o como un servidor de seguridad y de cac" integrado, ISA
Server proporciona una consola de administracin unificada que simplifica la administracin de la seguridad y el
acceso. ISA Server, creado para la plataforma #indo's ())), proporciona cone*iones r%pidas y seguras con Internet y
eficaces "erramientas de administracin integradas.
ISA Server puede resultar valioso para los administradores de tecnolog+as de la informacin, administradores de redes
y profesionales de la seguridad de la informacin de organizaciones de cualquier tama,o a los que le preocupe la
seguridad, el rendimiento, la facilidad de administracin o los costos operativos de sus redes. ISA Server puede
utilizarse en una gran variedad de escenarios, desde peque,as oficinas y sucursales a proveedores de servicios
Internet (IS- y compa,+as de "ospeda$e de p%ginas #eb, as+ como sitios de comercio electrnico.
Audiencia objetivo
.sta gu+a est% dirigida a aquellos profesionales de sistemas, administradores de redes y usuarios avanzados de
peque,as empresas que deseen aprender a instalar e implementar ISA Server en su red. !a gu+a supone que tiene
ciertos conocimientos de los conceptos b%sicos de redes, incluidos /0S, /12-, enrutamiento y acceso remoto, redes
&2-3I- (-rotocolo de 2ontrol de &ransporte3-rotocolo Internet y otros componentes para redes de #indo's.
Prosito de esta gua
.sta gu+a presenta una introduccin a ISA Server y proporciona la informacin necesaria para planear la
implementacin del soft'are.
!a gu+a tambin incluye procedimientos detallados acerca del proceso de instalacin, listas de comprobacin para la
configuracin posterior a la instalacin y e$emplos detallados de escenarios de cmo puede utilizarse ISA Server en su
red.
.sta gu+a est% organizada en los siguientes cap+tulos4
.l cap+tulo 5, 6Introduccin6, presenta ISA Server y describe sus caracter+sticas.
.l cap+tulo (, 62onsideraciones de dise,o6, describe los aspectos que se deben tener en cuenta antes de
instalar ISA Server. !e ayudar% a determinar el n7mero de equipos con ISA Server que debe instalar y con qu
configuracin.
1
.l cap+tulo 8, 6Instalar ISA Server6, le gu+a por el proceso de instalacin. .*plica en detalle la configuracin de
"ard'are y el proceso de instalacin.
.l cap+tulo 9, 6Migrar desde Microsoft -ro*y Server (.)6, e*plica cmo se pueden migrar las directivas y
configuraciones e*istentes de -ro*y Server (.) a una configuracin de ISA Server.
.l cap+tulo :, 6Actualizar a ISA Server, .nterprise .dition6, describe cmo realizar la actualizacin a ISA
Server, .nterprise .dition.
.l cap+tulo ;, 6Instalar y configurar los clientes6, describe los clientes de ISA Server y e*plica los pasos que
debe realizar para configurarlos.
.l cap+tulo <, 6.scenarios de implementacin6, muestra algunas configuraciones de red "abituales y detalla
los pasos que debe realizar para implementarlos con ISA Server.
!atulo ": Introduccin
.ste cap+tulo ofrece una introduccin a Microsoft Internet Security and Acceleration (ISA Server. &ambin describe
algunos escenarios "abituales en los que podr+a utilizar ISA Server en su red.
.n este cap+tulo se incluyen las siguientes secciones4
Introduccin a ISA Server
2aracter+sticas y escenarios de uso
Introduccin a ISA Server
2on el creciente aumento de las actividades empresariales en Internet y el cada vez mayor n7mero de redes
corporativas conectadas a ella, cada vez es m%s necesario disponer de una puerta de enlace a Internet eficaz y f%cil de
utilizar que proporcione una cone*in segura al tiempo que me$ore el rendimiento de la red. ISA Server satisface estas
necesidades al ofrecer una solucin de cone*in a Internet que contiene tanto un servidor de seguridad como una
solucin de cac" #eb completa. .stos servicios se complementan mutuamente4 puede utilizar cualquiera de estas
funciones o ambas a la vez al instalar ISA Server en su red.
ISA Server protege su red y permite implementar la directiva de seguridad de su empresa mediante un amplio
con$unto de reglas que permiten especificar qu sitios, protocolos y contenido pueden pasar a travs del equipo con
ISA Server. ISA Server supervisa las solicitudes y las respuestas transmitidas entre Internet y los equipos cliente
internos, y controla quin tiene acceso a qu equipos de la red corporativa. ISA Server tambin controla a qu equipos
de Internet tienen acceso los clientes internos.
ISA Server ofrece muc"as opciones de seguridad, como el filtrado de paquetes y la deteccin de intrusiones. -uede
crear directivas de acceso basadas en la informacin de nivel de usuario o en las direcciones I- (-rotocolo Internet y
controlar cu%ndo se aplican las reglas.
Adem%s, ISA Server permite la publicacin segura en Internet. -uede utilizar ISA Server para definir una directiva de
publicacin, proteger los servidores de publicacin internos y permitir que los clientes de Internet tengan acceso
seguro a los mismos.
2
ISA Server implementa una cac" para los ob$etos que se solicitan con m%s frecuencia. -uede configurar la cac" para
asegurarse de que contiene los datos utilizados con m%s frecuencia en su organizacin o los datos a los que los
clientes de Internet tienen acceso con m%s frecuencia.
ISA Server es ampliable. Administracin de ISA cuenta con la interfaz 2=M correspondiente, que los administradores
pueden programar mediante lengua$es de programacin de alto nivel o lengua$es de secuencias de comandos. As+,
otros desarrolladores pueden ampliar las funciones principales del servidor de seguridad e implementar filtros de
aplicaciones o de #eb. !as funciones de la cac" pueden me$orarse mediante la interfaz de programacin de
aplicaciones (A-I de la cac". !a interfaz Administracin de ISA puede ampliarse para proporcionar "erramientas de
administracin integradas para las e*tensiones creadas por terceras empresas.
!aractersticas y escenarios de uso
Microsoft cont con la colaboracin de sus clientes durante el dise,o del producto para lograr satisfacer las
necesidades de los negocios de "oy en d+a, preparados para Internet4 seguridad, rendimiento y facilidad de
administracin. .n las siguientes secciones se e*aminan algunos escenarios comunes y se e*plica cmo utilizar las
caracter+sticas de ISA Server para implementarlos en su red.
!one#in a Internet de alta seguridad
ISA Server puede implementarse como un servidor de seguridad dedicado que act7a como una puerta de enlace
segura con Internet para los clientes internos. Mediante la configuracin de las directivas de acceso, los
administradores pueden evitar accesos no autorizados y que entre en la red contenido peligroso, as+ como restringir el
tr%fico de salida.
ISA Server es una completa solucin para proteger el acceso a la red. ISA Server incluye las siguientes caracter+sticas
de seguridad y del servidor de seguridad4
Directiva de acceso al exterior. -uede utilizar ISA Server para configurar reglas para sitios, contenido y
protocolos que permiten controlar el acceso de los clientes internos a Internet. !as reglas de sitios y contenido
especifican a qu sitios y a qu contenido se puede tener acceso. !as reglas de protocolo indican si se puede
utilizar un determinado protocolo para las comunicaciones entrantes o salientes.
Deteccin de intrusiones. !os mecanismos integrados de deteccin de intrusiones pueden avisarle cuando se
inicie un determinado tipo de ataque contra su red. -or e$emplo, puede configurar el equipo en el que est
instalado ISA Server para avisarle si se detecta un intento de e*ploracin de puertos.
Asistente de seguridad del sistema. .l Asistente de seguridad de ISA Server permite bloquear #indo's ()))
con el nivel de seguridad adecuado, seg7n las plantillas predefinidas.
Filtros de aplicacin. ISA Server analiza y controla el tr%fico espec+fico de aplicacin mediante filtros que
inspeccionan los datos y distinguen cada aplicacin. -uede "abilitar el filtrado inteligente para el -rotocolo de
transferencia de "iperte*to (1&&-, el -rotocolo de transferencia de arc"ivos (>&-, el -rotocolo simple de
transferencia de correo (SM&-, el correo electrnico, el protocolo de conferencias 1.8(8, las secuencias
multimedia, las llamadas a procedimientos remotos (?-2 y muc"os otros.
Compatibilidad con VPN. ISA Server incluye un sistema de acceso remoto seguro, basado en est%ndares,
mediante los servicios integrados de red privada virtual (@-0 de Microsoft #indo's ())).
3
Acceso a Internet roductivo
.l acceso a Internet es una "erramienta para los traba$adores del conocimiento de "oy. /ebido al gran volumen de
tr%fico de Internet que cruza las puertas de enlace de una red, el rendimiento del acceso al #eb puede convertirse en
un cuello de botella para la productividad. !as funciones de cac" #eb de ISA Server me$oran el rendimiento del
acceso al #eb gracias al almacenamiento en cac" del contenido de Internet en una ubicacin m%s cercana al cliente.
Adem%s, mediante los controles de acceso basados en directivas, los administradores pueden limitar los sitios #eb a
los que tienen permiso de acceso determinados usuarios seg7n la "ora del d+a, el tipo de contenido y muc"as otras
opciones. Aracias al almacenamiento en cac" y el control de acceso, ISA Server puede ayudar a reducir el costo de
administrar la cone*in a Internet y me$orar la productividad de los usuarios que necesitan acceso a Internet. ISA
Server utiliza una cac" de almacenamiento en memoria ?AM y un sistema de entrada y salida de arc"ivos eficaz para
que la cac" proporcione un rendimiento elevado.
.ntre las funciones de cac" de ISA Server se incluyen4
Almacenamiento en cach jerruico. ISA Server permite establecer una $erarqu+a de cac"s, mediante el
encadenamiento de equipos con ISA Server, que permite que los clientes tengan acceso desde la cac" que est
m%s pr*ima geogr%ficamente.
Cach inversa. ISA Server puede almacenar en cac" el contenido 1&&- y >&- de los servidores de
publicacin, lo que me$ora su accesibilidad.
Almacenamiento en cach programado. -uede utilizar el servicio de descarga de contenido de cac"
programado para configurar el momento en el que el equipo con ISA Server debe descargar desde Internet a su
cac" el contenido que se solicita con m%s frecuencia.
!o$ercio electrnico y ublicacin ridos y escalables
&anto si su organizacin proporciona servicios de comercio electrnico a travs de Internet como si se trata de una
gran organizacin que desea ampliar su negocio, Internet es una parte esencial de su estrategia de negocio. !as
organizaciones no pueden permitirse tener sitios #eb de comercio electrnico lentos y que no respondan
correctamente, especialmente a"ora que la competencia directa slo est% a un clic con el mouse (ratn. !a cac" #eb
de ISA Server proporciona a los usuarios una e*periencia #eb r%pida que crece con su negocio. .l almacenamiento en
cac" tambin est% disponible para los clientes de Internet que solicitan ob$etos de los equipos de la red local.
ISA Server permite publicar servicios en Internet sin poner en peligro la seguridad de la red interna. -uede configurar
reglas de publicacin en #eb y en servidores que determinen qu solicitudes se deben enviar directamente a un
servidor ubicado detr%s del equipo con ISA Server, lo que proporciona una capa de seguridad adicional para los
servidores internos.
-uede utilizar las siguientes caracter+sticas de ISA Server para publicar informacin en los servidores4
Publicacin segura en !eb. !as reglas de publicacin en #eb permiten el acceso seguro a los servidores #eb
internos. As+ mismo, conceden a los clientes e*ternos acceso a los servidores internos, al tiempo que los protegen
frente a accesos no autorizados.
4
Publicacin segura en el servidor de aplicaciones. !as reglas de publicacin en servidores permiten que
determinados clientes tengan acceso a los servidores internos, sin necesidad de realizar en el servidor de
publicacin tediosos procedimientos de configuracin o instalacin.
ISA Server incluye un Asistente para la seguridad del servidor de correo, que facilita la configuracin de .*c"ange
Server en la red local.
Ad$inistracin unificada
!a administracin separada de la seguridad y del almacenamiento en cac" suele requerir con$untos diferentes de
tecnolog+as de red, equipos de infraestructura y administradores, lo que aumenta la comple$idad, el costo y las
inco"erencias. !a "erramienta de administracin unificada, basada en directivas, que se incluye en ISA Server ayuda a
los administradores a administrar y proteger la cone*in a Internet desde una ubicacin centralizada, lo que reduce la
comple$idad de la red y el costo de propiedad total.
!as organizaciones suelen salir beneficiadas cuando las directivas de almacenamiento en cac" y del servidor de
seguridad son co"erentes. !a integracin de la administracin en ISA Server permite utilizar una misma vista para
estas directivas, en lugar de tener que administrar de forma independiente la infraestructura de almacenamiento en
cac" y del servidor de seguridad.
!atulo 2: !onsideraciones de dise%o
.ste cap+tulo se centra en la informacin que necesita para dise,ar e implementar Microsoft Internet Security and
Acceleration (ISA Server en su organizacin. Aunque proporciona gran parte de la informacin necesaria para la
implementacin de ISA Server, no pretende abarcar todos los aspectos relacionados con las redes.
.n la tabla siguiente se enumeran los factores que debe tener en cuenta a la "ora de planear la implementacin de
ISA Server.
Asecto &escricin !onsulte
B2u%ntos equipos necesitoC !a configuracin de "ard'are y la cone*in a
Internet depende de cmo utilice ISA Server.
6/irectrices para planear
la capacidad6
BDu caracter+sticas de ISA
Server necesitarC
-uede elegir las caracter+sticas de ISA Server
que desea instalar para resolver las necesidades
espec+ficas de su red.
6Seleccionar las
caracter+sticas de ISA
Server6
B2u%les son los requisitos de
los usuariosC
/etermine qu aplicaciones y servicios
necesitan los usuarios para poder decidir la
configuracin apropiada para los clientes.
6.valuar los requisitos de
los clientes6
B/ebo volver a configurar la
red e*istenteC
2onsidere la forma en la que interactuar% ISA
Server con la red e*istente.
2onsideraciones acerca de
la red e*istente
.n este cap+tulo se incluyen las siguientes secciones4
/irectrices para planear la capacidad
Seleccionar las caracter+sticas de ISA Server
.valuar los requisitos de los clientes
Interaccin con otros servicios de red
5
&irectrices ara lanear la caacidad
Si desea me$orar el rendimiento, debe dise,ar el "ard'are de ISA Server y la cone*in a Internet para poder atender
la carga esperada. .n las siguientes secciones se describen las configuraciones recomendadas para los sistemas
utilizados en diferentes escenarios.
'e(uisitos $ni$os
-ara utilizar ISA Server necesita4
-2 con un procesador compatible con -entium II a 8)) M1z o m%s r%pido.
2omo sistema operativo, el equipo debe utilizar Microsoft #indo's ())) Server, con el Service -acE 5 o una
versin posterior, #indo's ())) Advanced Server con el Service -acE 5 o una versin posterior, o #indo's ()))
/atacenter Server.
(:; megabytes (MF de memoria ?AM
() MF de espacio disponible en disco duro
Adaptador de red compatible con #indo's ())) para las comunicaciones con la red interna
Gna particin del disco duro local formateada con el sistema de arc"ivos 0&>S
.l equipo en el que se instale ISA Server puede utilizar un m%*imo de cuatro procesadores. ISA Server no se instalar%
en un equipo que tenga m%s de cuatro procesadores.
Si va a utilizar ISA Server en los modos de servidor de seguridad o integrado, necesitar% dos adaptadores de red.
)ota Gtilice siempre la versin m%s reciente de los Service -acE.
'e(uisitos ara ad$inistracin re$ota
-ara la administracin remota de ISA Server slo necesita instalar Administracin de ISA, que puede e$ecutarse en
#indo's ())) -rofessional o versiones posteriores.
.n su lugar, puede instalar Servicios de &erminal Server en modo de Administracin remota en el equipo que e$ecuta
ISA Server. Si lo "ace, no tendr% que instalar la "erramienta Administracin de ISA en otro equipo para poder realizar
las funciones de administracin remota. .n su lugar, puede utilizar una sesin de Servicios de &erminal Server para
administrar ISA Server.
'e(uisitos del al$acena$iento en cac*+ directa
ISA Server puede implementarse como un servidor de cac" directa, lo que permite mantener una cac" centralizada
con los ob$etos de Internet que se solicitan con frecuencia, y a la que puede tener acceso cualquier e*plorador #eb
cliente. .n este caso, tenga en cuenta el n7mero de clientes e*ploradores #eb que tendr%n acceso a Internet. !a
siguiente tabla enumera las configuraciones de "ard'are correspondientes al n7mero de clientes internos que se
espera que tengan acceso a los ob$etos de Internet.
),$ero de
usuarios
-(uio con ISA Server
Me$oria 'AM
.en M/0
-sacio en disco asignado
a la cac*+
1asta :)) Gn 7nico equipo con ISA Server con un
procesador -entium II a 8)) M1z
(:; .ntre ( y 9 Aigabytes (AF
6
:)) H 5,))) Gn 7nico equipo con ISA Server con
dos procesadores -entium III a ::)
M1z
(:; 5) AF
M%s de 5))) /os equipos con ISA Server, cada uno
con procesadores -entium III a ::)
M1z
(:; para cada
servidor
5) AF para cada servidor
Si el n7mero de usuarios es superior a 5))), tenga en cuenta la posibilidad de utilizar el "ard'are con procesadores
m%s r%pidos y m%s memoria o de agregar m%s equipos con ISA Server. -ara obtener m%s informacin, consulte
6Agregar m%s equipos6.
Si instala m%s de un equipo con ISA Server, considere la posibilidad de actualizarlos a ISA Server, .nterprise .dition, lo
que le permitir% agruparlos en matrices. -ara obtener m%s informacin, consulte el cap+tulo :, 6Actualizar a ISA Server,
.nterprise .dition6.
'e(uisitos ara la ublicacin .cac*+ inversa0
ISA Server puede utilizar una cac" para los usuarios e*ternos que solicitan datos. -or e$emplo, puede instalarlo entre
Internet y el servidor #eb de una organizacin en el que se alo$e un sitio #eb comercial o que proporcione acceso a
los asociados comerciales. .n este caso, debe tener en cuenta la frecuencia con la que los clientes e*ternos solicitan
ob$etos a los servidores de publicacin.
!a siguiente tabla enumera las configuraciones de "ard'are correspondientes al n7mero de solicitudes esperado desde
usuarios de Internet (e*ternos, para un escenario de cac" inversa.
Accesos or segundo -(uio con ISA Server
Menos de 5)) Gn 7nico equipo con ISA Server con un procesador -entium II a 8)) M1z
1asta (:) Gn 7nico equipo con ISA Server con un procesador -entium III a 9:) M1z
M%s de (:) .quipo con ISA Server con un procesador -entium III a ::) M1z
Gn equipo con ISA Server adicional por cada (:) accesos por segundo
adicionales. &ambin puede utilizar el Monitor de rendimiento para determinar
los cuellos de botella y agregar m%s servidores o "ard'are m%s eficaz, seg7n
sea necesario.
!os requisitos de memoria de acceso aleatorio (?AM dependen del tama,o del contenido publicado que se almacenar%
en la cac". .n condiciones ideales, todo el contenido almacenado en la cac" debe caber en la memoria. -or e$emplo,
si el sitio #eb que publica tiene (:) MF de contenido, bastar% con (:; MF de memoria ?AM.
Agregar $s e(uios
-uede utilizar los requisitos para planear la capacidad que se detall anteriormente como directriz general para
determinar el n7mero de equipos con ISA Server necesarios. .n algunos casos, tendr% que afrontar la decisin de si
conviene m%s agregar un equipo con ISA Server adicional o aumentar el rendimiento del equipo ya e*istente con un
procesador adicional. 2ada una de estas opciones presenta distintas venta$as.
Si agrega un nuevo equipo, tenga en cuenta la posibilidad de actualizarse a ISA Server, .nterprise .dition, de manera
que pueda crear una matriz de equipos con ISA Server. !as matrices le ayudar%n a crear un sistema con mayor
tolerancia a errores. Si se produce un error en uno de los equipos, el otro seguir% funcionando. Adem%s, la
7
administracin centralizada de las matrices de ISA Server "ace que al agregar nuevos servidores a la matriz los
problemas de administracin sean muc"o menores.
-or otra parte, si agrega otro equipo tendr% que adquirir y administrar "ard'are adicional, as+ como otro soft'are
instalado en el equipo (como el sistema operativo.
Seleccionar las caractersticas de ISA Server
ISA Server puede instalarse con las caracter+sticas de servidor de seguridad y cac". &ambin puede instalar
7nicamente las funciones de servidor de seguridad o las de cac". /urante el proceso de instalacin tendr% que elegir
el modo de instalacin4 servidor de seguridad, cac" o integrado.
.n el modo de servidor de seguridad puede configurar reglas que controlen las comunicaciones entre su red
corporativa e Internet, para as+ protegerlas. .n este modo, tambin puede publicar servidores internos para compartir
los datos de los mismos con los usuarios de Internet.
.n el modo de cac", puede me$orar el rendimiento de la red y a"orrar anc"o de banda si almacena m%s cerca de los
usuarios los ob$etos a los que tienen acceso con mayor frecuencia. -uede enrutar las solicitudes de los usuarios de
Internet al servidor #eb m%s adecuado.
.n el modo integrado est%n disponibles todas las caracter+sticas de cac" y servidor de seguridad. -uede configurar
una directiva que tenga en cuenta tanto las necesidades de rendimiento de la cac" como las necesidades de
seguridad.
Seg7n el modo que seleccione, dispondr% de diferentes caracter+sticas. !a siguiente tabla enumera qu caracter+sticas
est%n disponibles en los modos de servidor de seguridad y de cac". .n el modo integrado est%n disponibles todas las
caracter+sticas.
Seleccionar las caracter+sticas de ISA Server
!aracterstica
Servidor de
seguridad
!ac*+
/irectiva de acceso S+ S+ (slo los protocolos 1&&- y 1&&-S
>iltros de aplicacin S+ 0o
2onfiguracin de cac" 0o S+
2ompatibilidad con los clientes
Secure0A& y del servidor de seguridad
S+ 0o
>iltrado de paquetes S+ 0o
Supervisin en tiempo real S+ S+
Informes S+ S+
-ublicacin de servidores S+ 0o
?ed privada virtual S+ 0o
>iltros #eb S+ S+
-ublicacin en #eb S+ S+
8
2ompatibilidad con clientes de pro*y
#eb
S+ S+
-valuar los re(uisitos de los clientes
ISA Server admite los siguientes tipos de clientes4
Clientes de prox" !eb. !os clientes de pro*y #eb env+an las solicitudes directamente a ISA Server, pero el
acceso a Internet est% limitado al e*plorador. -uede configurar como cliente de pro*y #eb cualquier e*plorador
#eb compatible con 1&&- 5.5.
Clientes #ecureNA$. !os clientes de &raduccin de direcciones de red segura (Secure0A& proporcionan
seguridad y almacenamiento en cac", pero no permiten realizar la autenticacin en el nivel de usuario. -ara
configurar un cliente Secure0A& slo tiene que establecer la puerta de enlace predeterminada en el equipo cliente
como la direccin de -rotocolo Internet (I- del equipo con ISA Server. 2omo para configurar los clientes
Secure0A& slo es necesario cambiar la puerta de enlace predeterminada, cualquier equipo que utilice el -rotocolo
de 2ontrol de &ransporte3-rotocolo Internet (&2-3I- puede ser un cliente Secure0A&.
Clientes de servidor de seguridad. !os clientes de servidor de seguridad restringen el acceso de cada usuario
al e*terior para las solicitudes que utilizan &2- y el -rotocolo de datagramas de usuario (G/-. -ara configurar un
cliente de servidor de seguridad debe instalar el soft'are correspondiente en cada equipo cliente. Slo puede
instalar el programa cliente del servidor de seguridad en aquellos equipos que utilicen Microsoft #indo's
Millennium .dition, Microsoft #indo's I: =S?(, Microsoft #indo's IJ, #indo's 0& 9.) o #indo's ())).
Antes de instalar o configurar el soft'are cliente, eval7e las necesidades de su organizacin. /etermine qu
aplicaciones y servicios necesitan sus clientes internos. .val7e cmo se realizar% la publicacin en los servidores y
compare estas necesidades con los tipos de cliente compatibles con ISA Server.
Si desea: 1tilice:
Me$orar el rendimiento de las solicitudes #eb
para los clientes internos
2lientes de pro*y #eb.
.vitar la instalacin de soft'are cliente o la
configuracin de equipos cliente
2lientes Secure0A&. !os clientes Secure0A& no necesitan
ninguna configuracin espec+fica ni ning7n soft'are
Me$orar el rendimiento #eb en un entorno en
el que no se utilizan sistemas operativos de
Microsoft
2lientes Secure0A&. !as solicitudes de los clientes
Secure0A& se pasan de forma transparente al servicio de
servidor de seguridad de ISA Server y, a continuacin, al
servicio de almacenamiento en cac".
-ublicar en servidores ubicados en la red
interna
2lientes Secure0A&. !os servidores internos se pueden
publicar como clientes Secure0A&, lo que elimina la
necesidad de crear opciones de configuracin especiales
en cada servidor. 0o se recomienda configurar los
servidores de publicacin como clientes de servidor de
seguridad.
-ermitir el acceso a Internet slo a los
usuarios autenticados
2lientes de servidor de seguridad. .n los clientes de
servidor de seguridad puede configurar reglas para la
directiva de acceso basadas en los usuarios
Interaccin con otros servicios de red
.s posible que anteriormente utilizara .nrutamiento y acceso remoto en #indo's ())) Server para poner a
disposicin de los clientes remotos los equipos y los servicios de red. ISA Server proporciona la cone*in remota y
9
ampl+a las caracter+sticas de .nrutamiento y acceso remoto gracias a las funciones de seguridad que incorpora, m%s
completas y fle*ibles. .l filtrado de paquetes de ISA Server reemplaza al de .nrutamiento y acceso remoto. ISA Server
utiliza las cone*iones de acceso telefnico configuradas para .nrutamiento y acceso remoto.
/el mismo modo, es posible que antes utilizara las caracter+sticas 2one*in compartida a Internet (I2S o &raduccin
de direcciones de red (0A& de #indo's ())) para el acceso a Internet. .n lugar de 0A& o I2S, a"ora puede utilizar
ISA Server, que sustituye y me$ora sus funciones en la organizacin. ISA Server proporciona las mismas funciones de
cone*in que 0A& o I2S y agregar sofisticadas funciones de seguridad y almacenamiento en cac".
!atulo 2: Instalar ISA Server
.sta cap+tulo le ayudar% a instalar Microsoft Internet Security and Acceleration (ISA Server.
.n este cap+tulo se incluyen las siguientes secciones4
Antes de instalar ISA Server
Instalar ISA Server
-asos siguientes
Antes de instalar ISA Server
Antes de instalar ISA Server debe instalar el "ard'are y configurar el soft'are en el equipo en el que se e$ecutar%.
Gtilice la informacin de las siguientes secciones para asegurarse de cumplir los requisitos previos a la instalacin de
ISA Server. -ara obtener informacin adicional acerca de una tarea, consulte la documentacin incluida con el
"ard'are o con Microsoft #indo's ())).
!onfigurar el adatador de red
-uede elegir si desea conectar su red a Internet a travs de una cone*in directa (como una cone*in &5, &8, */S! o
mdem de cable o una cone*in de acceso telefnico. Si elige una cone*in directa, debe configurar un adaptador de
red que conecte el equipo con ISA Server a Internet.
Al configurar las propiedades &2-3I- del adaptador de red e*terna, consulte a su IS- cu%les son las opciones correctas.
/ebe tener una direccin I-, una m%scara de subred, una puerta de enlace predeterminada y direcciones I- para los
servidores /0S que se utilizar%n en las b7squedas de nombres /0S. .n algunos casos, es posible que su IS- utilice
/12- o el protocolo bootstrap (F==&- para la asignacin din%mica de direcciones de los clientes.
0ormalmente, ISA Server slo tendr% una puerta de enlace I- predeterminada. Slo debe configurar la direccin I- de
la puerta de enlace predeterminada en el adaptador de red e*terna, no en el de la red interna. /e$e en blanco la
opcin de puerta de enlace predeterminada de la tar$eta interna.
2onsulte la Ayuda en pantalla de #indo's para obtener instrucciones acerca de cmo configurar los adaptadores de
red.
!onfiguracin 3!P4IP
10
Al configurar las propiedades &2-3I- de un adaptador de red interna, debe escribir una direccin I- reservada de
manera permanente para el equipo con ISA Server y una m%scara de subred apropiada para su red local. .l adaptador
de red interna no debe utilizar el sistema de asignacin din%mica de direcciones /12-, ya que puede restablecer la
puerta de enlace predeterminada que seleccione para el equipo con ISA Server. .l adaptador de red e*terna puede
utilizar /12- o su direccin I- puede definirse de manera est%tica, incluidas las opciones predeterminadas de puerta
de enlace y /0S.
Gna vez terminada la configuracin, puede emplear la utilidad -ing.e*e incluida con #indo's ())) Server u otra
"erramienta similar en otro equipo cliente I- interno para comprobar la conectividad de red y saber si los adaptadores
de red y el resto del "ard'are est%n configurados correctamente.
!onfigurar un $de$ o un adatador IS&) .'&SI0
Si decide establecer la cone*in con Internet a travs de una cone*in de acceso telefnico, en lugar de utilizar un
enlace directo mediante un adaptador de red e*terno, debe utilizar en el servidor un mdem o un adaptador IS/0
(?/SI, ?ed digital de servicios integrados.
/ependiendo del adaptador IS/0 que eli$a, podr% o no ver los dos canales IS/0 en #indo's ())). 0ormalmente, los
controladores de la tar$eta IS/0 administran la cone*in del segundo canal seg7n el anc"o de bandaK no es posible
utilizar #indo's ())) para administrar el controlador. Aseg7rese de que el adaptador de red est% preparado para
poder configurar ambos canales y que su IS- permite la cone*in mediante ambos canales.
-ara obtener m%s informacin acerca de cmo configurar un adaptador IS/0 o un mdem, consulte la Ayuda de
#indo's ())).
3abla de enruta$iento de 5indo6s 2000
!a tabla de direcciones locales (!A& es una tabla de todos los intervalos de direcciones I- que se utilizan en la red
interna situada detr%s del equipo con ISA Server. ISA Server utiliza la !A& para controlar cmo se comunican los
equipos de la red interna con las redes e*ternas y decide qu adaptadores de red deben estar protegidos mediante la
carga del controlador del filtro de paquetes.
ISA Server puede construir la !A& bas%ndose en la tabla de enrutamiento de #indo's ())). &ambin puede
seleccionar los intervalos de direcciones I- privadas, como define Internet Assigned 0umbers Aut"ority (IA0A en el
documento ?>2 5I5J. .stos tres bloques de direcciones se reservan para intranets privadas 7nicamente y nunca se
utilizan en la parte p7blica de Internet.
Si el equipo se conecta a una red interna enrutada y no conoce con seguridad la topolog+a de enrutamiento o cmo
agregar rutas est%ticas, puede crear manualmente la tabla para que incluya los intervalos de direcciones I- utilizados
por sus clientes internos.
2omo no es posible configurar una puerta de enlace predeterminada en la interfaz interna del equipo con ISA Server,
tendr% que crear rutas est%ticas para que la red interna pueda estar totalmente conectada. -ara ello, puede utilizar el
comando ?=G&. desde un s+mbolo del sistema.
11
Si la !A& est% configurada correctamente, se asegurar% de que el equipo con ISA Server determina correctamente qu
adaptador de red debe utilizar para tener acceso a cada parte de su red interna. Si no puede configurar correctamente
la tabla de enrutamiento, la !A& tampoco se podr% crear correctamente. Si sucede, una solicitud de una direccin I-
interna de un cliente podr+a enrutarse por error a Internet o redirigirse a travs del servicio del servidor de seguridad.
Si es necesario, una vez terminada la instalacin, puede modificar manualmente la !A& para incluir todos los dem%s
segmentos de red internos de la organizacin, incluidos aquellos que se encuentren al otro lado de enrutadores
internos, de manera que el equipo con ISA Server y los clientes del servidor de seguridad puedan determinar
correctamente cu%ndo deben utilizar ISA Server y cu%ndo deben obtener acceso directo a un recurso.
Al crear una !A& slo debe incluir las direcciones de la red privada. .sto significa que no debe agregar la interfaz
e*terna del equipo con ISA Server, ning7n sitio de Internet ni ninguna otra direccin e*terna, incluida la del servidor
/0S de su -roveedor de servicios Internet, etc. Si la !A& no est% configurada correctamente, su red podr+a ser
vulnerable ante un ataque.
!a !A& se mantiene de forma centralizada en el equipo con ISA Server. !os clientes de servidor de seguridad
descargan y reciben autom%ticamente las actualizaciones de la !A& en los intervalos peridicos preestablecidos.
Instalar ISA Server
2uando instale ISA Server se le pedir% la siguiente informacin.
Clave del CD %CD &e"'4 es el n7mero de 5) d+gitos que aparece en la parte posterior de la ca$a del 2/L?=M
de ISA Server.
(pciones de instalacin. -uede seleccionar la instalacin .st%ndar, 2ompleta o -ersonalizada.
)odo. -uede instalar ISA Server en modo de servidor de seguridad, de cac" o integrado.
Con*iguracin de la cach. Si instala ISA Server en los modos integrado o de cac", debe configurar que
unidades de cac" desea utilizar y el tama,o de la cac".
Con*iguracin de la tabla de direcciones locales %+A$'. Si instala ISA Server en los modos integrado o de
servidor de seguridad, debe configurar los intervalos de direcciones que se incluir%n en la !A&.
I$ortante Antes de instalar ISA Server, aseg7rese de "a instalado el Service -acE 5 o posterior de #indo's ())).
-ara instalar el soft'are de servidor
5. Inserte el 2/L?=M de ISA Server en la unidad de 2/L?=M o e$ecute ISAautorun.e*e desde la carpeta
compartida de la red.
(. .n el programa de instalacin de Microsoft ISA Server, "aga clic en Instalar el servidor ISA.
8. Si acepta los trminos y condiciones indicados en el contrato de licencia para el usuario final, "aga clic en
!ontinuar.
9. .scriba el n7mero de identificacin del producto que aparece en la ca$a del producto.
:. !ea el 2ontrato de licencia para el usuario final y, a continuacin, si est% de acuerdo con sus trminos y
condiciones, "aga clic en Aceto.
;. 1aga clic en Instalacin est%ndar, Instalacin completa o Instalacin personalizada.
Si "ace clic en Instalacin ersonali7ada, active las casillas de verificacin correspondientes a los componentes
de ISA Server que desea instalar. -uede elegir entre las siguientes4
12
o Servicios del servidor ISA
o Servicios de complementos
o 1erramientas de administracin
<. 1aga clic en el modo del servidor ISA que desee instalar.
J. 2uando el programa de instalacin le avise de que detendr% Servicios de Internet Information Server (IIS, si
decide instalar ISA Server en el modo de cac" o en el modo integrado, configure las unidades de cac".
I. Si instala ISA Server en modo de servidor de seguridad o en modo integrado, configure la !A&.
5). Si desea e$ecutar el Asistente de introduccin al e$ecutar ISA Server, active la casilla de verificacin Iniciar el
Asistente ara la introduccin al ad$inistrador de ISA.
)ota
5. .l programa de instalacin detiene el servicio #eb de IIS, ya que su puerto predeterminado es el J), el
est%ndar de 1&&-. ISA Server utiliza este puerto para permitir la publicacin en #eb y en el que escuc"ar% las
solicitudes #eb de los clientes internos y e*ternos una vez creadas las reglas de publicacin en #eb.
(. /urante la instalacin de ISA Server puede seleccionar las unidades de disco disponibles para la cac". /e
manera predeterminada, el proceso de instalacin busca la particin 0&>S de mayor tama,o y configura un
tama,o predeterminado de cac" de 5)) megabytes (MF si "ay, como m+nimo, 5:) MF disponibles. Al configurar
las unidades de cac" debe asignar, como m+nimo, una unidad formateada con el sistema de arc"ivos 0&>S y :
MF en dic"a unidad para la cac". Sin embargo, se recomienda asignar al menos 5)) MF y agregar otros ),: MF
por cada cliente que utilice los protocolos 1&&- o >&-, y redondear la cantidad al megabyte superior.
Pasos siguientes
/espus de la instalacin, ISA Server bloquea de manera efectiva todas las comunicaciones entre la red corporativa e
Internet. 1asta que configure una directiva de acceso, con las reglas de protocolos, sitio y contenido que permitan
espec+ficamente el acceso, no se permitir% ninguna comunicacin. /el mismo modo, debe configurar las reglas de
publicacin si desea permitir a los clientes de Internet el acceso a los equipos de su red interna.
!onfiguracin redeter$inada desu+s de la instalacin
Al terminar la instalacin ISA Server utiliza la configuracin predeterminada que se indica en la tabla siguiente.
!aracterstica !onfiguracin redeter$inada
-ermisos de
usuario
!os miembros del grupo Administradores del equipo local pueden configurar las
directivas.
&abla de
direcciones
locales
2ontiene las entradas que se especificaron durante el proceso de instalacin.
>iltrado de
paquetes
1abilitado en los modos de servidor de seguridad e integrado
/es"abilitado en el modo de cac".
2ontrol de acceso Gna regla predeterminada para sitios y contenido, llamada 6-ermitir regla6, permite que
todos los clientes siempre tengan acceso a todo el contenido de todos los sitios. Sin
embargo, como no "ay ninguna regla de protocolo definida, no se permite el paso de
ning7n tipo de tr%fico de red.
-ublicacin 0ing7n cliente e*terno tiene acceso a los servidores internos. Gna regla de publicacin
en #eb predeterminada rec"aza todas las solicitudes.
.nrutamiento &odas las solicitudes de clientes de pro*y #eb se obtienen directamente de Internet.
2ac" .l tama,o de la cac" es el especificado durante la instalacin. .l almacenamiento en
cac" est% "abilitado para 1&&- y >&-. !a cac" activa est% des"abilitada.
Alertas .st%n activas todas las alertas, e*cepto las siguientes4 Ataque de todos los puertos,
-aquetes eliminados, Infraccin de protocolos y Ataque por bombas G/-
2onfiguracin de
los clientes
Al instalarlos o configurarlos, los clientes de servidor de seguridad y de pro*y #eb
tienen "abilitada la opcin de descubrimiento autom%tico. !as aplicaciones para
13
e*ploradores #eb de los clientes de servidor de seguridad se configuran al instalar el
cliente de servidor de seguridad.
Asistente de introduccin
Gna vez instalado ISA Server, puede utilizarlo para implementar las directrices de seguridad corporativa y de acceso a
Internet. .l primer paso es crear los elementos de directiva que describen la red. Agrupe los equipos en con$untos de
direcciones de clientes y los usuarios en grupos de seguridad de #indo's ())). 2ree con$untos de destino que
incluyan equipos y dominios de Internet. /efina los protocolos que pueden utilizarse para comunicarse con Internet. A
continuacin, utilice los elementos de directiva que implementen las directrices corporativas al crear las reglas.
.l Asistente de introduccin le guiar% por los pasos necesarios para definir y configurar la directiva de ISA Server. Al
finalizar, ISA Server proteger% la cone*in de su red con Internet.
.l Asistente de introduccin le ayudar% a realizar las siguientes tareas4
2rear elementos de directiva, que despus utilizar% para crear reglas.
2rear reglas de protocolo, y reglas de sitio y contenido
.stablecer el nivel de seguridad del sistema y configurar el filtrado de paquetes.
2onfigurar el enrutamiento y el encadenamiento para determinar cmo se enrutan las solicitudes de los
clientes al servidor de destino.
2rear la directiva de cac" para determinar qu ob$etos se almacenan en la memoria cac".
/espus de configurar la directiva de ISA Server, lea el cap+tulo : para saber cmo instalar y configurar los clientes en
la red. A continuacin, lea el cap+tulo ; para ver escenarios de implementacin espec+ficos.
!atulo 8: Migrar desde Microsoft Pro#y Server 290
Microsoft Internet Security and Acceleration (ISA Server permite realizar una migracin completa a los usuarios de
Microsoft -ro*y Server (.). !a mayor+a de las reglas del servidor pro*y, las opciones de red, la configuracin de
supervisin y la configuracin de la cac" se migrar%n a ISA Server. ISA Server tambin es compatible con el soft'are
de los clientes de pro*y #insocE, adem%s de admitir su propio soft'are de cliente de servidor de seguridad, lo que
permite disponer de una variada base de clientes.
ISA Server presenta muc"as caracter+sticas nuevas y cambios con respecto a -ro*y Server (.). .stos cambios afectan
a la configuracin del servidor y a los escenarios de actualizacin. .ste cap+tulo presenta los principales elementos que
debe tener en cuenta un administrador como parte del proceso de actualizacin a ISA Server.
.n este cap+tulo se incluyen las siguientes secciones4
Motivos para la migracin
.l proceso de migracin
2onfiguracin de Microsoft -ro*y Server (.)
Motivos ara la $igracin
14
ISA Server es el sucesor de -ro*y Server (.), aunque es muc"o m%s que un 6pro*y6. Si se compara con -ro*y Server
(.), ISA Server incluye las siguientes caracter+sticas nuevas o con importantes me$oras4
Gn servidor de seguridad multicapa que incluye inspeccin de estados, compatibilidad con un gran n7mero de
aplicaciones y deteccin de intrusiones integrada
?ed privada virtual integrada
?efuerzo del sistema
Almacenamiento en cac" en memoria ?AM y almacn de cac" optimizado, incluida la descarga de contenido
programada
2onsola de administracin unificada, incluidos cuadros de tareas gr%ficos y asistentes para las tareas m%s
"abituales
&ransparencia para todos los clientes
2ompatibilidad con autenticacin avanzada, de paso a travs y Secure SocEets !ayer (SS!
>unciones de supervisin me$oradas, que incluyen alertas personalizadas, registro detallado y generacin de
informes
-lataforma ampliable, con un completo Mit de desarrollo de soft'are
-l roceso de $igracin
Antes de migrar una matriz de equipos con -ro*y Server (.), se recomienda quitar de la misma todos sus miembros.
2ada miembro conservar% un con$unto de reglas idntico, que se replic en todos los servidores de la matriz. Adem%s,
todos los servidores conservar%n la misma configuracin de red (por e$emplo, la configuracin de marcado a peticin
y de supervisin (por e$emplo, las alertas.
Al migrar de Microsoft -ro*y Server (.) a la edicin est%ndar de ISA Server no es posible instalar el servidor ISA como
miembro de una matriz. Si desea instalar ISA Server como miembro de una matriz, debe instalar ISA Server,
.nterprise .dition.
.*isten algunos aspectos adicionales que debe tener en cuenta al preparar la migracin de -ro*y Server (.) a ISA
Server.
0o es posible realizar una migracin directa desde -ro*y Server 5.), FacE=ffice Server 9.) o Small Fusiness
Server 9.).
0o e*iste una opcin autom%tica que permita volver a -ro*y Server (.) una vez que comience la actualizacin
a ISA Server.
ISA Server no es compatible con el protocolo I-N.
Antes de realizar la actualizacin desde -ro*y Server (.), realice una copia de seguridad completa de la
configuracin actual.
Adem%s, ISA Server slo puede instalarse en equipos en los que se e$ecute #indo's ())) Server o posterior. -or
tanto, si su versin actual de Microsoft -ro*y Server (.) se e$ecuta en #indo's 0& 9.), siga estos pasos4
5. /etenga y des"abilite todos los servicios de -ro*y Server. -ara ello, escriba net stop nombre,servicio en el
s+mbolo del sistema4 .stos son los servicios de servidor pro*y, con sus correspondientes nombres.
15
Servicio de Pro#y Server )o$bre de servicio
Servicio pro*y #insocE de Microsoft 'spsrv
Administracin de Microsoft -ro*y Server mspadmin
Servicio de notificacin de alertas del pro*y mailalrt
Servicio de publicacin en #eb '8svc
(. Actualice el sistema a #indo's ())). -uede que reciba un mensa$e que indica que -ro*y Server (.) no
funcionar% en #indo's ())). -uede pasarlo por alto. -ara obtener instrucciones m%s detalladas, consulte la
p%gina principal de -ro*y Server (.) en la direccin "ttp433'''.microsoft.com3pro*y3default.asp .
8. Oa puede iniciar la instalacin de ISA Server. -ara obtener instrucciones detalladas, consulte el cap+tulo 8.
2omo los servicios centrales que se necesitan para el funcionamiento del servidor de seguridad est%n inactivos durante
la instalacin, se recomienda desconectar de Internet el equipo en el que se realiza la actualizacin mientras dure el
proceso de instalacin.
!onfiguracin de Microsoft Pro#y Server 290
!a mayor+a de las reglas del servidor pro*y, las opciones de red, la configuracin de supervisin y la configuracin de
la cac" se migrar%n a ISA Server.
!adenas de ro#y
.s posible utilizar cadenas mi*tas de equipos con -ro*y Server (.) e ISA Server.
Si un equipo en el que se e$ecuta -ro*y Server (.) se encuentra detr%s de un equipo con ISA Server, slo se admite el
encadenamiento del pro*y #eb. -ro*y Server (.) no admite el encadenamiento del pro*y #insocE "acia delante.
Si el equipo con ISA Server es el que se encuentra detr%s en la cadena, es posible utilizar encadenamiento de pro*y
#eb y de servidor de seguridad. (.n -ro*y Server (.) el 6encadenamiento de servidores de seguridad6 se denominaba
6encadenamiento de pro*y #insocE6.
Solicitudes de los clientes del ro#y 5eb
-ro*y Server (.) escuc"aba las solicitudes 1&&- de los clientes en el puerto J), pero al instalar ISA Server escuc"a en
el puerto J)J) para el servicio pro*y #eb. -or tanto, todos los miembros posteriores de la cadena (o e*ploradores
que se conecten al equipo con ISA Server deben conectarse al puerto J)J). &ambin puede configurar ISA Server para
que escuc"e en el puerto J).
Publicacin
2on -ro*y Server (.) era necesario configurar los servidores de publicacin como clientes de pro*y #insocE. ISA
Server permite publicar servidores internos sin necesidad de realizar ninguna configuracin especial ni de instalar
16
soft'are en el servidor de publicacin. .n cambio, el equipo con ISA Server trata los servidores de publicacin como
clientes Secure0A&. !as reglas de publicacin en #eb y en servidores configuradas en el equipo con ISA Server
permiten que determinados clientes e*ternos dispongan de acceso seguro a los servidores. 0o es necesario realizar
ninguna configuracin adicional en el servidor de publicacin.
!ac*+
!a configuracin de la cac" de -ro*y Server (.) se migra a ISA Server, incluidas las especificaciones de unidad y
tama,o de la cac", y todas las dem%s propiedades.
Sin embargo, el contenido de la cac" de -ro*y Server (.) no se migrar%, ya que el motor de almacenamiento en
cac" de ISA Server es muy diferente y muc"o m%s sofisticado. Se eliminar% durante la instalacin de ISA Server y se
implementar% el nuevo motor de almacenamiento seg7n la configuracin e*istente para la cac" y las unidades.
)ota Seg7n el tama,o de la cac" y el n7mero de ob$etos que sta contenga, el proceso de eliminacin puede durar
alg7n tiempo.
S:!;S
ISA Server incluye un filtro de aplicacin S=2MS que permite a las aplicaciones S=2MS cliente comunicarse con la red
y utiliza la directiva aplicable para determinar si las solicitudes de los clientes se admiten o no. 0o es posible migrar las
reglas S=2MS de -ro*y Server (.) a ISA Server.
Autenticacin
ISA Server admite los siguientes mtodos de autenticacin4 b%sica, impl+cita, #indo's integrada y certificado del
cliente. /e manera predeterminada, al instalar ISA Server se configura el mtodo de autenticacin #indo's integrada
para las solicitudes #eb. .n -ro*y Server (.) se "abilitaban de forma predeterminada la autenticacin b%sica y la
autenticacin integrada.
Internet .*plorer : admite la autenticacin #indo's integradaK sin embargo, es posible que otros e*ploradores #eb
slo admitan el mtodo de autenticacin b%sica. .n este caso no se admitir% ninguna solicitud, ya que no es posible
autenticar a los usuarios. ISA Server rec"aza las solicitudes #eb que antes admit+a -ro*y Server. -uede configurar la
autenticacin b%sica para todas las solicitudes #eb.
'eglas y directivas
.n la tabla siguiente se muestra cmo se migran las reglas y otra informacin de configuracin de -ro*y Server (.) al
equipo con ISA Server4
Pro#y Server 290 -(uio con ISA Server
>iltros de dominio ?eglas de sitio y contenido
2onfiguracin de los permisos #insocE ?eglas de protocolo
-ropiedades de publicacin ?eglas de publicacin en #eb
>iltros de paquetes est%ticos >iltros de paquetes I- abiertos o bloqueados
?eglas de enrutamiento del pro*y #eb ?eglas de enrutamiento
17
Si es necesario, se crean elementos de directiva para las nuevas reglas. &ambin se migra otra informacin de
configuracin adicional4 tabla de direcciones locales, configuracin de marcado autom%tico, alertas, configuracin de
registro y configuraciones de los clientes.
!atulo <: Actuali7ar a ISA Server, -nterrise -dition
A medida que crezca su organizacin y la necesidad de comunicacin con Internet, debe tener en cuenta la posibilidad
de actualizar la edicin est%ndar de ISA Server a Microsoft Internet Security and Acceleration (ISA Server, .nterprise
.dition. ISA Server, .nterprise .dition, incluye las caracter+sticas siguientes4
-uede implementarse en matrices con varios servidores, lo que me$ora la posibilidad de ampliacin, el
rendimiento y la tolerancia a errores, y permite la administracin centralizada.
Admite dos niveles de administracin de directivas. !a directiva de matriz se puede aplicar a toda una matriz
de servidores. !a directiva de empresa se puede aplicar a todas las matrices de la organizacin.
0o "ay ninguna restriccin en cuanto al n7mero de procesadores del equipo en el que est% instalado ISA
Server. (!a edicin est%ndar est% limitada a cuatro procesadores.
.n este cap+tulo se describe cmo realizar la actualizacin a ISA Server, .nterprise .dition. .n este cap+tulo se incluyen
las siguientes secciones4
Actualizar a .nterprise .dition
/escripcin de las matrices
2onfiguracin de la directiva de empresa
Proceso de actuali7acin a -nterrise -dition
-ara realizar la actualizacin desde la versin est%ndar de ISA Server a ISA Server, .nterprise .dition, puede seguir
estos pasos4
5. Aunque se conservar% despus de la actualizacin, se recomienda, como precaucin adicional, "acer una
copia de seguridad de la directiva de ISA Server.
(. .$ecute el programa de instalacin desde el 2/L?=M de ISA Server, .nterprise .dition. .l proceso de
instalacin es muy parecido al de la edicin est%ndar de ISA Server.
.l proceso de instalacin configura el equipo con ISA Server como un servidor independiente.
8. .$ecute el programa de inicializacin de la empresa de ISA Server. -ara obtener m%s informacin acerca de
cmo inicializar la empresa, consulte la Ayuda de ISA Server, .nterprise .dition.
9. -romocione el servidor independiente a miembro de una matriz. -ara obtener m%s informacin acerca de
cmo promocionar un servidor, consulte la Ayuda de ISA Server, .nterprise .dition.
&escricin de las $atrices
Si actualiza un equipo con la edicin est%ndar de ISA Server a la versin .nterprise .dition, puede configurarlo como
miembro de una matriz o como servidor independiente.
18
2omo servidor independiente, funcionar% de forma similar que con la edicin est%ndar de ISA Server. Adem%s de las
funciones est%ndar, ISA Server, .nterprise .dition, se puede promocionar a una matriz. -ara obtener m%s informacin
acerca de cmo promocionar servidores independientes, consulte la Ayuda de ISA Server, .nterprise .dition.
Gna matriz es un grupo de equipos con ISA Server que se utiliza para proporcionar tolerancia a errores, equilibrio de la
carga y cac" distribuida. !as matrices permiten tratar y administrar un grupo de equipos con ISA Server como una
7nica entidad lgica.
&odos los servidores de la matriz comparten la misma configuracin. .sto permite a"orrar traba$o de administracin,
ya que slo es necesario configurar una vez la matriz y dic"a configuracin se aplica a todos los servidores que la
forman. Adem%s, puede aplicar a la matriz una directiva de empresa, lo que permite centralizar la administracin de
todas las matrices de su empresa.
!a instalacin de una matriz tambin me$ora el rendimiento. !as matrices permiten distribuir las solicitudes de los
clientes entre varios equipos con ISA Server, lo que me$ora el tiempo de respuesta ante los clientes. 2omo la carga se
distribuye entre todos los servidores de la matriz, puede lograr un rendimiento aceptable incluso con "ard'are de
calidad normal.
-ara instalar un equipo con ISA Server como miembro de una matriz, ste debe ser antes miembro de un dominio de
#indo's ())). Adem%s, debe inicializar la empresa de ISA Server para poder instalar un equipo con ISA Server como
miembro de una matriz. -ara obtener m%s informacin, consulte la Ayuda de ISA Server, .nterprise .dition.
ISA Server, .nterprise .dition se puede instalar en un servidor independiente de un dominio de #indo's 0& 9.) sin
necesidad de realizar una configuracin especial.
&odos los miembros de una matriz deben estar en el mismo dominio y en el mismo sitio.
!onfiguracin de la directiva de e$resa
2omo parte de la inicializacin de la empresa, el administrador de la empresa puede seleccionar cmo se debe aplicar
la directiva de empresa en el nivel de matriz4
Slo directiva de e$resa. .n este caso, el administrador del nivel de empresa indica que slo se aplicar%
la directiva de empresa seleccionada. 0o es posible agregar nuevas reglas en el nivel de matriz.
!o$binacin de las directivas de e$resa y de $atri7. .n este caso, se agrega una directiva de matriz
a la directiva de empresa. !a directiva de empresa prevalece ante la directiva de matriz. .s decir, la directiva de
matriz puede imponer limitaciones adicionales, pero no puede ser m%s permisiva que la directiva de empresa.
Slo directiva de $atri7. .n este caso no se aplica la directiva de empresa a la matriz. .l administrador de
la matriz puede crear cualquier regla para conceder o denegar el acceso.
I$ortante Si modifica la configuracin predeterminada de la directiva de empresa, y la cambia de una directiva de
matriz a una directiva de empresa, o viceversa, la nueva configuracin slo se aplicar% a aquellas matrices que no
utilicen la configuracin predeterminada anterior. !a configuracin de la directiva de empresa de aquellas matrices que
utilicen la configuracin predeterminada anterior se cambiar% por la configuracin personalizada y se configurar% con
los valores predeterminados anteriores.
19
0o es posible crear reglas de publicacin en el nivel de empresa. Sin embargo, el administrador de la empresa puede
especificar si una matriz tiene permiso para publicar servidores mediante la creacin de reglas de publicacin en #eb o
en servidores.
/el mismo modo, no es posible "abilitar el filtrado de paquetes en el nivel de empresa. Sin embargo, es el
administrador de la empresa el que determina si el filtrado de paquetes se e*ige en el nivel de matriz. 2omo
alternativa, el administrador de la empresa puede de$ar al administrador de la matriz la decisin acerca de si debe
"abilitar o no el filtrado de paquetes.
!atulo =: Instalar y configurar clientes
/espus de instalar Microsoft Internet Security and Acceleration (ISA Server, puede configurar los clientes e instalar
el soft'are del cliente del servidor de seguridad, seg7n sea necesario.
Antes de implementar o configurar los clientes de ISA Server, debe tener en cuenta los requisitos de su organizacin.
-ara obtener m%s informacin, consulte 6.valuar los requisitos de los clientes6 en el cap+tulo (.
.ste cap+tulo describe cmo configurar los clientes de ISA Server. .n este cap+tulo se incluyen las siguientes secciones4
2omparar los clientes de ISA Server
2onfigurar los clientes del pro*y #eb
2onfigurar los clientes Secure0A&
2onfigurar el cliente del servidor de seguridad
!o$arar los clientes de ISA Server
ISA Server admite los siguientes clientes4
2lientes de pro*y #eb
2lientes de Secure0A& (&raduccin de direcciones de red segura
2lientes de servidor de seguridad
.n la siguiente tabla se muestran los tipos de cliente compatibles con ISA Server y se comparan las caracter+stica de
cada uno de ellos.
!aracterstica !liente Secure)A3
!liente de servidor
de seguridad
!liente de ro#y 5eb
?equiere instalacin 0o, pero es necesario
modificar la
configuracin de la
red.
S+ 0o, requiere configurar el
e*plorador #eb
2ompatibilidad con
sistemas operativos
2ualquier sistema
operativo compatible
con el -rotocolo de
control de
transporte3-rotocolo
Internet (&2-3I-.
Slo plataformas
#indo's
&odas las plataformas &2-3I-
-rotocolos admitidos !os protocolos con
cone*iones principales
&odas las aplicaciones
#insocE
1&&-, 1&&-S y >&-
20
y los protocolos
definidos por los filtros
de aplicacin
Autenticacin de nivel de
usuario
0o, slo por direccin
I-
S+, tambin por
direccin I-
.l e*plorador #eb pasa la
informacin de autenticacin
-ublicacin de servidores 0o se requiere
configuracin ni
instalacin
?equiere un arc"ivo
de configuracin
03/
&anto los equipos cliente del servidor de seguridad como los clientes Secure0A& pueden ser tambin clientes de pro*y
#eb. Si la aplicacin #eb del equipo est% configurada para utilizar ISA Server, todas las solicitudes #eb (1&&-, >&- y
1&&-S se env+an directamente al servicio pro*y #eb. .l servicio de servidor de seguridad controla todas las dem%s
solicitudes.
!onfigurar los clientes del ro#y 5eb
0o es necesario instalar ning7n soft'are para configurar los clientes del pro*y #eb. Sin embargo, debe configurar el
e*plorador #eb del equipo cliente para que utilice el equipo con ISA Server como servidor pro*y.
I$ortante A menos que las aplicaciones complementarias del e*plorador #eb, como los clientes de secuencias
multimedia, puedan funcionar por s+ mismas como clientes del pro*y #eb, no utilizar%n ISA Server para conectarse al
#eb. -ara permitir que estas aplicaciones se conecten al #eb, utilice el cliente Secure0A& o el cliente del servidor de
seguridad, adem%s del cliente del pro*y #eb.
!os pasos que se deben realizar para configurar ISA Server dependen del e*plorador #eb que utilice.
-ara configurar Internet .*plorer :4
5. Inicie Internet .*plorer : y, en el men7 >erra$ientas, "aga clic en :ciones de Internet, seleccione la
fic"a !one#iones y "aga clic en !onfiguracin ?A).
(. .n !onfiguracin de red de rea local .?A)0, active la casilla de verificacin 1sar servidor ro#y.
8. .n el cuadro &ireccin, escriba la ruta de acceso al equipo con ISA Server.
9. .n Puerto, escriba el n7mero del puerto que utiliza el servidor ISA para las cone*iones de los clientes.
:. (=pcional Si desea que su e*plorador pase por alto el servidor ISA en las cone*iones con equipos locales,
active la casilla de verificacin )o usar servidor ro#y ara direcciones locales. Si no utiliza el servidor ISA
para las cone*iones con los equipos locales puede me$orar el rendimiento.
!onfigurar los clientes Secure)A3
Aunque en los equipos cliente Secure0A& no es necesario instalar soft'are espec+fico, s+ debe configurar
correctamente la red. .sta seccin e*plica qu aspectos relacionados con la red debe tener en cuenta para los clientes
Secure0A&.
!onfigurar la uerta de enlace redeter$inada ara los clientes Secure)A3
.n los equipos cliente Secure0A& no es necesario instalar soft'are espec+fico. Sin embargo, debe configurar la
topolog+a de red de forma que el equipo en el que est% instalado ISA Server prote$a a los clientes Secure0A& y
garantice que se atender%n sus solicitudes.
.n concreto, debe configurar correctamente la puerta de enlace predeterminada para los clientes Secure0A&. Al
configurar la puerta de enlace predeterminada, identifique el tipo de topolog+a de red que utiliza4
21
'ed si$le. .n una topolog+a de red simple no "ay enrutadores configurados entre el cliente Secure0A& y el
equipo con ISA Server.
'ed co$leja. .n una topolog+a de red comple$a "ay uno o m%s enrutadores que conectan varias subredes
configuradas entre un cliente Secure0A& y el equipo con ISA Server.
-ara configurar los clientes Secure0A& en una red simple, debe configurar como puerta de enlace predeterminada para
el -rotocolo Internet (I- del cliente Secure0A& la direccin I- de la tar$eta de red interna del equipo con ISA Server.
-uede "acerlo manualmente a travs de las opciones del panel de control de red &2-3I- del cliente. 2omo alternativa,
puede configurar estas opciones en el cliente autom%ticamente mediante /12-.
-ara configurar los clientes Secure0A& en una red comple$a debe asignar como puerta de enlace predeterminada el
enrutador correspondiente al segmento local del cliente y asegurarse de que ste enruta el tr%fico destinado a Internet
correctamente a la interfaz interna del servidor ISA.
.n condiciones ptimas, el enrutador debe utilizar la ruta de acceso m%s corta al equipo con ISA Server. Adem%s, el
enrutador no debe estar configurado para descartar los paquetes destinados al e*terior de la red corporativaK ISA
Server determinar% cmo enrutarlos.
.s probable que los clientes Secure0A& soliciten ob$etos de equipos que se encuentren en la red local y en Internet.
As+, debe configurar Secure0A& para utilizar servidores /0S que puedan resolver nombres de "osts tanto internos
como e*ternos.
'edes internas y acceso a Internet
Slo para el acceso a Internet, los clientes Secure0A& se deben configurar con los par%metros &2-3I- que utilizan los
servidores /0S de Internet. /ebe crear una regla de protocolo que permita a los clientes Secure0A& conectarse a un
servidor /0S de Internet. .sta regla de protocolo debe utilizar el protocolo /0S Duery (cliente predefinido.
Si el servidor /0S se encuentra en la red interna, tendr% que crear una directiva que permita el tr%fico en ambas
direcciones. .s decir, debe crear una regla de protocolo que permita que las consultas /0S del servidor /0S lleguen a
los servidores /0S e*ternos, incluidos los servidores ra+z de Internet.
!onfigurar el cliente del servidor de seguridad
-ara poder instalar el soft'are del cliente del servidor de seguridad debe tener instalado el soft'are ISA Server.
/urante la instalacin de ISA Server configurar% el servidor ISA con el que desea que se conecten los clientes del
servidor de seguridad al enviar solicitudes a Internet.
/espus de instalar el soft'are del cliente, si desea modificar el nombre del servidor al que se conectan los clientes
puede cambiar su nombre en el soft'are del cliente del servidor de seguridad. -ara obtener m%s informacin, consulte
la Ayuda en pantalla del cliente del servidor de seguridad.
!o$onentes del cliente del servidor de seguridad
ISA Server instala los siguientes componentes en el equipo cliente durante la instalacin del soft'are cliente4
)spclnt-ini es un arc"ivo compartido para la configuracin de los clientes mantenido por ISA Server.
22
)splat-txt incluye una tabla de direcciones locales compartidas y la tabla de dominios locales, mantenidas por
ISA Server.
!a aplicacin cliente del servidor de seguridad.
Gna vez terminada la instalacin, puede cambiar la configuracin predeterminada de todos estos componentes.
-ara instalar el soft'are cliente del servidor de seguridad4
5. .n el s+mbolo del sistema, escriba .uta/Setu donde .uta es la ruta de acceso a los arc"ivos de instalacin
compartidos del cliente de ISA Server. 0ormalmente, estos arc"ivos se encuentran en .a01Del#istemaPArc"ivos de
programaPMicrosoft ISA ServerP2lientes en el equipo con ISA Server y compartidos como MS-clnt.
(. Siga las instrucciones que aparecer%n en la pantalla.
)ota 0o instale el soft'are cliente del servidor de seguridad en el equipo con ISA Server.
!atulo @: -scenarios de i$le$entacin
Microsoft Internet Security and Acceleration (ISA Server puede implementarse en diferentes topolog+as de red. .sta
seccin describe algunas de las configuraciones de red m%s "abituales. Aunque la configuracin real de su red puede
ser diferente de las que se describen aqu+, los conceptos b%sicos y la lgica de la configuracin le permitir%n "acerse
una idea acerca de cmo aplicarlas a su configuracin.
.n este cap+tulo se incluyen las siguientes secciones4
Servidores de seguridad y almacenamiento en cac" en una red peque,a
2onectar clientes remotos
Agrupar los equipos con ISA Server para obtener tolerancia a errores
.scenarios de publicacin en #eb
.scenarios de publicacin en servidores seguros
.scenarios con redes perimetrales
Servidores de seguridad y al$acena$iento en cac*+ en una red e(ue%a
.s posible implementar ISA Server en una red peque,a, lo que proporciona a los clientes internos la posibilidad de
establecer cone*iones seguras con la red. /ebido a sus m7ltiples funciones, ISA Server tambin puede actuar como
servidor de cac" para los clientes internos. .n el escenario que se describe en esta seccin se muestra una
configuracin t+pica para una peque,a empresa con clientes que necesitan acceso a Internet.
'e(uisitos y caractersticas
!a corporacin que se utiliza en este escenario corresponde a una peque,a oficina, con menos de :)) usuarios que
necesitan acceso a Internet. !a mayor+a de ellos 7nicamente necesitan acceso #eb (1&&- o >&-, aunque un
departamento determinado tambin necesita acceso a servidores de transmisin multimedia de #indo's. !a
corporacin necesita disponer de un mtodo de confianza para proporcionar acceso a Internet en un entorno que
presenta los siguientes requisitos4
.l equipo con ISA Server es la 7nica cone*in de la empresa con Internet.
23
!a corporacin utiliza cone*iones de marcado a peticin para las cone*iones a Internet.
!a corporacin no desea distribuir el soft'are cliente a todos los usuarios.
.n este escenario, la corporacin incluye tres departamentos4 @entas, Investigacin y desarrollo, y ?ecursos "umanos.
-ara el funcionamiento del negocio, los departamentos de @entas e Investigacin y desarrollo necesitan acceso 1&&-
ilimitado, pero slo a los sitios #eb especificados en una lista. !os empleados de todos los departamentos tienen
permiso para utilizar el acceso 1&&- fuera del "orario de traba$o. Adem%s, todos los empleados tienen acceso a las
aplicaciones #indo's Media fuera del "orario de traba$o.
!onfiguracin de la red
.n este escenario, ISA Server se instala en la red corporativa para actuar como cone*in entre la red local e Internet.
!os usuarios se configuran como clientes del pro*y #eb o como clientes Secure0A&. Se crea una directiva de acceso en
el equipo con ISA Server que estipula qu usuarios tienen acceso a Internet.
!onfigurar el e(uio con ISA Server
ISA Server se instala como servidor independiente en modo integrado. Se configura una cone*in de acceso telefnico
con el -roveedor de servicios Internet (IS-. .l equipo con ISA Server tiene una tar$eta de red conectada a la red
interna y un mdem para el acceso a Internet.
Adem%s, en el equipo con ISA Server no se e$ecuta ning7n otro servicio (como e*ploradores #eb, =utlooE o &erminal
Server.
!onfigurar los clientes
!a mayor+a de los usuarios slo necesitan acceso #eb. -or ello, el administrador configura la mayor+a de los clientes
como clientes del pro*y #eb. .n los equipos configurados como clientes de pro*y #eb, los e*ploradores se configuran
para que el servidor pro*y sea el equipo con ISA Server. .l puerto configurado en el e*plorador #eb para el servidor
pro*y es el J)J), siempre y cuando la configuracin de las solicitudes #eb salientes en el equipo con ISA Server
tambin corresponda al puerto J)J).
Algunos usuarios pueden utilizar protocolos de transmisin multimedia de #indo's, por lo que sus equipos tambin
est%n configurados como clientes Secure0A&. !a puerta de enlace predeterminada para los clientes Secure0A& es la
direccin I- del equipo con ISA Server. /e este modo, todas las solicitudes dirigidas a Internet se reenviar%n al equipo
con ISA Server, que se encargar% de ellas seg7n indique la directiva de acceso.
!onfigurar la directiva de ISA Server
24
/espus de configurar el equipo con ISA Server, el administrador utiliza Administracin de ISA para implementar la
directiva de acceso.
Sin embargo, antes de crear las reglas de directiva el administrador crea los siguientes elementos de directiva4
5. 2omo los permisos de acceso a Internet son diferentes para cada departamento, se necesitan tres con$untos
de direcciones de cliente, uno para cada departamento. 2ada con$unto de direcciones de cliente incluye las
direcciones I- de los equipos de uno de estos tres departamentos4 Aentas, Investigacin y desarrollo y
'ecursos *u$anos.
(. !as directrices de negocio especifican que durante la $ornada laboral slo se puede tener acceso a
determinados sitios de Internet. -or tanto, el administrador crea un con$unto de destino, llamado Sitios ara
*orario de trabajo, en el que incluye dic"os sitios. /e este modo es posible aplicar las reglas a un 7nico
con$unto de destinos.
8. -or otra parte, las directrices del negocio permiten el acceso a Internet a todos los empleados despus de la
$ornada de traba$o, por lo que el administrador crea un programa llamado &esu+s del trabajo que puede
utilizarse al crear las reglas que permiten el acceso a Internet en este "orario.
9. 2omo se utiliza una cone*in de acceso telefnico a Internet, el administrador crea una entrada de marcado
llamada ?la$arBISP. .sta entrada de marcado se utilizar% cada vez que el equipo con ISA Server necesite tener
acceso a un ob$eto de Internet.
)ota Si el soft'are del cliente del servidor de seguridad est% instalado en los equipos cliente, es posible crear grupos
de usuarios de #indo's ())), en lugar de con$untos de direcciones de cliente.
.l administrador sigue estos pasos para implementar una directiva de acceso4
5. 2onfigura las propiedades de las solicitudes #eb salientes de ISA Server de forma que ISA Server escuc"e en
el puerto J)J).
(. 2rea una regla de enrutamiento que enruta las solicitudes #eb al servidor de destino en Internet.
2rea una regla de enrutamiento que enruta todas las solicitudes de los clientes a Internet. !a regla de
enrutamiento se configura de forma que ISA Server obtenga las solicitudes de ob$etos para cualquier destino
directamente desde el destino de Internet especificado, a menos que en la cac" de ISA Server e*ista una versin
v%lida del ob$eto solicitado. !a regla de enrutamiento se configura para utilizar la entrada de marcado
?la$arBISP cuando se enruta una solicitud a Internet.
8. 2onfigura el encadenamiento del servidor de seguridad de forma que todas las solicitudes de ob$etos que no
sean del #eb se enruten al servidor de destino en Internet.
2uando un cliente solicita un ob$eto de un servidor de Internet que utiliza un protocolo que no sea del #eb, ISA
Server llama a Internet mediante la entrada de marcado ?la$arBISP.
9. 2omprueba si e*iste una regla predeterminada de contenido y de sitio que permita a todo el mundo el acceso
a cualquier destino.
ISA Server crea esta regla durante la instalacinK sin embargo, los usuarios slo podr%n tener acceso una vez
creada una regla de protocolo.
-ara permitir el acceso limitado a Internet a los usuarios de los departamentos @entas e Investigacin y
desarrollo, el administrador crea las siguientes reglas4
o Gna regla de protocolo que permite a las direcciones de los clientes de los departamentos Aentas e
Investigacin y desarrollo utilizar el protocolo 1&&- en cualquier momento.
25
o Gna regla de sitios y contenido que permite a los con$untos direcciones de los clientes de los
departamentos Aentas e Investigacin y desarrollo el acceso a cualquier destino del con$unto Sitios ara
*orario de trabajo.
o Gna regla de sitios y contenido que permite a los con$untos de direcciones de los clientes de los
departamentos Aentas e Investigacin y desarrollo el acceso a cualquier destino durante el programa
&esu+s del trabajo.
o -ara permitir que los usuarios del departamento ?ecursos "umanos utilicen el protocolo 1&&- fuera
del "orario de traba$o, el administrador crea las siguientes reglas4
o Gna regla de protocolo que permite a los con$untos de direcciones de los clientes de los
departamentos 'ecursos *u$anos, Aentas e Investigacin y desarrollo la utilizacin del protocolo 1&&-
durante el programa &esu+s del trabajo.
o Gna regla de sitios y contenido que permite a los con$untos de direcciones de los clientes de los
departamentos 'ecursos *u$anos, Aentas e Investigacin y desarrollo el acceso a cualquier destino
durante el programa &esu+s del trabajo.
o -ara permitir a todos los empleados el acceso al contenido de transmisin multimedia, el
administrador crea las siguiente reglas4
o Gna regla de protocolo que permite a los con$untos de direcciones de los clientes de los
departamentos 'ecursos *u$anos, Aentas e Investigacin y desarrollo la utilizacin del protocolo MMS
.!liente de 5indo6s Media0 durante el programa &esu+s del trabajo.
-ara obtener m%s informacin acerca del enrutamiento, los elementos de directiva, las reglas de protocolo y las reglas
de sitios y contenido, consulte la Ayuda de ISA Server.
!onectar clientes re$otos
2ada vez m%s empleados traba$an desde sus casas y utilizan desde sus equipos domsticos el acceso telefnico a la
red corporativa. -or ello, es tambin cada vez m%s "abitual que los empleados establezcan una cone*in de red
privada virtual (@-0. .n esta situacin, el usuario llama a su IS- local. .n el otro e*tremo, uno de los servidores de la
red corporativa est% conectado a su IS- y se establece un t7nel entre ambos.
!onfiguracin de la red
ISA Server se instala como servidor independiente en modo integrado. .n el equipo con ISA Server se configura una
cone*in de acceso telefnico a redes para llamar al -roveedor de servicios Internet (IS-. Adem%s, el equipo con ISA
Server dispone de una tar$eta de red conectada a la red interna.
.l equipo con ISA Server est% configurado como servidor @-0, lo que permite que determinados clientes remotos se
comuniquen con los recursos de red.
!os clientes que se conectan con el equipo con ISA Server mediante @-M deben poder tener acceso a los recursos de
la red corporativa, como /0S y #I0S.
!os equipos cliente remotos deben tener configurada una cone*in de acceso telefnico para llamar al IS- local.
!onfigurar ISA Server
26
/espus de instalar ISA Server en el equipo, el administrador utiliza Administracin de ISA para configurar el equipo
como @-0 de ISA Server. -ara ello, el administrador4
Gtiliza el Asistente para @-0 entre el cliente y el servidor con el fin de configurar ISA Server de manera que
acepte las cone*iones de los clientes. .l asistente4
o 2onfigura .nrutamiento y acceso remoto como servidor @-0
o .*ige los mtodos de autenticacin y cifrado
o Abre los filtros de paquetes est%ticos en .nrutamiento y acceso remoto para permitir el -rotocolo
punto a punto (--&- y el -rotocolo de t7nel de capa ( (!(&- sobre los protocolos de Seguridad del
-rotocolo Internet (I-Sec.
2rea una cone*in de acceso telefnico a redes en el equipo cliente, configurada del siguiente modo4
o .l tipo de cone*in de red es @-0. (-ara ello, seleccione !onectar a una red rivada a trav+s de
Internet.
o !a direccin de destino es la direccin I- del @-0 de ISA Server.
)ota Si ISA Server protege el acceso desde la red corporativa a Internet, "abr% que configurar el cliente remoto para
que utilice ISA Server.
Agruar los e(uios con ISA Server ara obtener tolerancia a errores
ISA Server puede utilizarse $unto con otros servicios de #indo's ())) Server y Advanced Server para crear una red
equilibrada con tolerancia a errores. .n las siguientes secciones se describe cmo configurar un servidor /0S y cmo
configurar el .quilibrio de la carga en la red en #indo's ())) Advanced Server para lograr este ob$etivo. .n las
siguientes secciones se describen estas configuraciones.
1tili7ar &)S
!os clientes del servidor de seguridad pueden conseguir tolerancia a errores si se utilizan dos o m%s equipos con ISA
Server $unto con un servidor /0S de #indo's ())).
.l administrador utiliza /0S para asignar el mismo nombre a los equipos con ISA Server. /e este modo, cuando un
cliente solicita un ob$eto del equipo con ISA Server e indica el nombre /0S de dic"o equipo, el servidor /0S lo
resuelve por turnos a los diferentes equipos con ISA Server e*istentes. -ara obtener m%s informacin acerca de /0S y
la operacin por turnos, consulte 62onfigurar la operacin por turnos6 en la Ayuda de #indo's ())).
Siga estos pasos para configurar el servidor /0S y agregar un nuevo registro de recursos A a una zona4
5. 1aga clic en Inicio, seleccione Progra$as, >erra$ientas ad$inistrativas y "aga clic en &)S.
(. .n el men7 Accin, "aga clic en >ost nuevo.
8. .n )o$bre, escriba el nombre de "ost /0S del equipo con ISA Server.
9. .n &ireccin IP, escriba la direccin I- de un equipo con ISA Server.
:. 1aga clic en Agregar *ost para agregar a la zona el nuevo registro de "ost.
;. ?epita los pasos 8 a : para cada equipo con ISA Server.
1tili7ar -(uilibrio de la carga en la red
27
.s posible conseguir tolerancia a errores para los clientes Secure0A& si se utilizan dos o m%s equipos con ISA Server
$unto con .quilibrio de la.carga en la red de #indo's ())) Advanced Server. Al combinar en un 7nico cl7ster los
recursos de dos o m%s equipos que e$ecutan #indo's ())) Advanced Server, .quilibrio de la carga en la red puede
ofrecer la confiabilidad y el rendimiento que necesitan los servidores #eb y otros servidores cr+ticos. 2ada equipo de
.quilibrio de la carga en la red e$ecuta ISA Server.
.quilibrio de la carga en la red re7ne en un cl7ster varios equipos que e$ecutan programas de servidor mediante el
protocolo de red &2-3I-. -ermite que todos los equipos del cl7ster respondan a una misma direccin I-, al tiempo que
mantiene la posibilidad de diferenciar sus direcciones, para lo que utiliza direcciones I- dedicadas y e*clusivas.
.quilibrio de la carga en la red distribuye las solicitudes entrantes de los clientes entre los "osts como tr%fico &2-3I-.
)ota .quilibrio de la carga en la red slo est% disponible en #indo's ())) Advanced Server.
?equiere que cada equipo con ISA Server disponga de una direccin I- 7nica en su tar$eta de red interna. Adem%s, el
cl7ster de .quilibrio de la carga en la red debe disponer de una direccin I-, que utilizar%n todos los equipos con ISA
Server. -ara obtener m%s informacin acerca de los cl7steres y .quilibrio de la carga en la red, consulte 6.quilibrio de
la carga en la red6 en la Ayuda de #indo's ())) Advanced Server.
Siga estos pasos para configurar los equipos con ISA Server para .quilibrio de la carga en la red4
5. 2ompruebe que todos los equipos con ISA Server se instalaron en el mismo modo.
Modifique las propiedades de .quilibrio de la carga en la red en el adaptador de red interno de cada equipo con
ISA Server, seg7n se indica a continuacin4
o 2onfigure como direccin I- principal la direccin I- del cl7ster de .quilibrio de la carga en la red.
.sta direccin I- es la del cl7ster y debe ser idntica para todos los "osts del mismo. .stas direccin I- se
utiliza para dirigirse al cl7ster como un con$unto y debe ser la direccin I- correspondiente al nombre
completo de Internet especificado para el cl7ster.
o Asigne una prioridad e*clusiva a cada uno de los equipos del cl7ster de .quilibrio de la carga en la
red.
o 2onfigure como direccin I- dedicada la direccin I- del adaptador de red interna del equipo con ISA
Server. .sta direccin I- se utiliza para dirigirse individualmente a cada "ost del cl7ster, por lo que debe ser
e*clusiva de cada uno de ellos. 0ormalmente, es la direccin I- asignada originalmente al "ost antes de
seleccionar una direccin I- para las operaciones del cl7ster.
Si utiliza un 7nico adaptador de red, la pila &2-3I- debe configurarse con las direcciones del cl7ster y la dedicada,
situando la direccin dedicada en primer lugar. Si el equipo dispone de dos adaptadores de red, aqul al que asigne la
direccin dedicada deber% tener un valor menor (es decir, mayor prioridad que el que tenga la direccin del cl7ster.
!a puerta de enlace predeterminada para los clientes Secure0A& debe configurarse con la direccin I- dedicada del
cl7ster. .s decir, la direccin virtual del cl7ster debe utilizarse como direccin de la puerta de enlace. /e este modo,
.quilibrio de la carga en la red se encargar% de todas las solicitudes.
28
-scenarios de ublicacin en 5eb
!as funciones de publicacin en #eb de ISA Server resultan 7tiles para las organizaciones que desean publicar
contenido en #eb de forma segura. ISA Server puede proteger el servidor #eb de su organizacin en el que se alo$a
un sitio #eb comercial o que proporciona acceso a los asociados comerciales. .l equipo con ISA Server representa al
servidor #eb para el mundo e*terior, mientras que el servidor #eb mantiene el acceso a los servicios de red internos.
.l servidor #eb en el que se publica el contenido puede encontrarse en el mismo equipo que ISA Server o en otro
diferente. .n las siguientes secciones se muestran configuraciones de red para escenarios de publicacin en #eb.
!onfigurar el e(uio con ISA Server
Independientemente de la configuracin del escenario de publicacin en #eb, debe configurar ISA Server para
escuc"ar las solicitudes #eb entrantes. !as propiedades de las solicitudes #eb entrantes especifican en qu
direcciones I- y puertos del equipo con ISA Server se deben escuc"ar las solicitudes. /ic"as propiedades tambin
determinan la autenticacin necesaria para el acceso a los servidores internos.
!onfigurar el servidor &)S
Si publica contenido en servidores #eb, es posible que los clientes e*ternos necesiten resolver sus nombres con el
servidor /0S interno. .n s+ mismo, el servidor /0S interno es tambin un servidor de publicacin. Si el servidor /0S
es un cliente Secure0A&, no es necesario realizar ninguna configuracin. /espus de instalar ISA Server, cree una
regla de publicacin en servidores en el equipo con ISA Server que publique el servidor /0S. -ara obtener m%s
informacin acerca de la reglas de publicacin en servidores, consulte la Ayuda de ISA Server.
-scenario con un servidor 5eb en una red local
.n el escenario de publicacin en #eb que se describe a continuacin, ISA Server protege el contenido de los
servidores #eb internos ubicados en los equipos de la red local.
!a corporacin que se utiliza como e$emplo publica dos sitios #eb4 "ttp433e$emplo.microsoft.com3MarEeting y
"ttp433e$emplo.microsoft.com3/esarrollo. .l contenido de dic"os sitios se encuentra en dos servidores #eb internos
diferentes4 MEtg y /es, respectivamente. 2uando un usuario de Internet solicita un ob$eto de
"ttp433e$emplo.microsoft.com3MarEeting o de "ttp433e$emplo.microsoft.com3/esarrollo, la solicitud en realidad se env+a
al equipo con ISA Server, que a su vez la enruta al servidor #eb apropiado.
!a siguiente figura ilustra este escenario.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
=bserve que las direcciones del -rotocolo Internet de los servidores #eb nunca se muestran. .n su lugar, los usuarios
de Internet especifican la direccin I- del equipo con ISA Server para lograr el acceso a los servidores #eb.
.l administrador debe realizar los siguientes pasos para publicar los servidores #eb internos4
5. 2omprueba que el servidor /0S asigna el nombre de dominio completo a la direccin I- del equipo con ISA
Server. !os clientes de Internet utilizan el nombre de dominio para solicitar el contenido.
(. 2onfigura las propiedades de ISA Server para las solicitudes #eb entrantes. !a direccin I- debe incluir la
direccin I- de la interfaz e*terna.
29
2rea los siguientes elementos de directiva4
o Gn con$unto de destinos llamado MarEeting, que debe incluir el equipo e$emplo.microsoft.com y la
ruta de acceso PMarEetingPQ. Se trata del encabezado de "ost con el que ISA Server intentar% encontrar una
coincidencia para poder enrutar la solicitud al servidor interno correcto.
o Gn con$unto de destinos llamado /esarrollo, que debe incluir el equipo e$emplo.microsoft.com y la
ruta de acceso P/esarrolloPQ.
2onfigura las siguientes reglas4
o Gna regla de publicacin en #eb que publica el equipo MEtg, en la que el con$unto de destino
configurado sea MarEeting.
o Gna regla de publicacin en #eb que publica el equipo /es, en la que el con$unto de destino
configurado sea /esarrollo.
-scenario con un servidor 5eb en un e(uio con ISA Server
-uede que algunas organizaciones instalen el servidor #eb e ISA Server en el mismo equipo.
!a corporacin de este e$emplo publica un sitio #eb en la direccin "ttp433'idgets.microsoft.com.
.n este escenario, el administrador puede configurar ISA Server para publicar el contenido #eb de varias formas4
Mediante la creacin de reglas de publicacin en #eb
Mediante la creacin de filtros de paquetes I-
.n las secciones siguientes se describe cmo configurar ISA Server seg7n estos mtodos.
1tili7ar reglas de ublicacin en 5eb ara ublicar un servidor 5eb en un e(uio con ISA Server
.n este escenario, el administrador configura el equipo con ISA Server para escuc"ar las solicitudes entrantes en el
puerto J) de la tar$eta de interfaz e*terna. /e manera predeterminada, el servidor #eb tambin escuc"a las
solicitudes entrantes en el puerto J).
-ara evitar este conflicto, el administrador debe realizar una de las siguientes acciones4
2onfigurar el servidor #eb para que escuc"e en un puerto distinto del J) o en un adaptador de red diferente
y, a continuacin, crear una regla de publicacin en #eb en el equipo con ISA Server para reenviar las solicitudes
al puerto apropiado del servidor #eb.
30
2onfigurar el servidor #eb para escuc"ar en una direccin I- diferente. -or e$emplo, el servidor #eb puede
escuc"ar en la direccin 5(<.).).5. /e ese modo, el servidor #eb slo escuc"ar% las solicitudes que provengan
del equipo local. .n realidad, estas solicitudes provienen de ISA Server.
1tili7ar el filtrado de a(uetes ara ublicar un servidor 5eb en un e(uio con ISA Server
=tro forma de publicar un servidor #eb ubicado en el equipo con ISA Server es configurar filtros de paquetes I-. .l
filtro de paquetes I- pasa todos los paquetes que llegan al puerto J) al servidor #eb, que se encuentra en el equipo
con ISA Server. .l filtro de paquetes permite que el servidor #eb escuc"e las solicitudes #eb entrantes en el puerto
J).
)ota .n este caso, no e*iste ning7n conflicto con las solicitudes #eb salientes, ya que ISA Server escuc"a en el
puerto J)J) y el servidor #eb escuc"a las solicitudes de los clientes internos en el puerto J). Sin embargo, no debe
configurar la caracter+stica de descubrimiento autom%tico de ISA Server para escuc"ar en el puerto J) o debe
des"abilitarla.
.l administrador realiza los siguientes pasos para publicar un servidor #eb ubicado en el equipo con ISA Server4
5. 1abilita el filtrado de paquetes.
(. 2rea un filtro de paquetes I-, que permite la entrada de todos los paquetes &2- que lleguen al puerto J) en la
direccin I- e*terna del equipo con ISA Server.
8. /es"abilita el descubrimiento autom%tico.
)ota 2omo Servicios de Internet Information Server (IIS utiliza el puerto J), no debe crear reglas de publicacin en
#eb si utiliza el mtodo aqu+ descrito para publicar el servidor #eb en el equipo con ISA Server.
-uede utilizar el descubrimiento autom%tico en el puerto J)J). &ambin puede utilizarlo desde otro puerto si configura
un servidor /12-.
-scenarios de ublicacin en servidores seguros
A"ora que el comercio electrnico entre empresas es cada vez m%s importante, aumenta igualmente el n7mero de
organizaciones que se dan cuenta de la necesidad de proteger sus servidores internos, al mismo tiempo que "acen
que sean accesibles para determinados usuarios e*ternos. !a funcin de publicacin inversa de ISA Server permite
proteger el acceso a los servidores internos por parte de los clientes e*ternos.
.n un escenario normal con ISA Server se protegen las comunicaciones de los servidores de correo mediante el
-rotocolo simple de transferencia de correo (SM&-. -or e$emplo, ISA Server puede proteger un servidor Microsoft
.*c"ange Server. .l Asistente para la publicacin segura del servidor de correo configura la directiva necesaria para
permitir la comunicacin entre .*c"ange Server e Internet. .l asistente agrega un con$unto de reglas de publicacin
de servidores que redirigen las comunicaciones de los usuarios de Internet de un puerto determinado a una direccin
I- interna especificada. &ambin crea reglas de protocolo que abren de forma din%mica los puertos para las
comunicaciones salientes.
.l servidor .*c"ange Server que se publica puede estar ubicado en el equipo con ISA Server o en la red local. .n las
siguientes secciones se describen algunos escenarios de publicacin de .*c"ange Server.
31
)ota Si ya utiliz Microsoft -ro*y Server (.) anteriormente, es posible que .*c"ange Server est configurado como
cliente de pro*y #insocE y que utilice un arc"ivo 'spcfg.ini espec+fico para capturar el puerto (: de la interfaz e*terna
del equipo con -ro*y Server. .n este caso, esa configuracin tambin funcionar% con ISA Server. Sin embargo, si
utiliza las reglas de publicacin de servidores de ISA Server, se recomienda quitar el arc"ivo 'spcfg.ini de .*c"ange
Server y utilizar el Asistente para la seguridad del servidor de correo de ISA Server.
-#c*ange Server en una red local
.n este escenario, el servidor .*c"ange Server se encuentra en la red local, protegido por el equipo con ISA Server,
como se muestra en la figura.
-uede utilizar el Asistente para la seguridad del servidor de correo de ISA Server para configurar .*c"ange Server de
forma que est disponible para los clientes e*ternos mediante uno o m%s de los siguientes protocolos4
Interfaz de programacin de aplicaciones de mensa$er+a (MA-I
-rotocolo de oficina de correo, versin 8 (-=-8
-rotocolo de acceso a mensa$er+a de Internet, versin 9 (IMA-9
-rotocolo de transferencia de noticias a travs de la red (00&-
00&- seguro
.l asistente crea una o m%s reglas de publicacin en servidor, tantas como servicios de correo est%n protegidos por
ISA Server. /ic"as reglas tienen los siguientes par%metros4
!a direccin I- interna del servidor de correo
!a direccin e*terna que presenta el equipo con ISA Server
.l protocolo del servicio de correo seleccionado
/elante del nombre de cada nueva regla creada por el asistente se incluye 'egla del asistente de correo.
.l Asistente para la seguridad del servidor de correo tambin crea reglas de protocolo para permitir el tr%fico de correo
saliente. /ic"as reglas tienen los siguientes par%metros4
-rotocolo simple de transferencia de correo (SM&- (cliente.
.l con$unto de clientes incluye la direccin I- interna de .*c"ange Server.
'esolucin de no$bres ara los clientes
32
2omo los clientes -=-8, IMA-9 y 1&&- tienen acceso al equipo en el que se e$ecuta .*c"ange Server mediante el
nombre /0S o la direccin I-, se recomienda asignar a las direcciones I- e*ternas del equipo con ISA Server el
nombre /0S utilizado por los clientes de correo.
-ara los clientes MA-I, un servidor /0S de Internet debe resolver el nombre del equipo en el que se e$ecuta .*c"ange
Server y buscar la direccin I- correspondiente en el adaptador de red e*terna del equipo con ISA Server. )ota .n
este caso, el servidor /0S debe asignar el nombre interno del equipo con .*c"ange Server a la direccin I- e*terna de
ISA Server. -or tanto, el tipo de servidor debe ser Servidor y no Servidor de correo. Si publica el servicio SM&-
tambin se necesita un registro de Intercambio de correo (MN que apunte a la direccin I- e*terna del equipo con ISA
Server.
-#c*ange Server en el e(uio con ISA Server
.n este escenario, ISA Server y .*c"ange Server se encuentran en el mismo equipo, como se muestra m%s aba$o.
-uede utilizar el Asistente para la seguridad del servidor de correo para publicar el servidor de .*c"ange Server que se
encuentra en el equipo con ISA Server. .n este escenario, el asistente crea un filtro de paquetes I- para cada servicio
de correo seleccionado. -or e$emplo, si al e$ecutar el asistente especifica el correo SM&- saliente y las solicitudes de
clientes -=-8 se crear%n los siguientes filtros de paquetes I-4
Gn filtro de paquetes I- que permita las cone*iones &2- entrantes en el puerto local (: desde cualquier
puerto remoto. .sto permite la entrada de los paquetes SM&-.
Gn filtro de paquetes I- que permita las cone*iones &2- salientes en todos los puertos locales desde el puerto
remoto (:. .sto permite la salida de los paquetes SM&-.
Gn filtro de paquetes I- que permita las cone*iones &2- entrantes en el puerto local 55) desde cualquier
puerto remoto. .sto permite la entrada de los paquetes -=-8.
Gn filtro de paquetes I- que permita las cone*iones &2- salientes en todos los puertos locales desde el puerto
remoto 55). .sto permite la salida de los paquetes -=-8.
)ota .n este escenario, los clientes de =utlooE no pueden tener acceso a .*c"ange Server desde el e*terior de la red
local.
-scenarios con redes eri$etrales
Gna red perimetral (denominada tambin D)2, 1ona desmilitari1ada y subred apantallada es una peque,a red que se
mantiene separada de la red privada de una organizacin y de Internet. !a red perimetral permite que los usuarios
e*ternos tengan acceso a los servidores que se encuentran en ella, al tiempo que impide el acceso a la red corporativa
interna. Gna organizacin tambin puede permitir el acceso limitado desde los equipos de las redes perimetrales a los
equipos de la red interna.
33
Gna red perimetral suele utilizarse para implementar los servidores #eb y de correo electrnico de la compa,+a. -uede
configurarse de una de estas formas4
2onfiguracin de red perimetral opuesto con opuesto, en la que "ay dos equipos con ISA Server en cada lado
de la red perimetral.
.quipo con ISA Server de triple servicio, en el que el mismo equipo con ISA Server protege la red local y la
red perimetral.
-scenario de red eri$etral ouesto con ouesto
.n este escenario "ay dos equipos con ISA Server en cada lado de la red perimetral. (Gna red perimetral tambin se
denomina D)2, 1ona desmilitari1ada y subred apantallada. !a figura muestra una configuracin de red perimetral
opuesto con opuesto.
.n esta configuracin "ay dos equipos con ISA Server conectados entre s+, uno de ellos conectado a Internet y el otro
a la red local. !a red perimetral se encuentra entre ambos servidores. !os dos servidores ISA est%n configurados en
modo integrado o de servidor de seguridad, lo que reduce el riesgo de poner en peligro la seguridad, ya que un
supuesto atacante tendr+a que infiltrarse en ambos sistemas para poder llegar a la red interna.
.l administrador realiza los siguientes pasos para que los servidores de la red perimetral estn disponibles para los
clientes e*ternos, como los clientes de Internet4
5. 2onfigura la tabla de direcciones locales local (!A& en el equipo con ISA Server conectado a la red
corporativa (indicado como ISA Server ( para que incluya las direcciones I- de los equipos de la red corporativa.
(. 2onfigura la !A& del equipo con ISA Server conectado a Internet para que incluya la direccin I- del servidor
ISA conectado a la red corporativa y las direcciones I- de todos los servidores de publicacin de la red perimetral.
8. 2rea una regla de publicacin en #eb para publicar el servidor IIS.
9. 2rea una regla de publicacin en servidor para publicar el servidor SD! Server y configura la regla de
publicacin en servidor para aplicarla al protocolo SD!.
:. 2rea una regla de publicacin en #eb para publicar el servidor IIS y la configura para redirigir las solicitudes
al sitio alo$ado.
-scenario de red eri$etral de trile servicio
.n este escenario se configura un 7nico equipo con ISA Server con tres adaptadores de red.
Gno de los adaptadores de red se conecta a los clientes internos de la red corporativa.
34
.l segundo adaptador de red se conecta con los servidores de la red corporativa, que se encuentran en la red
perimetral. !as direcciones I- de la red perimetral no deben estar incluidas en la tabla de direcciones locales
(!A&.
.l tercer adaptador de red se conecta a Internet.
!a figura muestra este escenario de red perimetral.
.l administrador realiza los siguientes pasos para configurar una red perimetral con un equipo con ISA Server de triple
servicio4
5. 2onfigura la !A& para que incluya todas las direcciones de la red corporativa. !a !A& no debe incluir las
direcciones de la red perimetral.
(. 1abilita el filtrado de paquetes y el enrutamiento I-.
8. 2rea filtros de paquetes I- para cada uno de los servidores de la red perimetral. .n cada filtro de paquetes I-
se debe especificar el equipo local como la direccin I- del servidor de la red perimetral.
35
I$le$entacin de servidor de seguridad, servidor ro#y y cac*+
5eb seguros en Microsoft
Introduccin
!a tecnolog+a de la informacin (I& y el mundo empresarial se est%n convirtiendo en una misma cosa. !as modernas
tecnolog+as de la informacin son esenciales para la automatizacin de una amplia variedad de procesos empresariales
de compra, fabricacin, facturacin, venta y mercadotecnia de nuevos productos y servicios. !a mayor+a de las veces,
la tecnolog+a de la informacin racionaliza los procesos empresariales que sostienen la capacidad de una organizacin
para reaccionar me$or ante un cambio. Adem%s, permite formas completamente nuevas de "acer negocios.
-or e$emplo, en la actualidad muc"as empresas est%n aprovec"ando la influencia global de Internet para ayudar a
racionalizar los procesos entre empresas, entre empresas y consumidores, y todos los procesos sectoriales. Mediante
Internet, muc"as compa,+as est%n reinventando el concepto de negocio que conoc+amos "asta a"ora. !as
organizaciones que traba$an con Internet est%n creando aplicaciones #eb automatizadas rentables y eficaces para
actividades sectoriales esenciales como la facturacin y el abastecimiento. Internet "a permitido a muc"as
organizaciones asociarse m%s libremente entre s+ y ofrecer al mismo tiempo servicios m%s completos de cara al cliente.
A medida que las empresas aprovec"an Internet, las tecnolog+as que cada una emplea para mantener protegidos sus
activos de equipos e informacin se vuelven m%s refinadas.
!as empresas preparadas para Internet se enfrentan a"ora a toda una nueva serie de importantes desaf+os en el
panorama comercial actual. !os clientes esperan que los entornos inform%ticos sean seguros, r%pidos y muy
interactivos. !as empresas esperan que el entorno inform%tico implementado sea capaz de e*pandirse para poder dar
cabida a las nuevas demandas del mercado y sus profesionales de tecnolog+a de la informacin e*igen que dic"o
entorno sea m%s sencillo de administrar y facilite la resolucin de problemas.
A"ora, para ayudar a satisfacer estas necesidades, "a nacido Microsoft
R
Internet Security and Acceleration Server
())).
Introduccin a ISA Server
Microsoft Internet Security and Acceleration Server ())) (tambin conocido como ISA Server forma parte de la
familia de servidores Microsoft .0.& .nterprise, que se compone de un e*tenso con$unto de aplicaciones para crear,
implementar y administrar de manera r%pida soluciones y servicios #eb escalables e integrados. /ise,ado con la idea
de obtener un rendimiento y una integracin primordiales, los servidores de .0.& .nterprise se "an creado a partir de
cero para proporcionar interoperabilidad mediante el uso de est%ndares #eb abiertos como NM!. !os servidores de
.0.& .nterprise, $unto con el sistema operativo Microsoft #indo's
R
())), proporcionan la base de la plataforma .0.&,
que "acen posible la tercera generacin de Internet, en la que el soft'are se distribuye como un servicio, est%
disponible para cualquier dispositivo, en cualquier momento y lugar, y es completamente programable y
36
personalizable. !a plataforma .0.& est% dise,ada e*presamente para permitir el desarrollo, la integracin y la
organizacin r%pidos de cualquier grupo de servicios y aplicaciones #eb en una 7nica solucin completa.
ISA Server es un servidor de seguridad y de cac" #eb ampliable de %mbito empresarial que se integra en #indo's
())) y ofrece seguridad basada en directivas, aceleracin y administracin de intercone*in de redes. ISA Server
ofrece dos modos estrec"amente integrados4 un servidor de seguridad multicapa y un servidor de cac" #eb de alto
rendimiento. .l servidor de seguridad ofrece filtrado en las capas de paquete, circuito y aplicacinK inspeccin de
estado para e*aminar los datos que pasan a travs del servidor de seguridadK control de la directiva de acceso y
enrutamiento del tr%fico. !a cac" me$ora el rendimiento de red y la e*periencia del usuario al almacenar contenido
#eb solicitado con frecuencia. .l servidor de seguridad y la cac" pueden implementarse en servidores dedicados
independientes o integrados en el mismo equipo. !as sofisticadas "erramientas de administracin simplifican la
definicin de directivas, el enrutamiento del tr%fico, la publicacin en servidores y la supervisin. ISA Server se basa
en el control de la seguridad, de los directorios, de las redes privadas virtuales (@-0 y del anc"o de banda de
#indo's ())). &anto si se implementa como un con$unto de servidores de servidor de seguridad y de cac" como si
se "ace en modo integrado, ISA Server puede me$orar la seguridad de la red, aplicar una directiva de uso co"erente
de Internet, acelerar el acceso a Internet y optimizar la productividad de los empleados para organizaciones de todos
los tama,os.
ISA Server ())) .nterprise .dition (ob$eto de este documento es el servidor de seguridad y de almacenamiento en
cac" #eb empresarial escalable de Microsoft. ISA Server .nterprise .dition se dise, para satisfacer las necesidades
de rendimiento, administracin y escalabilidad de entornos con alto volumen de tr%fico de Internet que utilizan una
administracin de servidores centralizada, m7ltiples niveles de directivas de acceso y tolerancia a errores. ISA Server
.nterprise .dition ofrece una conectividad de Internet r%pida, segura y escalable para entornos con una misin cr+tica.
?a situacin en Microsoft
.n Microsoft, Information &ec"nology Aroup (I&A, 3rupo de tecnolog0as de la in*ormacin es el encargado de
mantener en funcionamiento las redes internas, los sistemas de telecomunicaciones, los servidores corporativos y
todas las aplicaciones sectoriales de la compa,+a. Asimismo, se espera de ese grupo que implemente nuevas versiones
de productos de Microsoft en dic"os sistemas mientras esos productos est%n en fase beta. .sta pr%ctica permite que
cada grupo de desarrollo de productos reciba comentarios de uso real acerca de su producto antes de enviarlo a
fabricacin. .n 7ltima instancia, I&A y el grupo de desarrollo de productos tienen que dar con$untamente su visto
bueno al lanzar un nuevo producto antes de enviarlo a fabricacin.
Internamente, los empleados de Microsoft se refieren cari,osamente al proceso de implementar cada nueva versin
beta como 6comerse la comida de tu propio perro6. .sta e*presin resume los desaf+os que supone mantener en
funcionamiento un entorno de datos informatizados a nivel interno al tiempo que se introduce en dic"o entorno un
producto que por definicin a7n no est% 6acabado6. Aunque el proceso significa a menudo un reto, tambin da como
resultado un producto preparado para el cliente y un aumento de la moral de los empleados que contribuyen de esta
forma al desarrollo e implementacin del nuevo producto.
ISA Server no es una e*cepcin. Antes de enviarlo a fabricacin, I&A empez a implementarlo en Microsoft ya en sus
fases beta. !a implementacin tan temprana del producto fue fundamental para buscar y corregir defectos de
37
implementacin r%pidamente a travs de los comentarios surgidos de la implementacin real que se llev a cabo en la
compa,+a.
.l acceso a Internet por parte de los empleados de Microsoft es crucial para su traba$o cotidiano en el #eb. .n un d+a
normal, m%s de cuarenta mil equipos cliente ubicados en la sede corporativa tienen acceso a m%s de cuarenta millones
de direcciones G?! de Internet, con un tiempo promedio de proceso de slo 5,9 segundos por peticin. Sin acceso a
Internet desde dentro, una buena parte de la actividad de Microsoft se ver+a paralizada.
A travs de los esfuerzos de comprobacin internos ya mencionados y otros compartidos en este documento, I&A "a
aprendido muc"as lecciones acerca de cmo instalar, configurar e implementar correctamente ISA Server. .l grupo
tambin "a aprendido cmo se puede utilizar ISA Server para tratar diversas necesidades empresariales y qu
venta$as proporcionan las e*cepcionales capacidades del producto.
.ste documento recoge muc"as de las lecciones aprendidas. Aunque no est% pensado para servir como una gu+a o plan
general para implementar ISA Server, el documento muestra el enfoque empleado por I&A para implementar ISA
Server en Microsoft. Al recoger y e*plicar la "istoria de cmo Microsoft implement la versin beta de ISA Server, sus
autores esperan que los clientes puedan aprender de su e*periencia interna.
Planes de i$le$entacin
2omo con todas las implementaciones de soft'are beta en Microsoft, I&A empez su traba$o con unos planes
e*"austivos y un estudio detallado de los requisitos empresariales y las capacidades del producto en cuestin. Gna
parte de dic"os planes inclu+a los ob$etivos de implementacin y el alcance del proyecto, dado que ambos ser+an
fundamentales para asegurar que la implementacin de ISA Server podr+a satisfacer los requisitos empresariales de
Microsoft.
'e(uisitos de la e$resa
&odos los entornos de datos informatizados son diferentesK por lo tanto, todas las organizaciones deben desarrollar sus
propias estrategias, ob$etivos y planes de implementacin de ISA Server. A continuacin se describen algunas de las
consideraciones empresariales m%s cruciales en Microsoft, que I&A tuvo en cuenta a la "ora de definir su estrategia,
ob$etivos y planes para implementar ISA Server a nivel interno4
&eben satisfacerse las necesidades del cliente. Microsoft "a asumido el compromiso de desarrollar soluciones que
satisfagan las necesidades del cliente. Gna necesidad de esta +ndole es una solucin de confianza y escalable que
permita a las empresas comunicarse con clientes y asociados a travs de Internet. -ara cumplir con este compromiso,
Microsoft desarroll ISA Server y a continuacin puso en marc"a una iniciativa interna para asegurarse de que el
producto estaba preparado para la compa,+a y era seguro y escalable. I&A y el grupo de desarrollo de productos
crearon un ciclo cerrado de recogida de comentarios en cada paso de realizacin de planes e implementacin de la
versin beta de ISA Server en Microsoft para asegurar que cualquier problema identificado se solucionaba antes de
que el producto pasara a la fase de fabricacin.
?as roiedades intelectuales deben er$anecer rotegidas9 !as propiedades intelectuales de Microsoft
suponen su mayor activo y se espera de I&A que prote$a dic"o activo. -or este motivo, I&A pone especial atencin en
evitar poner en peligro la seguridad de la compa,+a. Antes de que se implementara la versin beta de ISA Server en el
38
entorno productivo de Microsoft, un grupo de analistas de la seguridad revis los documentos de planes y, despus,
implement una peque,a infraestructura basada en dic"os planes para determinar si el entorno pod+a verse en peligro
con tcnicas de uso com7n entre los intrusos inform%ticos. Averiguaron que no e*ist+a este riesgo. Asimismo, vieron
que era un proceso suficientemente seguro para la implementacin en la red interna, lo que permitir+a las
comunicaciones directas con servidores de Internet.
?os e$leados deben tener acceso rido a la infor$acin. !a informacin slo tiene valor en la medida en que
puede utilizarse para ayudar en la toma decisiones diarias de los empleados y e$ecutivos. !a informacin debe ser
accesible para los empleados tan pronto como stos puedan procesarla, a fin de asegurar que las actividades
empresariales se lleven a cabo a 6la velocidad del pensamiento6. .l acceso r%pido a la informacin a travs de Internet
y la informacin compartida en dic"a red son requisitos empresariales fundamentales. Internet "a transformado de
manera espectacular la forma en que los empleados de Microsoft realizan sus tareas diarias. -or e$emplo, la
informacin interna de la compa,+a est% disponible casi e*clusivamente en formato electrnico 1&M!. !a mayor parte
de las aplicaciones sectoriales que se emplean en Microsoft utilizan ya Internet Information Server (el servidor #eb
integrado en #indo's ())) Server, SD! ServerS ())) e Internet .*plorer :.:. .l uso generalizado de contenido
1&M! en Microsoft "a "ec"o que ISA Server sea una solucin idnea para proteger la informacin y agilizar el acceso a
dic"a informacin.
?os entornos distribuidos deben ad$inistrarse $ediante una directiva unifor$e. Aunque la mayor+a de los
empleados traba$an en o cerca de la sede corporativa, otros est%n repartidos por todo el mundo. !os empleados de
todas las %reas de la compa,+a necesitan acceso seguro y r%pido al #eb y a la informacin compartida a travs de
Internet sin importar el lugar en el que traba$en. Administrar un entorno distribuido geogr%ficamente debe resultar
r%pido y f%cil, y es particularmente importante que I&A pueda aplicar una directiva de manera uniforme para
garantizar la seguridad del entorno interno.
!os puntos de acceso a Internet est%n disponibles en muc"as ubicaciones de Microsoft, lo que permite que una fuerza
de traba$o dispersa geogr%ficamente pueda aprovec"ar sus venta$as. .n el momento de la redaccin de este
documento, e*isten veintids puntos de acceso de este tipo, y todos ellos deben supervisarse y mantenerse de manera
segura a la vez que se permite a los empleados el acceso seguro y r%pido a Internet.
-l entorno debe basarse en estndares abiertos. !a administracin cotidiana del entorno de datos informatizados
interno de Microsoft se ve simplificada gracias al apoyo continuo de otras muc"as empresas. I&A depende de la
dedicacin y el apoyo diario de muc"os proveedores de soluciones para reducir los costos de soporte tcnico, me$orar
la seguridad y "acer que el entorno interno sea m%s sencillo de administrar. 2omo procedimiento recomendado, las
capacidades tcnicas y las "erramientas de soporte de las que se encargan otras empresas se consideran alternativas
rentables al desarrollo interno. -or este motivo es esencial que el entorno se base en est%ndares abiertos para que
otras empresas puedan ampliar el entorno con el fin de satisfacer condiciones empresariales cambiantes.
!aacidades del roducto
2omo parte de sus planes de implementacin, I&A e*amin detenidamente cmo las capacidades de ISA Server
podr+an acomodarse a los requisitos empresariales de Microsoft. .n este conte*to, a continuacin se describen algunas
de las capacidades del producto m%s significativas, con las que I&A se familiariz antes de implementar ISA Server en
toda la compa,+a.
39
Seguridad $ulticaa del servidor de seguridad
Gn servidor de seguridad puede me$orar la seguridad mediante el empleo de diversos mtodos, como el filtrado de
paquetes, el filtrado a nivel de circuito y el filtrado de aplicaciones. !os servidores de seguridad empresariales
avanzados, como el que proporciona ISA Server, combinan los tres mtodos para ofrecer proteccin en distintas capas
de red.
Ciltrado en el nivel de circuito
.n el nivel de circuito, el servicio Servidor de seguridad de ISA Server funciona con pr%cticamente todas las
aplicaciones y protocolos de Internet, como &elnet, correo, noticias, las tecnolog+as Microsoft #indo's MediaS ,
?ealAudio e Internet ?elay 2"at (I?2, as+ como otras aplicaciones cliente. .l servicio Servidor de seguridad "ace que
estas aplicaciones se comporten como si estuvieran conectadas directamente a Internet. .l filtrado en el nivel de
circuito est% disponible para el servidor de seguridad y para los clientes de Secure0A&.
.l filtrado en el nivel de circuito permite utilizar casi todas las aplicaciones est%ndar y personalizadas de Internet en la
plataforma #indo's. .stas aplicaciones se comunican en la red mediante #insocE y pueden utilizarse, sin
modificaciones, en equipos cliente que tienen instalado soft'are cliente de Servidor de seguridad.
.l filtrado en el nivel de circuito e*amina sesiones, en lugar de cone*iones o paquetes. Gna sesin puede incluir
diversas cone*iones, lo que conlleva varias venta$as importantes para los clientes con #indo's que utilizan el soft'are
cliente de Servidor de seguridad.
Ciltrado de a(uetes
!a capacidad de filtrado de paquetes de ISA Server permite que el administrador controle el flu$o de paquetes de
-rotocolo Internet (I- "acia y desde ISA Server. 2uando se "abilita el filtrado de paquetes, todos los paquetes de la
interfaz e*terna se eliminan a no ser que se permitan de forma e*pl+cita, ya sea est%ticamente, mediante filtros de
paquetes I-, o din%micamente, mediante directivas de acceso o reglas de publicacin.
.l filtrado de paquetes I- intercepta y eval7a los paquetes antes de que pasen a niveles superiores en el motor del
servidor de seguridad o a un filtro de aplicaciones. !os filtros de paquetes I- pueden configurarse para que slo
paquetes espec+ficos pasen a travs de ISA Server. .ste comportamiento proporciona a la red un alto nivel de
seguridad. .l filtrado de paquetes I- puede bloquear paquetes provenientes de "osts de Internet espec+ficos y puede
rec"azar paquetes asociados con muc"os ataques "abituales. Asimismo, el filtrado de paquetes I- puede bloquear
paquetes destinados a cualquier servicio de una red interna, incluido el pro*y #eb, un servidor #eb, un servidor SM&-
y otros.
!os filtros de paquetes I- son est%ticos y siempre se permite o se bloquea la comunicacin a travs de un puerto dado.
!os filtros "abilitadores permiten el tr%fico a travs del puerto que se especifique de manera incondicional. !os filtros
bloqueadores impiden siempre que los paquetes pasen a travs de un equipo con ISA Server.
ISA Server permite el filtrado de paquetes din%mico, la apertura autom%tica de puertos a medida que lo requieran las
comunicaciones y el cierre de puertos al finalizar una comunicacin. .ste comportamiento reduce al m+nimo el n7mero
de puertos e*puestos en cualquier direccin y proporciona a la red un alto nivel de seguridad.
40
ISA Server admite el filtrado de paquetes I- entrantes y salientes. .l filtrado de paquetes I- de ISA Server tambin
permite bloquear fragmentos y detectar ataques de nivel de paquete contra el servidor de seguridad.
Ciltrado en el nivel de alicacin
.l nivel m%s sofisticado de inspeccin de tr%fico que ofrece el servidor de seguridad ISA Server es la seguridad de nivel
de aplicacin. !os filtros de aplicaciones 6inteligentes6 pueden analizar una secuencia de datos para una aplicacin
dada y proporcionar un procesamiento espec+fico para dic"a aplicacin que incluya inspeccin, filtrado o bloqueo, o
incluso modificacin de los datos a su paso por el servidor de seguridad. .ste mecanismo protege contra acciones
conocidas como comandos SM&- no seguros o ataques contra servidores del Sistema de nombres de dominio (/0S,
Domain Name #"stem interno. !as "erramientas de otros fabricantes para el filtrado de contenido, que incluyen la
deteccin de virus, el an%lisis l*ico y la clasificacin de sitios, tambin utilizan filtros #eb y de aplicacin para ampliar
aun m%s la capacidad del servidor de seguridad.
Inseccin de estado
!a inspeccin de estado sirve para e*aminar los datos que atraviesan el servidor de seguridad en el conte*to de su
protocolo y el estado de la cone*in. A nivel de paquete, ISA Server e*amina el origen y el destino del tr%fico indicado
en el encabezado I- y el puerto que aparece en el encabezado &2- o G/-, e identifica el servicio de red o la aplicacin
utilizados.
!os filtros de paquetes din%micos permiten la apertura de un puerto slo en respuesta a la peticin de un usuario y
slo durante el tiempo requerido para satisfacer dic"a peticin, lo que reduce la vulnerabilidad derivada de los puertos
abiertos. ISA Server puede determinar de manera din%mica qu paquetes pueden pasar a los servicios de capa de
circuito y de capa de aplicacin de la red interna. !os administradores pueden configurar las reglas de directivas de
acceso que abren los puertos autom%ticamente slo si est% permitido y, despus, los cierran cuando finaliza la
comunicacin. .ste proceso, conocido como filtrado de paquetes din%mico, reduce al m+nimo el n7mero de puertos
e*puestos en cualquiera de las direcciones y proporciona a la red un alto nivel de seguridad sin problemas.
&eteccin de intrusiones integrada
2on la ayuda de la tecnolog+a que proporciona una compa,+a conocida como Internet Security Systems, ISA Server
puede ayudar a los administradores a identificar y responder a ataques de red "abituales como e*ploracin de puertos,
#in0uEe y -ing of /eat". .sta tecnolog+a proporciona a ISA Server un mecanismo de deteccin de intrusiones que
identifica este tipo de ataque. !a alerta especifica tambin qu accin debe emprender ISA Server cuando se reconoce
el ataqueK esta accin podr+a incluir el env+o de un mensa$e de correo electrnico o una p%gina al administrador del
sistema, la detencin del servicio Servidor de seguridad, la escritura de informacin en el registro de sucesos del
sistema o la e$ecucin de un programa o de una secuencia de comandos. 2on ayuda adicional de otros proveedores,
ISA Server puede ayudar a los administradores a identificar y responder a los ataques de red m%s "abituales.
ISA Server implementa la deteccin de intrusiones en el nivel de filtro de paquete y en el de filtro de aplicacin. !os
planes de implementacin de I&A requer+an el uso de cualquier tipo de deteccin de intrusiones que e*istiera.
!ac*+ 5eb de alto rendi$iento
ISA Server cuenta con una cac" #eb completamente redise,ada que le permite colocar cac" en la memoria ?AM.
.sta cac" #eb de alto rendimiento proporciona una mayor escalabilidad en el servidor as+ como menos tiempo
41
general de respuesta por parte del cliente #eb. .sto ten+a especial importancia para la implementacin por parte de
I&A de la versin beta de ISA Server, ya que los empleados de Microsoft necesitan un acceso r%pido al contenido #eb
e I&A necesita a"orrar en anc"o de banda de red.
Protocolo de enruta$iento de la $atri7 de cac*+
ISA Server utiliza el -rotocolo de enrutamiento de matriz de cac" (2A?-, Cache Arra" .outing Protocol para
proporcionar una escalabilidad sencilla y una elevada eficacia en una matriz de varios equipos con ISA Server. 2A?-
emplea un enrutamiento de "as" para proporcionar una 6ruta de resolucin de peticiones6 determinista para toda la
matriz. !a ruta de resolucin de peticiones, basada en la numeracin ("as" de las identidades y direcciones G?! de
los miembros de una matriz, implica que, para una direccin G?! dada, el e*plorador o servidor pro*y de direccin
descendente puede saber con precisin en qu parte de la matriz est% almacenada la informacin solicitada. !os
planes de implementacin de I&A requer+an la configuracin de ISA Server en matrices para aprovec"ar las venta$as
de 2A?-.
!olocacin de cac*+ con configuracin encadenada
.n este conte*to, el trmino 6encadenamiento6 "ace referencia a la cone*in $er%rquica entre los equipos individuales
o las matrices de equipos con ISA Server. Mediante el encadenamiento, las peticiones de cliente se env+an en direccin
ascendente a travs de los servidores de cac" "asta que se encuentra el ob$eto solicitado. /urante el proceso, el
ob$eto se almacena en cac" en todos los servidores "asta que se devuelve al cliente. -or ello, el encadenamiento
supone un mtodo eficaz de distribucin de la carga del servidor y de la tolerancia a errores.
!a configuracin encadenada puede utilizarse para acercar el contenido a los usuarios que lo necesitan, lo que genera
unos tiempos de respuesta m%s breves y reduce el tr%fico de ?ed de %rea e*tensa (#A0, !ide Area Net4or5. ISA
Server permite utilizar una cac" #eb distribuida en la que los usuarios pueden obtener p%ginas #eb de ISA Server en
lugar de buscarlas en sitios #eb individuales. !os planes de implementacin de I&A requer+an el empleo de la
configuracin encadenada para reducir el recorrido de distancias #A0 del equipo cliente en zonas geogr%ficas remotas
de la compa,+a.
Al$acena$iento en cac*+ activo
Mediante una caracter+stica conocida como almacenamiento en cac" activo, por el que ISA Server puede configurarse
para actualizar autom%ticamente ob$etos en una cac", ISA Server puede optimizar el uso del anc"o de banda al
actualizar el contenido de manera proactiva. .l almacenamiento en cac" activo aprovec"a los per+odos de poco tr%fico
de red para actualizar autom%ticamente, antes de que caduquen, los ob$etos a los que se tiene acceso con frecuencia.
Se trata de un mtodo que permite mantener actualizados los ob$etos almacenados en cac", ya que stos se
comprueban en el servidor #eb que los origin antes de que caduquen o de que un cliente obtenga acceso a ellos. .l
ob$etivo es acelerar los accesos de aquellos clientes que normalmente requerir+an un intercambio de mensa$es con el
servidor de origen para volver a validar los datos. 2omo e*iste un costo asociado a este proceso (tanto en el
procesamiento del servidor pro*y como en el anc"o de banda de la red, el ob$etivo es actualizar 7nicamente aquellos
ob$etos a los que probablemente tendr% acceso alg7n cliente en el futuro.
Sin embargo, la 6popularidad6 de los ob$etos no es un criterio 7til, ya que muc"as p%ginas populares no caducan
nunca. .l motivo es que los clientes actualizan las p%ginas manualmente para mantener los datos actualizados.
42
Adem%s, un ob$eto puede ser popular slo durante un breve per+odo de tiempo. .l cdigo del almacenamiento en
cac" activo intenta identificar aquellos ob$etos que se a$ustan con e*actitud a un patrn que corresponde al contenido
para el que la actualizacin activa resultar+a 7til, es decir, aquellos ob$etos que caducan y que los clientes vuelven a
utilizar posteriormente.
Ad$inistracin unificada
ISA Server aprovec"a la seguridad basada en #indo's ())), el servicio Active /irectoryS, @-0 y Microsoft
Management 2onsole (MM2. &odas estas caracter+sticas, en especial MM2, facilitan la administracin, ya que el
personal de operaciones est% familiarizado con ellas y puede administrar tanto el servidor de seguridad como la
memoria cac" de #eb desde una misma consola.
Mediante las "erramientas integradas para la generacin de informes, ISA Server permite e$ecutar informes est%ndar
programados que detallan la utilizacin de las p%ginas #eb y de las aplicaciones, los patrones de tr%fico de la red y la
seguridad. ISA Server proporciona diferentes "erramientas de generacin de informes para aspectos tales como la
frecuencia de acceso a Internet, dnde se tiene acceso y quin tiene acceso. Aracias a la posibilidad de generar
informes y alertas para los administradores acerca de aspectos como las actividades que se producen fuera de los
l+mites establecidos, ISA Server les permite comprender me$or cmo utilizan el #eb los empleados. Sin duda, resulta
7til para planear la capacidad de la red y e*igir el cumplimiento de las directivas corporativas. !os planes de
implementacin de I&A requer+an la e$ecucin peridica los sistemas de generacin de estos informes.
-or e$emplo, si se realiza una 7nica modificacin en el esquema de Active /irectory y se crea una directiva, es posible
configurar ISA Server para que se e$ecute en una matriz. !os planes de implementacin de I&A requer+an la instalacin
de veintids matrices diferentes en distintas regiones geogr%ficas, dentro del sistema de Microsoft. !as matrices
permiten que los administradores apliquen directivas (como la configuracin de los puertos en el nivel empresarial, lo
que a su vez permite que un simple cambio se aplique a todos los servidores ISA Server de cada matriz. !a replicacin
con m7ltiples maestros Active /irectory de la configuracin de ISA Server garantiza que cada servidor de una matriz
recibir% la configuracin actual y que sta se actualizar% autom%ticamente.
!os administradores deben controlar y e*igir el cumplimiento de las directivas, al mismo tiempo que dan soporte
tcnico a aquellos empleados que necesiten tener acceso a Internet. Aracias a la integracin con Active /irectory, ISA
Server proporciona todas las funciones necesarias para controlar el acceso seg7n el usuario, grupo, aplicacin, destino,
tipo de contenido y programa. !os planes de implementacin de I&A requer+an la definicin de controles en los niveles
empresarial y de matriz.
&irectivas e$resariales y control de acceso
ISA Server tambin permite crear directivas de matrices locales y en el nivel empresarial, para e*igir el cumplimiento
de las mismas de forma local o centralizada. ISA Server se puede instalar como un servidor independiente o como
miembro de una matriz. I&A utiliz inicialmente servidores independientes, durante la fase de aprendiza$e, pero m%s
adelante slo instal en servidores miembros de matrices del entorno de produccin. -ara facilitar la administracin,
todos los miembros de una matriz comparten la misma configuracin. Al modificar la configuracin de la matriz, se
modifican tambin todos los equipos ISA Server de la misma, incluidas las directivas de acceso y de cac".
43
!a administracin centralizada tambin puede suponer un aumento de la seguridad. !as tareas administrativas se
pueden realizar en un 7nico equipoK despus se replican las configuraciones resultantes en todos los dem%s. .ste
enfoque permite garantizar que todos los servidores tienen las mismas directivas de acceso, y resulta especialmente
7til en Microsoft, donde las matrices incluyen muc"os equipos con ISA Server.
!as empresas pueden llevar la administracin centralizada un paso m%s all% y permitir que los administradores
implementen una o m%s directivas empresariales, que incluyen reglas de sitio, de contenido y de protocolo. !as
directivas empresariales se pueden aplicar a cualquier matriz y se pueden ampliar con las directivas propias de cada
matriz. .ste enfoque e*ige el cumplimiento de las directivas empresariales en los niveles de departamento y sucursal,
al mismo tiempo que permite que los administradores restrin$an el acceso a7n m%s. !os planes de implementacin de
I&A requer+an la utilizacin de directivas empresariales para establecer est%ndares corporativos, que ampliar+an la
directiva de matriz establecida por cada una de las diferentes subsidiarias.
Introduccin al acceso a un servidor ro#y *eredado
I&A implement la primera versin de Microsoft -ro*y Server en 5II;, mientras el producto a7n se encontraba en la
fase beta. !as venta$as proporcionadas por esta primera implementacin se "icieron evidentes casi al instante. Aracias
a ella, el acceso de los empleados a Internet desde casi cualquier parte de la compa,+a resultaba relativamente f%cil.
2uando I&A implement la versin 5.) de -ro*y Server, situ todos los servidores afectados en slo dos centros de
datos, debido a aspectos relacionados con la seguridad y la facilidad de administracin. 2on la primera
implementacin, los usuarios ten+an que recorrer grandes distancias por la red para obtener acceso a Internet, lo que
aumentaba la utilizacin de la #A0. 2omo consecuencia, aunque la instalacin de los servidores pro*y permiti que
I&A protegiera f+sicamente y administrara los servidores, la primera implementacin no permiti el acceso r%pido a
Internet a todos los empleados.
2on estos datos, antes de la implementacin de -ro*y Server (.) los ingenieros volvieron a dise,ar la red interna al
mismo tiempo que la red troncal se convert+a a una red A&M (As"nchronous $rans*er )ode o Modo de transferencia
asincrnica. Simult%neamente, crearon veintids puntos de acceso a Internet en diferentes ubicaciones de la
compa,+a. 2omo parte del programa de dise,o de -ro*y Server (.), los ingenieros evaluaron la ubicacin de la
implementacin anterior de -ro*y Server 5.) y determinaron que, si se colocaban los servidores basados en -ro*y
Server (.) en ubicaciones en las que proporcionaran servicios como puntos de acceso a Internet, se podr+a
incrementar la velocidad de acceso a Internet y reducir al mismo tiempo los requisitos de la #A0.
D$bito y objetivos de la i$le$entacin
-ara formular la estrategia de implementacin de ISA Server, I&A defini un %mbito y unos ob$etivos de
implementacin, que defin+an de forma clara qu se deb+a lograr y permit+an que todos los miembros del grupo
colaboraran para alcanzar ob$etivos comunes.
-ara simplificar el plan y la e$ecucin de la implementacin, I&A dividi el proyecto en seis implementaciones menores,
cada una de ellas caracterizada por una configuracin 7nica, dise,ada para satisfacer requisitos empresariales
espec+ficos. .stas seis implementaciones defin+an el proyecto completo de instalacin de la versin beta.
5. Acceso cororativo a Internet9 -ara esta implementacin era necesario sustituir una instalacin ya
e*istente, basada en -ro*y Server (.), por una instalacin con ISA Server. .n esta implementacin, ISA Server se
44
configur para e$ecutarse en modo integrado, lo que le permit+a funcionar simult%neamente en los modos de
servidor de seguridad y de cac" de #eb.
-ara esta implementacin "ab+a que cambiar a ISA Server setenta equipos que utilizaban -ro*y Server (.). .stos
equipos estaban configurados en veintids matrices distribuidas por toda la compa,+a, de forma que los
empleados de cualquier regin tuvieran acceso seguro a Internet desde su puesto de traba$o. !os requisitos
empresariales de esta implementacin eran dos4 (5 proporcionar a los empleados un acceso r%pido y seguro al
#eb y (( establecer un frreo bucle de obtencin de comentarios para garantizar que ISA Server estuviera listo
para funcionar en toda la compa,+a al realizar la presentacin.
(. Servidor ro#y de encadena$iento9 .sta implementacin requer+a que I&A configurara el entorno interno
de Microsoft y colocara los servidores de cac" cerca de los usuarios, en configuraciones encadenadas. .stas
configuraciones encadenadas proporcionar+an me$or soporte a las subsidiarias de Microsoft, interconectadas
$er%rquicamente, que no cuentan con puntos de acceso a Internet. .l principal requisito empresarial de esta
implementacin era aprovec"ar me$or la #A0 corporativa de Microsoft y, simult%neamente, proporcionar un
acceso a Internet m%s r%pido a los empleados que depend+an del rendimiento de la red entre la sede central de la
compa,+a y su subsidiaria.
8. Servidores de seguridad en la e#tranet9 .sta implementacin, que a7n no est% completa mientras se
escriben estas l+neas, requerir% que I&A implemente ISA Server en la e*tranet corporativa de Microsoft, una
infraestructura de red de alta seguridad que se utiliza para establecer cone*iones de red seguras entre Microsoft y
sus proveedores y asociados comerciales.
9. I$le$entacin del cliente del servidor de seguridad9 -ara esta implementacin, I&A deb+a
implementar el soft'are de cliente del servidor de seguridad ISA Server en m%s de veinte mil equipos de
escritorio, lo que dar+a a dic"os equipos acceso al servidor pro*y #insocE y, a travs de l, a Internet. .l principal
requisito empresarial de esta implementacin era probar el cliente del servidor de seguridad antes de lanzarlo al
mercado.
:. I$le$entacin del servidor de seguridad en una subsidiaria9 .sta implementacin (en una compa,+a
de Silicon @alley que m%s adelante fue adquirida por Microsoft requer+a de I&A la sustitucin de una solucin de
servidor de seguridad "eredada, basada en G0IN, por un servidor ISA Server. .n esta implementacin, I&A
configur ISA Server para e$ecutarse en el modo de servidor de seguridad. .sta implementacin utiliza Secure0A&
y aprovec"a las reglas de enrutamiento en red, en lugar de las reglas que se aplican en los clientes, lo que
permite proporcionar el servicio de servidor pro*y a todos los clientes basados en I-, incluidos los clientes
Macintos" y G0IN que utilizan SocEs.
.l principal requisito empresarial de esta implementacin era sustituir la infraestructura "eredada (instalada por
un tercera fabricante por el est%ndar corporativo, al mismo tiempo que se obten+an resultados reales acerca de
los componentes del servidor de seguridad ISA Server.
;. -(uio selector >92229 -ara esta implementacin, I&A deb+a dise,ar, implementar y configurar una
infraestructura basada en ISA Server que utilizara el protocolo 1.8(8. Aunque fue necesario realizar planes m%s
detallados para esta implementacin, result ser un campo de pruebas esencial para validar y confirmar que ISA
Server, combinado con un equipo selector 1.8(8, permite que las empresas se comuniquen entre s+ a travs de
Internet mediante el soft'are de conferencia Microsoft 0etMeetingR. .l principal requisito empresarial de esta
implementacin era proporcionar comentarios acerca de las oportunidades proporcionadas por ISA Server que
permit+an a Microsoft desarrollar nuevos mtodos de negocio a travs de Internet.
-structura del gruo de i$le$entacin
-ara planear y realizar la implementacin de ISA Server en Microsoft, I&A seleccion un grupo de personas, basado en
sus conocimientos y capacidades en las siguientes %reas4
Ad$inistracin de royectos9 !os miembros del grupo necesitaban e*periencia en direccin de grupos y
una perspectiva empresarial. /eb+an "aber realizado todas las funciones tradicionalmente esperadas de un
administrador de proyectos, como la programacin de proyectos, la realizacin de informes y el an%lisis de
riesgos. .sto era necesario porque ser+an los responsables finales del resultado de la implementacin.
45
Ad$inistracin de rogra$as9 !os miembros del grupo deb+an desarrollar una 6mentalidad de producto6,
basada en una comprensin detallada del funcionamiento de ISA Server. .l administrador de programas deber+a
comunicar los problemas, estimar el impacto de los mismos en el proyecto y desarrollar planes para solucionarlos.
Ingeniera de infraestructuras9 !os miembros del grupo deben tener e*periencia en el dise,o y las
capacidades de la infraestructura e*istente. &ambin deben sentir pasin por la tecnolog+a. !os ingenieros de
infraestructuras deben proporcionar los conocimientos y capacidades necesarios para configurar el entorno
inform%tico, as+ como formular planes acerca de la configuracin de ISA Server.
&esarrollo de roductos9 Al menos uno de los miembros del grupo necesita e*periencia en el desarrollo
interno del soft'are de ISA Server y tener como ob$etivo crear un producto sin defectos. !os miembros del grupo
deben interactuar con un representante del grupo de desarrollo de ISA Server para informar de cualquier
problema a travs de un bucle de transmisin de comentarios.
&earta$ento de soorte de oeraciones9 Gno de los miembros del grupo debe ser capaz de comprender
la mentalidad y los "%bitos de traba$o de los usuarios internos. /ic"a persona actuar% como abogado de aquellos
empleados que se basan en ISA Server para realizar las funciones de su traba$o diario y de aquellos empleados
encargados de la supervisin y la resolucin de problemas de los clientes.
?a figura " resenta el gruo encargado de la i$le$entacin de ISA Server en Microsoft9
2ada miembro del grupo proporcion un punto de vista ligeramente diferente y un con$unto de capacidades totalmente
diferente. 2ada uno de ellos ten+a tambin sus propios ob$etivos en la implementacin de ISA Server. !a figura (
muestra los ob$etivos espec+ficos de cada uno de los miembros del grupo de implementacin.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Cigura 2 :bjetivos esecficos de cada uno de los $ie$bros del gruo de i$le$entacin
Ad$inistracin del riesgo
!a estrategia de implementacin de la versin beta de ISA Server requer+a de I&A la identificacin de las %reas de
riesgo que podr+an producir tiempos de inactividad de los servidores, as+ como las situaciones que podr+an
46
comprometer la seguridad de la red interna. I&A identific los siguientes riesgos, que el grupo deb+a resolver para
evitar cualquier efecto negativo en la implementacin4
Inactividad del servidor9 Tste es un riesgo que no se puede evitar, ya que en alg7n momento ser%
necesario realizar tareas de mantenimiento en cada servidor. .l tiempo de inactividad del servidor fue un
problema especialmente importante, ya que la implementacin del producto se realiz durante las fases iniciales
del desarrollo del mismo. I&A dise, su infraestructura para reducir la posibilidad de que los empleados sufrieran
los efectos del mantenimiento de los servidores o cualquier otro problema que se estuviera solucionando durante
la fase beta. 0ada m%s encontrar un problema en un servidor, el grupo de implementacin de I&A retiraba el
servidor afectado y repart+a la carga mediante .quilibrio de carga en la red (0!F, Net4or5 +oad 6alancing. .sta
infraestructura especial permit+a a I&A mantener los servidores sin cone*in y solucionar los problemas durante
todo el tiempo que fuera necesario para descubrir el motivo de cada problema sin causar m%s que un efecto
m+nimo en los clientes. .n cuanto fue posible utilizar el almacenamiento en cac" distribuido basado en ISA
Server, I&A elimin 0!F.
Acceso no autori7ado a la red9 -ara evitar este riesgo, I&A revis detenidamente los dise,os de la
infraestructura y las capacidades del producto, para poder garantizar que ISA Server estaba correctamente
configurado. /e forma predeterminada, ISA Server rec"aza todas las solicitudes, por lo que es necesario que los
administradores den permisos manualmente a todos los protocolos necesarios para el negocio. Sin embargo, I&A
consider prudente utilizar un entorno de pruebas para practicar la configuracin de ISA Server y e*aminar los
conceptos que m%s adelante se pondr+an en pr%ctica en el entorno de produccin.
Prueba de concetos
.l trmino 6prueba de conceptos6 "ace referencia a las actividades dirigidas a probar que un dise,o documentado u
otro plan funcionar% en el entorno de produccin, antes de poner realmente el dise,o a prueba en dic"o entorno. .l
ob$etivo de cada una de las pruebas de conceptos es confirmar que un dise,o propuesto funciona en un entorno de
pruebas reducido, bastante similar al entorno de produccin. I&A desarroll cada prueba de conceptos para comprobar
sus planes de implementacin antes de utilizarlos para llevar a cabo la implementacin interna completa.
Gna de estas pruebas de conceptos permit+a a I&A implementar la versin beta de ISA Server en un laboratorio
situado en ?edmond, #as"ington, y configurarlo para que funcionara como un servidor de seguridad de Internet
interno para una compa,+a adquirida en Silicon @alley. .n este caso, I&A realiz la prueba de conceptos en el
laboratorio durante el tiempo necesario para comprobar y confirmar que los cambios propuestos no afectaban de
forma negativa a ninguno de los empleados que depend+an del entorno de produccin.
.n todos los casos, I&A encontr que la programacin de pruebas de concepto resultaba 7til para administrar los
riesgos y proporcionar un entorno 7til para el aprendiza$e. !as pruebas de concepto eran especialmente importantes
en este caso, ya que la documentacin de ISA Server no estaba disponible cuando comenz la implementacin de la
versin beta.
.l grupo de I&A utiliz otras pruebas de conceptos para poner a prueba los procesos que se utilizar+an m%s adelante
para eliminar de sus respectivas matrices los equipos basados en -ro*y Server (.), para instalar ISA Server y para
administrar las matrices mediante las "erramientas de administracin de MM2 que se inclu+an con ISA Server. 2omo
47
cada una de las pruebas de conceptos ya "ab+a sido probada profundamente en un laboratorio de pruebas, las
actualizaciones del entorno de produccin se realizaron sin problemas.
Planea$iento de la caacidad
!a clave para ma*imizar el rendimiento y la utilizacin de un servidor al tiempo que se reducen al m+nimo los costos es
determinar el tama,o adecuado para el mismo. 2omo parte del plan de implementacin de ISA Server, I&A defini
configuraciones de "ard'are est%ndar 6peque,a6, 6mediana6 y 6grande6, que se utilizar+an seg7n el n7mero de
usuarios que se esperaba que tuvieran acceso a cada servidor.
-or e$emplo, I&A utiliz la configuracin de "ard'are grande en la sede central de la compa,+a en ?edmond, donde se
utilizan "abitualmente m%s de 9)))) equipos de escritorio. .n dic"a implementacin, se instal ISA Server en 5<
servidores configurados como una 7nica matriz que se e$ecutaba en una red A&M. !os clientes ten+an acceso a los
servidores a travs de una red de ()) MbpsK la tar$eta de interfaz de red de cada servidor funcionaba en modo d7ple*
completo.
Al revisar esta implementacin, I&A descubri que, en un d+a normal, la matriz no ten+a problemas para controlar (J9
AF de entrada y :; AF de salida para las solicitudes 1&&-, que representaban apro*imadamente un I< por ciento del
tr%fico. !a matriz tambin pod+a controlar con facilidad los m%s de 9) millones de solicitudes de direcciones G?!
basadas en Internet, con picos de unos (: AF de solicitudes 1&&- cada "ora durante la "ora del almuerzo y un tiempo
medio de proceso de 5,9 segundos para cada solicitud. /urante los per+odos de carga m%*ima, I&A controlaba un
promedio de 5:) solicitudes 1&&- cada segundo por cada servidor.
.s importante tener en cuenta que la implementacin de la versin beta de ISA Server en la sede central, as+ como la
seleccin de un determinado tama,o de configuracin para la misma, se bas en la larga e*periencia acumulada en
Microsoft. -ara conservar la costumbre, I&A realiza pruebas en diferente "ard'are, para determinar qu equipos se
instalar%n en los centros de datos de Microsoft. I&A tiene en cuenta aspectos como el rendimiento, el tiempo medio
entre errores del equipo, las capacidades de diagnstico remoto, el costo, la escalabilidad y la compatibilidad con
productos de otros fabricantes. I&A tambin tiene como ob$etivo seleccionar una plataforma "ard'are en la que cada
unidad de negocio pueda alo$ar f%cilmente las aplicaciones sectoriales sin necesidad de agregar componentes
adicionales, al menos durante los seis meses siguientes a la implementacin inicial.
=tra de las costumbres de I&A es instalar "ard'are idntico en todos los servidores de una matriz. &eniendo esto en
cuenta, la tabla 5 muestra los est%ndares de "ard'are de ISA Server que se utilizaron en la implementacin de la
versin beta en Microsoft. (&enga en cuenta que I&A tambin utiliz los est%ndares de "ard'are de -ro*y Server (.)
para ISA Server, por lo que no fue necesario utilizar "ard'are adicional.
3abla " !onfiguraciones de *ard6are estndar e(ue%a, $ediana y grande ara ISA Server
Procesadores
Eeon or
servidor
Me$oria or
servidor
-sacio en disco
dedicado ara
la cac*+ de
direcciones 1'?
or servidor
1suarios
si$ultneos
or servidor
),$ero de
servidores or
$atri7
-eque,a ( 5(J MF 8; AF 5,:)) (
Mediana ( 5(J MF :9 AF :,))) 9
48
ArandeQ 9 (:; MF ;8 AF 9),))) I
Q Apro*imadamente, uno por cada :))) usuarios
!olocacin de los servidores
.n la implementacin de la versin beta de ISA Server en Microsoft, la ubicacin de los servidores depend+a del
ob$etivo principal de cada sitio, la topolog+a de red e*istente y la ta*onom+a del centro de datos.
:bjetivos del sitio
!a instalacin de ISA Server para aprovec"ar principalmente sus caracter+sticas de almacenamiento en cac" de #eb
e*ig+an que I&A tuviera en cuenta el origen de las solicitudes de los clientes y dnde se encontraba en Microsoft cada
punto de acceso a Internet. .n esta consideracin tambin entraba a formar parte la cuestin de si la distancia f+sica
entre las dos ubicaciones e*ig+a una configuracin en cadena para realizar la implementacin.
-or otro lado, cuando la implementacin se realizaba para aprovec"ar principalmente las caracter+sticas de servidor de
seguridad para Internet de ISA Server, I&A necesitaba colocar los equipos con ISA Server lo m%s cerca posible de los
puntos de acceso a Internet, de forma que el tr%fico de red proveniente de Internet pasara a travs de ISA Server
antes de entrar en la red corporativa.
3oologa de red
I&A tambin tuvo en cuenta el dise,o f+sico de la red al decidir dnde colocar los equipos con ISA Server. .sta
consideracin era especialmente importante, ya que las funciones de ISA Server dependen de una red confiable y
escalable. !os enlaces de la red inform%tica de Microsoft siguen una topolog+a de red tradicional (A&M. All+ donde "ay
una alta concentracin de empleados, "ay un concentrador en la topolog+a de red, que casi siempre proporciona
acceso a Internet a todos los empleados. 2uando "ay un n7mero de empleados relativamente menor, se utiliza un
radio de la topolog+a de red.
!a revisin de la topolog+a de la red de Microsoft ayud a I&A a garantizar que los equipos con ISA Server podr+an
proporcionar suficientes funciones de cone*in a la red entre ellos y que los puntos de acceso a Internet estar+an
disponibles geogr%ficamente. !a figura 8 muestra la implementacin de tres matrices en ubicaciones que funcionan
como puntos de acceso a Internet. -ara proporcionar a todos los empleados de la compa,+a la m%*ima velocidad
posible para el acceso a Internet se necesitaron veintids de estas implementaciones.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Cigura 2 1bicacin tica de los e(uios con ISA Server ara roorcionar acceso a Internet a la co$a%a
!lasificacin de los centros de datos
Seg7n la ta*onom+a de I&A, e*isten tres clases de centros de datos4 centros de datos corporativos, centros de datos
regionales y salas de datos locales. !a ubicacin de los centros de datos tiene una gran influencia en la ubicacin de
los equipos con ISA Server. !a situacin geogr%fica de estos centros de datos corresponde a la topolog+a de la red A&M
corporativa, compuesta por radios y concentradores. !os centros de datos corporativos se sit7an all+ donde se
encuentra la mayor parte de los empleados. !os centros de datos regionales est%n dispersos geogr%ficamente y se
49
utilizan principalmente para alo$ar los equipos de red necesarios para conectar las salas de datos locales con los
centros de datos corporativos. !as salas de datos locales suelen encontrarse en las subsidiarias. !a mayor parte de las
salas de datos locales est%n conectadas directamente a un centro de datos regional mediante una cone*in de red de
m%s de (:; Mbps.
.n lo que respecta a los clientes, siempre est%n configurados para tener acceso al equipo con ISA Server m%s pr*imo
en la red interna, donde la ruta de acceso a la red determina la distancia entre el cliente y el servidor. -or e$emplo, los
clientes con #indo's ())) -rofessional que se encuentran en San Uuan, -uerto ?ico, tienen acceso al equipo con ISA
Server que se encuentra en !as 2olinas, &e*as, ya que es la implementacin de ISA Server m%s pr*ima. -or tanto,
para la implementacin de la versin beta de ISA Server, un grupo de ingenieros de red determin cada una de las
ubicaciones f+sicas que se utilizar+an como puntos de acceso a Internet en toda la compa,+a y llev a cabo la
implementacin de forma que se aprovec"aran estas ubicaciones e*istentes.
A continuacin se estudian algunas de las diferencias principales entre las clasificaciones de los centros de datos y
algunos aspectos a tener en cuenta en relacin a la implementacin de ISA Server en cada clasificacin.
!entros de datos cororativos
Microsoft cuenta con centros de datos corporativos en dos ubicaciones4 ?edmond, #as"ington, y /ubl+n, Irlanda. .stas
instalaciones, en las que "ay personal las (9 "oras del d+a, siete d+as a la semana, dan servicio a la mayor parte de los
empleados de la compa,+a. .l centro de ?edmond da servicio a los empleados que traba$an en el estado de
#as"ington y el de /ubl+n a los que traba$an en .uropa. 2ada centro de datos tiene acceso a Internet y una matriz
ISA Server.
.n ?edmond, I&A implement una 7nica matriz con 5< equipos, cada uno de los cuales e$ecutaba ISA Server en modo
integrado. .n esta %rea de la compa,+a, unos 9)))) equipos cliente solicitan diariamente de Internet unos 9) millones
de direcciones G?!. .l personal del centro de datos supervisa la actividad de la matriz y agrega equipos a la misma
para proporcionar el m%*imo rendimiento.
!as configuraciones de ISA Server en ?edmond requieren que cada equipo ISA Server est configurado para un 7nico
propsito y que se e$ecute en modo integrado para proporcionar una cac" de #eb y un servidor de seguridad en el
mismo servidor. .s decir, los servidores que e$ecutan ISA Server en este %rea de la compa,+a no proporcionan
servicios adicionales, como servicios de impresin, arc"ivos o control del dominio.
!entros de datos regionales
.n Microsoft, los centros de datos regionales tienen menos servidores que los centros de datos corporativos, porque
suelen dar servicio a menos empleados que los dos centros de datos corporativos de la compa,+a. Aeneralmente, en
los centros de datos regionales se e$ecutan aplicaciones distribuidas, m%s peque,as que las que se implementan en los
centros de datos de mayor tama,o, y generalmente proporcionan acceso a Internet a cada regin. Adem%s, a
diferencia de los centros de datos corporativos, los centros de datos regionales no suelen tener personal dedicado en
el sitio. .n su lugar, suelen estar administrados de forma remota, con la ayuda del soft'are Servicios de &erminal
Server que se incluye con #indo's ())) Advanced Server.
!as instalaciones de ISA Server que se encuentran en los centros de datos regionales se utilizan con menos intensidad
que aquellas que se encuentran en los centros de datos corporativos, ya que el n7mero de empleados con acceso a los
50
mismos es menor. -or tanto, I&A suele utilizar las configuraciones de "ard'are mediana o peque,a para los equipos
con ISA Server en los centros de datos regionales.
Salas de datos locales
2asi todas las subsidiarias de Microsoft cuentan con una sala de datos local, capaz de almacenar de forma segura una
peque,a infraestructura basada en #indo's ())) Advanced Server, que da servicio a los empleados que traba$an en
la oficina. !a infraestructura est% formada por varios equipos que utilizan el sistema operativo de red #indo's ()))
Advanced Server, que proporciona servicios de Active /irectoryK /0SK arc"ivo, impresin y, en algunos casos, incluso
servicios de acceso remotoK servicios de servidor pro*y y correo electrnico. Gn servidor t+pico est% configurado para
funcionar simult%neamente como controlador de dominio, servidor de cat%logo global, servidor /0S y servidor de
-rotocolo de configuracin din%mica de "ost (/12-, D"namic 7ost Con*iguration Protocol. .sta infraestructura permite
que los empleados (5 inicien sesin en una red de forma segura y tengan acceso a los datos compartidos dentro de la
subsidiaria, (( colaboren con otros empleados de la subsidiaria y (8 impriman documentos almacenados localmente
sin necesidad de disponer de cone*in a travs de la red f+sica con una instalacin regional ubicada en otro lugar. !a
infraestructura /12- se utiliza para configurar los clientes de forma que tengan acceso a una matriz ISA Server que da
servicio a la regin.
!as salas de datos locales son esenciales para ayudar a I&A a dar soporte a los empleados que se encuentran a una
gran distancia f+sica. /isponer de una peque,a infraestructura en cada subsidiaria ayud a reducir el tiempo de
latencia y el tr%fico de red en toda la #A0, ya que la infraestructura de cada regin configura autom%ticamente los
clientes para utilizar las matrices seg7n su ubicacin geogr%fica.
-strategia
2omo parte de la estrategia de implementacin de ISA Server, I&A utiliz puntos de comprobacin formales para medir
el progreso y formarse una opinin general acerca de la direccin del proyecto. I&A estableci tambin "itos
principales para dividir la implementacin en distintas fases.
!a primera fase de la implementacin inclu+a la comprensin de los requisitos empresariales y las capacidades de ISA
Server, la realizacin de las pruebas de conceptos iniciales y el desarrollo de un %mbito de proyecto formal con los
ob$etivos de implementacin correspondientes. I&A realiz cada uno de estos ob$etivos en relacin a los dem%s. !os
administradores del proyecto identificaron los par%metros que dirigen el negocio, los ingenieros de infraestructura
prepararon los dise,os del sistema, los programadores del producto proporcionaron informacin acerca del mismo y el
personal de operaciones comenz a aprender cmo configurar ISA Server.
!a segunda fase, as+ como las siguientes, implicaban el incremento gradual del n7mero de equipos que e$ecutaban ISA
Server para cada una de las implementaciones identificadas en el %mbito del proyecto. .n cada una de las fases de la
implementacin, I&A actu como abogado de los clientes, informando de cualquier problema al grupo de desarrollo del
producto, para poder disponer de una solucin antes de su presentacin. .ste proceso se repiti a lo largo de muc"as
versiones beta internas.
-jecucin de la i$le$entacin
-ara instalar y configurar ISA Server, el grupo de implementacin de I&A depend+a del plan inicial, en el que se
identific cmo se utilizar+a el producto. A continuacin, el grupo e$ecut la implementacin seg7n los requisitos
51
empresariales establecidos al planear cada una de las seis implementaciones descritas anteriormente. !a e$ecucin
implicaba la configuracin de ISA Server seg7n los est%ndares acordados, adoptar las directivas empresariales y de la
matriz, e$ecutar las "erramientas de supervisin y generacin de informes est%ndar y e$ecutar otras configuraciones
m%s espec+ficas.
!onfiguracin estndar de ISA Server
.n Microsoft, el amplio uso del control de cambios y de est%ndares corporativos bien definidos para la configuracin de
los servidores significa que cuando los miembros del grupo de desarrollo comenzaron a traba$ar, ya contaban con una
infraestructura predecible y f%cil de administrar. Adem%s, ya e*ist+an est%ndares bien definidos para los valores f+sicos
y la configuracin de los servidores, que resultar+an beneficiosos para el soporte diario durante la implementacin de
ISA Server.
-or e$emplo, el grupo configur todos los equipos ISA Server para utilizar ?AI/ (.edundant Arra" o* 8nexpensive Dis5s
o Matriz redundante de discos econmicos, como se muestra en la tabla (. (&enga en cuenta que la tabla representa
el est%ndar que I&A utiliz para los servidores ISA Server 6grandes6 y que los tama,os de las particiones var+an seg7n
la cantidad de memoria cac" especificada. .n los servidores de gama alta, el grupo configur los directorios System,
G?! y !og para que cada uno de ellos utilizara una particin f+sica propia. .n los servidores m%s peque,os, el grupo
configur los directorios System y !og para compartir una misma particin f+sica. .n ambos casos, el directorio G?!
siempre ten+a su propia particin dedicada.
3abla 2 !onfiguraciones de 'AI&
Particin 'AI& " 'AI& <
System (sistema S+ 0o
2ac" G?! 0o S+
Arc"ivos de registro 0o S+
2ada equipo con ISA Server utilizaba el sistema operativo #indo's ())) Advanced Server y dos servicios adicionales
proporcionados por #indo's ())) Advanced Server, como se muestra en la tabla 8.
3abla 2 Servicios de 5indo6s 2000
Servicio FPor (u+ *abilitarloG
-rotocolo simple de administracin de redes (S0M-,
#imple Net4or5 )anagement Protocol
0ecesario para 2ompaq Insig"t Agents
Servicios de &erminal Server, en modo administrativo -ara la administracin remota
.l grupo des"abilit los siguientes servicios de #indo's ())) Advanced Server en la implementacin de ISA Server
porque no eran necesarios en el entorno4
.*aminador de equipos
Sistema de arc"ivos distribuido (/>S, Distributed File #"stem
Seguimiento de v+nculos distribuidos
Servicio de fa*
52
?egistro de licencias
&elefon+a
2omo procedimiento recomendado, I&A des"abilit estos servicios para reducir la comple$idad del entorno, simplificar
los procedimientos de resolucin de problemas que fueran necesarios y aumentar los recursos del sistema disponibles
para los servicios realmente necesarios. !a tabla 9 muestra la configuracin de la tar$eta de interfaz de la red e*terna.
3abla 8 !onfiguracin de la tarjeta de interfa7 de la red e#terna
3arjeta de interfa7 de red !onfiguracin
)5a I- @alor predeterminado
)5b I- @alor predeterminado
-uerta de enlace o gate4a" predeterminada @alor predeterminado
62liente para redes Microsoft6 /es"abilitar
62ompartir impresoras y arc"ivos6 /es"abilitar
6?egistrar esta cone*in en /0S6 /es"abilitar
0etFios /es"abilitar 0etFI=S sobre &2-3I-
!a implementacin est%ndar de ISA Server tambin requer+a las siguientes configuraciones4
3abla < !onfiguraciones adicionales ara la i$le$entacin de ISA Server
ISA Server !onfiguracin
Modo Integrado
2ac" () AF en cada servidor
>iltros I- /12- des"abilitado. &odos los dem%s en el estado predeterminado
Informes Semanales en cada servidor
/eteccin de intrusiones 1abilitado
!ontrol de ca$bios
.n Microsoft, todos los servidores controlados por I&A siguen un enfoque similar para el control de cambios y los
servidores instalados para la implementacin beta de ISA Server no son una e*cepcin. .l proceso de control de
cambios, que da como resultado la adopcin de una nueva configuracin est%ndar, implica tres niveles. 2ada uno de
ellos, conocido tambin como 6proyecto6, est% representado por el color oro, plata y bronce, respectivamente.
-or e$emplo, la configuracin incluida en el proyecto oro representa el est%ndar corporativo actual para #indo's ()))
Advanced Server. -or este motivo, la mayor parte de los servidores de produccin de Microsoft utilizan el proyecto oro,
que contiene #indo's ())) Advanced Server, el Service -acE actual y las revisiones que resuelven los problemas que
se consideran caracter+sticos del entorno Microsoft. !a configuracin del proyecto plata representa un cambio
propuesto en el est%ndar corporativo, por e$emplo, para admitir nuevo "ard'are, a$ustar el rendimiento o incluir un
nuevo Service -acE o revisin. &odos los cambios realizados en el est%ndar corporativo pasan por el proyecto plata, de
forma que los ingenieros puedan introducir los cambios de forma controlada en el entorno de produccin. Gnas pocas
53
docenas de servidores de produccin de Microsoft utilizan el proyecto plata para realizar pruebas. Si dic"os servidores
muestran me$or rendimiento y confiabilidad que los servidores que utilizan el proyecto oro, se aprueba el cambio
propuesto para el est%ndar corporativo. 2omo parte de los procesos de aprobacin, la configuracin incluida en el
proyecto plata sustituir% a la del proyecto oro.
!a configuracin del proyecto bronce representa los cambios propuestos para el est%ndar corporativo que a7n no est%n
listos para ser utilizados en produccin. 2ontiene una configuracin que se implementar% en el entorno de un
laboratorio, 7nicamente para realizar pruebas. .l entorno de pruebas es similar a un entorno de produccin, aunque a
una escala m%s reducida, lo que permite a I&A determinar si la nueva configuracin ser% estable una vez comience a
utilizarse en un entorno de produccin real limitado. 2ada cambio propuesto para el est%ndar corporativo entra en el
proceso de control de cambios cuando se agrega al proyecto bronce. A continuacin, los cambios pasan al proyecto
plata para probarlos en un entorno de produccin limitado, antes de agregarlos al proyecto oro y convertir la
configuracin modificada en el nuevo est%ndar corporativo. !a duracin de cada fase de pruebas suele ser, como
m+nimo, de tres d+as de uso continuo. .n las circunstancias ideales, las pruebas duran muc"o m%s. !a figura 9 muestra
la utilizacin de estas tres configuraciones.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Cigura 8 1tili7acin de las configuraciones del control de ca$bios
Migracin de Pro#y Server 290 a ISA Server
!legado el momento de implementar ISA Server en los equipos en los que ya se e$ecuta -ro*y Server (.), el grupo de
implementacin descubri que era necesario realizar una preparacin adicional de los servidores antes de seguir
adelante. As+, los miembros del grupo llevaron a cabo los siguientes pasos4
5. .liminar cada servidor de la matriz basada en -ro*y Server (.) a la que pertenec+an.
(. /esinstalar -ro*y Server (.) de cada servidor. (&enga en cuenta que, en ese momento, no era posible realizar
actualizaciones.
8. /esinstalar Internet Information Server (IIS :.) de cada servidor.
9. /ar formato a la unidad lgica en la que se encuentra la cac" de direcciones G?!.
.l paso 8 se realiza porque Servicios de Internet Information Server e ISA Server compiten por obtener el puerto J),
el puerto predeterminado para Servicios de Internet Information Server y para el est%ndar 1&&- que utiliza ISA Server.
2omo las funciones de ISA Server no dependen en modo alguno de IIS, no e*iste ning7n motivo para mantenerlo en
los servidores en los que se implementar% ISA Server.
?a ri$era i$le$entacin


&irectiva
FActuali7ar el
es(ue$aG
!ac*+ distribuida Indeendiente
.mpresarial S+ S+ 0o
Matriz S+ S+ 0o
54
Independiente 0o 0o S+
2omo parte de su traba$o, los miembros del grupo tuvieron que considerar cmo implementar las directivas
empresariales y de matriz, as+ como el efecto de esta decisin en la administracin posterior. -ara ello, el grupo tuvo
que familiarizarse con el mtodo que utilizan los administradores de ISA Server para crear las reglas que controlan los
filtros de protocolos y de paquetes en el nivel de matriz. !a directiva de matriz slo se aplica a los equipos con ISA
Server de la matriz.
.l grupo de implementacin decidi configurar el entorno para permitir que la directiva empresarial se aplicara a la
directiva de matriz, de forma que ambas pudieran combinarse como requirieran las necesidades empresariales.
Mediante la "erramienta de inicializacin de ISA Server, el grupo tambin proporcion la configuracin necesaria para
definir una nueva directiva, "eredar una configuracin de una directiva e*istente y utilizar el filtrado de paquetes en el
nivel de matriz. !a figura ; ilustra esta relacin.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Cigura = ?a relacin entre la directiva e$resarial y de $atri7
/espus de actualizar el esquema de Active /irectory con la "erramienta de inicializacin de ISA Server, el grupo
estaba preparado para utilizar el programa de instalacin de ISA Server y configurar el primer servidor. Gna vez
completadas las modificaciones del esquema, la "erramienta de modificacin muestra un cuadro de di%logo que indica
que puede comenzar la instalacin de ISA Server. 2omo parte de la instalacin, el grupo configur el primer servidor,
que se e$ecutaba en modo integrado, como miembro de la matriz de dominios.
-ara realizar los 7ltimos pasos de la instalacin, el grupo tuvo que definir una &abla de direcciones locales (!A&, +ocal
Address $able. 2omo parte del proceso, el grupo seleccion un intervalo de direcciones I- que se incluir+a en la tabla
!A&. ISA Server utiliza la tabla !A& para distinguir entre las redes internas y e*ternas.
Gna vez completada la instalacin de ISA Server, el grupo e$ecut la "erramienta de administracin del producto para
configurar el entorno de forma que los clientes pudieran comenzar a utilizar ISA Server. !a figura < muestra los pasos
seguidos por I&A mientras utilizaba la "erramienta de administracin para configurar su entorno4
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Cigura @ Pasos seguidos ara configurar el entorno inicial de ISA Server
!a "erramienta de administracin permite configurar el con$unto de direcciones de un cliente, que puede basarse en
direcciones I- individuales o en intervalos de direcciones I-. .l con$unto de direcciones del cliente especifica los
equipos cliente autorizados para utilizar ISA Server. .n Microsoft, casi todos los empleados necesitan acceso a Internet
"abitualmente, por lo que el grupo configur el con$unto de direcciones con los intervalos de direcciones I- que
permit+an cumplir este requisito.
55
/e forma predeterminada, ISA Server rec"aza todos los protocolos, lo que significa que se debe e$ecutar la
"erramienta de administracin de forma espec+fica para configurar cada uno de los protocolos necesarios. -ara que el
sistema siga siendo todo lo seguro que sea posible, el grupo aprovec" esa restriccin y utiliz la directiva empresarial
para definir 7nicamente aquellos protocolos necesarios en Microsoft y rec"azar todos los dem%s. .l grupo de seguridad
empresarial utiliz esta informacin para reducir el riesgo que conlleva la posibilidad de que la aplicacin que necesita
un protocolo sea un caballo de &roya. .n el peor de los casos, dic"a aplicacin podr% obtener informacin importante
de los sistemas internos y utilizar el protocolo "abilitado para transmitirla a una ubicacin e*terna. .sto significa que,
antes de que el grupo 6permita6 una aplicacin, es necesario garantizar que fue creada por un programador o una
organizacin de confianza y que es necesaria para realizar una funcin empresarial leg+tima. -ara determinar esta
informacin, el grupo distribuy entre los empleados un cuestionario solicitando informacin necesaria, como4
Aplicacin que necesita el protocolo4
!a persona o entidad que posee el copyrig"t de la aplicacin
Mtodo que utiliz el empleado de Microsoft para obtener la aplicacin
2mo pueden obtener la aplicacin otros empleados de Microsoft
Du "ace la aplicacin y cmo funciona
2mo espera el empleado de Microsoft que funcione la aplicacin a travs del servidor de seguridad
2one*iones4
07mero de puerto inicial
G/-, &2- o ambos
2one*iones secundarias
!os sistemas de los que provendr%n la mayor parte de las cone*iones
BA qu se conectar%n estos sistemasC
-royecto4
.l n7mero de empleados que se espera que utilicen la aplicacin diariamente
07mero estimado de bytes transferidos de entrada y salida diariamente
>recuencia de las transacciones (de una sola vez o repartidas a lo largo del d+a
-ara proteger a7n m%s la implementacin de ISA Server, el grupo utiliz las reglas de grupos y acceso a Internet de
#indo's ())) para limitar el n7mero de empleados con acceso a los protocolos permitidos. 2uando era posible, el
grupo aplic a cada uno de los protocolos admitidos una programacin que permit+a su funcionamiento 7nicamente en
un determinado per+odo de tiempo cada d+a. /el mismo modo, aplic un con$unto de destinos a los protocolos
admitidos, lo que permit+a bloquear el acceso de clientes internos a determinados sitios de Internet.
-or 7ltimo, el grupo configur la deteccin de intrusiones para permitir la deteccin (y la notificacin a los
administradores de las tcnicas de intrusin que se utilizan "abitualmente.
Siguientes i$le$entaciones de e(uios con ISA Server
56
Gna vez realizada la primera implementacin de ISA Server y establecidos la directiva empresarial, unos ob$etivos bien
definidos y el %mbito de implementacin, lleg el momento de llevar a cabo las siguientes implementaciones.
Mientras se redacta este documento, los miembros del grupo est%n implementando una matriz ISA Server en cada una
de las veintids ubicaciones de Microsoft en las que "ay puntos de acceso a Internet. !os miembros del grupo utilizan
la directiva empresarial establecida durante la primera implementacin para ampliar las directivas de cada una de
estas matrices. Adem%s, utilizan la directiva de matriz para restringir a7n m%s el acceso mediante la denegacin de los
protocolos admitidos por la directiva empresarial si no son necesarios en una matriz espec+fica (por e$emplo, cuando
los empleados de determinadas subsidiarias no necesitan todos los protocolos que son necesarios en la sede central de
la compa,+a. !a replicacin con m7ltiples maestros de Active /irectory automatiz la mayor parte de las
configuraciones utilizadas en las siguientes implementaciones de ISA Server al configurar los servidores con las
opciones establecidas por la directiva empresarial.
!onfiguracin de Internet -#lorer y el cliente del servidor de seguridad
&anto en la primera como en las siguientes implementaciones de ISA Server, los miembros del grupo tuvieron que
realizar los cambios de configuracin necesarios en Internet .*plorer y en el cliente del servidor de seguridad (incluido
con ISA Server para que los equipos ISA Server pudieran tener acceso a Internet. .ste traba$o, que implicaba la
configuracin de dos arc"ivos ./A&, se describe a continuacin.
!onfiguracin del arc*ivo 5ad9dat
Internet .*plorer utiliza el arc"ivo #-A/./A& para obtener la informacin que permite al e*plorador del cliente utilizar
el servicio de servidor pro*y de ISA Server para tener acceso a Internet. !os clientes que utilizan Internet .*plorer
para el acceso a Internet se pueden configurar mediante /0S o /12-K sin embargo, para la implementacin de ISA
Server, los miembros del grupo utilizaron /12- para proporcionar a los clientes un arc"ivo de configuracin
#-A/./A&. Se "izo as+ porque en Microsoft "ay muc"os m%s %mbitos /12- que zonas /0S. Adem%s, con m%s de
58)))) clientes distribuidos en m%s de I) subsidiarias por todo el mundo, /12- proporcionaba la granularidad
necesaria para configurar los clientes de forma que utilizaran la matriz ISA Server m%s pr*ima geogr%ficamente.
.n este caso, los miembros del grupo configuraron los servidores /12- de cada subsidiaria para proporcionar a los
clientes de nivel inferior el arc"ivo #-A/./A& apropiado, mediante la opcin de %mbito personalizado (:(. Gna vez
finalizada la configuracin, los e*ploradores pueden detectar qu servidor /12- utiliza un determinado cliente que, a
su vez, solicita el arc"ivo de configuracin #-A/./A& al servidor /12- apropiado.
.n cuanto a la implementacin de la versin beta de ISA Server fuera de ...GG., el grupo instal el producto en los
servidores de /ubl+n (Irlanda, Munic" (Alemania, !ondres (?eino Gnido, !es Glis (>rancia y Vuric"(Suiza. 2ada uno
de estos servidores se uni a una matriz responsable de dar servicio a cada subsidiaria. A continuacin se configuraron
en cada subsidiaria los clientes que utilizaban #indo's ())) -rofessional para utilizar la matriz local con la opcin de
%mbito /12- (:(. 0o "abr+a sido posible realizar esta configuracin mediante /0S, ya que mic"as de estas regiones
constituyen un 7nico dominio. .sta opcin personalizada permite especificar la ubicacin del arc"ivo #-A/./A&
mediante la sinta*is que se muestra a continuacin4
"ttp4330ombreMatriz-ro*y3'pad.dat
donde 0ombreMatriz-ro*y especifica la matriz ISA Server que utilizar%n los clientes para obtener informacin
del proveedor /12-.
57
!os miembros del grupo tambin registraron el nombre de la matriz en /0S, que se utilizar+a para realizar una
operacin de funcionamiento por turnos en los equipos con ISA Server que se unieran a la matriz con el propsito de
equilibrar la carga de traba$o que suponen las peticiones de los clientes. -or 7ltimo, utilizaron una tabla !A& en
Internet .*plorer para diferenciar las direcciones I- internas y e*ternas y, de este modo, no utilizar ISA Server para el
acceso a la intranet local.
!onfiguracin del arc*ivo 5sad9dat
Muc"as aplicaciones #insocE asumen que el equipo cliente se conecta directamente a Internet y que dispone de una
direccin I- en Internet. /ic"as aplicaciones tienen problemas cuando se utilizan en la red corporativa de Microsoft, ya
que no pueden obtener una configuracin que les permita el acceso a Internet mediante ISA Server. Se debe a que los
paquetes I- no tienen la direccin correcta para utilizar un servidor pro*y. Algunas aplicaciones podr+an solicitar una
direccin de Internet, que no se puede obtener a menos que la aplicacin utilice un pro*y. .sto significa que para
poder tener acceso a Internet, deben interceptarse los paquetes para redirigirlos a un pro*y o debe configurarse el
cliente de forma que env+e los paquetes directamente al pro*y.
!os clientes que necesitan acceso a Internet a travs del pro*y #insocE utilizan el cliente de servidor de seguridad
incluido con ISA Server. ISA Server permite restringir el acceso de los clientes al servidor de seguridad seg7n el
nombre de dominio, la direccin I- y la m%scara de subred.
.l arc"ivo #S-A/./A& proporciona la informacin que necesita el cliente del servidor de seguridad para utilizar el
servicio de servidor de seguridad de ISA Server y obtener acceso a Internet.
!os empleados que necesitan el cliente del servidor de seguridad lo descargan de un sitio #eb interno. Al instalarlo en
el equipo de escritorio, aparece una casilla de verificacin predeterminada que "abilita la configuracin autom%tica.
.sta opcin permite consultar el arc"ivo #S-A/./A& para actualizar la configuracin del cliente del servidor de
seguridad.
.ste cliente proporciona compatibilidad con aplicaciones como MS0R Messenger, el ?eproductor de #indo's Media, el
cliente de mensa$er+a y colaboracin Microsoft =utlooER, el servicio de correo basado en #eb 1otmailR y cualquier
otro que necesite #insocE para el acceso a Internet. .l grupo de implementacin no tuvo que configurar ninguna
aplicacin #insocE para utilizar una puerta de enlace (gate4a", ya que #insocE analiza el tr%fico de red #insocE local
y realiza b7squedas contra la tabla !A& de forma transparente. #insocE determina la ruta apropiada para el tr%fico de
red bas%ndose en las direcciones incluidas en la tabla !A&.
!a tabla !A& definida por los miembros del grupo de implementacin al realizar la primera implementacin de ISA
Server est% almacenada en cada instalacin de ISA Server y se env+a al cliente del servidor de seguridad a intervalos
regulares. /ic"o cliente utiliza la configuracin incluida en la tabla !A& para determinar el tr%fico de red de los clientes
que se debe redirigir a Internet. .l cliente del servidor de seguridad se des"abilita autom%ticamente cuando el equipo
cliente se conecta directamente a Internet. .sta caracter+stica es 7til para los equipos port%tiles, que en ocasiones
establecen una cone*in directa a Internet.
Ad$inistracin del entorno
58
-ara administrar el entorno, el grupo de implementacin de ISA Server utiliz principalmente la "erramienta de
administracin incluida en ISA Server ())) .nterprise .dition. !a "erramienta de administracin permite ver y cambiar
simult%neamente la configuracin de muc"os equipos con ISA Server, ya que los trata como una 7nica entidad lgica.
-#tensas caractersticas de generacin de infor$es
/espus de instalar ISA Server, los miembros del grupo ($unto con los restantes administradores y el personal de
seguridad se basaron en las caracter+sticas de generacin de informes est%ndar del producto para administrar el
entorno. -or e$emplo, obtuvieron informacin acerca de la utilizacin de los protocolos mediante un resumen gr%fico y
un informe detallado, que incluye la siguiente informacin en formato de tabla4
-rotocolo
-uerto
Gsuarios e*clusivos
-eticiones
-orcenta$e respecto al total de peticiones
Fytes de entrada
-orcenta$e de bytes de entrada respecto al total
Fytes de salida
-orcenta$e de bytes de salida respecto al total
07mero total de bytes
-orcenta$e respecto al total de bytes
.l grupo tambin utiliz un resumen gr%fico y un informe detallado de ISA Server acerca de los usuarios que
generaban el mayor volumen de tr%fico en la red. .l informe est%ndar de ISA Server contiene la siguiente informacin,
ordenada de forma ascendente seg7n su uso4
Gsuario
-eticiones
-orcenta$e respecto al total de peticiones
Fytes de entrada
-orcenta$e de bytes de entrada respecto al total
Fytes de salida
-orcenta$e de bytes de salida respecto al total
07mero total de bytes
-orcenta$e respecto al total de bytes
2on otro informe, los miembros del grupo obtuvieron un resumen gr%fico y los detalles acerca de los sitios de acceso
m%s frecuente a travs de la matriz del pro*y. .n este informe, ISA Server proporciona las categor+as siguientes4
Sitio
Gsuarios e*clusivos
-eticiones
59
.l grupo utiliz tambin otros informes est%ndar acerca de la utilizacin de la matriz, que inclu+an informes de
resumen en formato gr%fico y un informe detallado en formato de tabla, acerca de los aspectos siguientes4
?endimiento de la cac"
?esumen del tr%fico
?esumen del tr%fico diario
&eniendo en cuenta su e*periencia, los miembros del grupo descubrieron que las caracter+sticas est%ndar de ISA
Server para la generacin de informes eran suficientemente e*tensas y de f%cil acceso, gracias a que est%n basadas en
#eb. .n slo unos minutos, pod+an obtener informacin que en el pasado "abr+a requerido "oras de b7squeda entre
los arc"ivos de registro. Si se desea ampliar a7n m%s las caracter+sticas de generacin de informes, es posible ampliar
ISA Server con productos creados por otros fabricantes.
.l grupo configur la generacin de informes semanal en cada equipo ISA Server para determinar cmo utilizaban el
entorno los empleados y cmo ten+a que traba$ar ISA Server para proporcionar acceso r%pido a la informacin que
necesitaban dic"os empleados. !a figura J muestra las capacidades de generacin de informes de ISA Server, basadas
en #eb.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Cigura H Infor$e basado en 5eb acerca de los rinciales usuarios
!on$utacin or error de los clientes y e(uilibrio de carga
2omo parte de su traba$o, los miembros del grupo de implementacin aprovec"aron la caracter+stica de conmutacin
por error de los clientes, integrada en ISA Server, que permite que los clientes utilicen un equipo con ISA Server
alternativo cuando es necesario realizar tareas de mantenimiento en los servicios de fondo.
-or e$emplo, ISA Server utiliza los Servicios de .quilibrio de la carga en la red (0!F de #indo's ())) Advanced
Server para proporcionar tolerancia a errores, alta disponibilidad, eficiencia y rendimiento en el cl7ster de equipos con
ISA Server. 0!F resulta especialmente 7til en las configuraciones de implementacin de servidores de seguridad, cac"
inversa (publicacin en #eb y publicacin en servidores.
!os miembros del grupo pudieron aprovec"ar el "ec"o de que todos los servidores de una matriz que utilizan ISA
Server mantienen una referencia de todos los dem%s servidores disponibles. As+, si un servidor en el que se e$ecuta
ISA Server no est% disponible, los dem%s servidores de la matriz lo detectar%n autom%ticamente y se actualizar% una
entrada en el arc"ivo mspclnt.ini principal para refle$ar esta condicin. Si no se puede tener acceso a un servidor, no
se redirige a l a los clientes "asta que vuelve a estar operativo.
!oia de seguridad de los datos de ISA Server
.n la estrategia de copia de seguridad del grupo de implementacin se utilizaron productos de otros fabricantes para
dos componentes esenciales4 FacEup .*ecutive 0et'orE Storage .*ecutive, de @eritas, para la copia de seguridad y la
restauracin de los datos y Arcus /ata Security para almacenar las cintas de forma segura fuera del sitio.
60
Suervisin de ISA Server
/espus de implementar ISA Server en el entorno de produccin, los miembros del grupo supervisaron atentamente
cada servidor para determinar su rendimiento en condiciones reales. .ste proceso les proporcion la informacin
necesaria para evaluar el entorno y determinar sus posibilidades de crecimiento y adaptacin. !a supervisin se centr
principalmente en los aspectos siguientes4
2ontadores est%ndar de rendimiento del "ard'are (incluidos -rocesador, Memoria, /isco f+sico, Arc"ivo de
paginacin e Interfaz de red
2ontadores de los procesos de ISA Server
2ontadores de los servicios de ISA Server
-scenarios
2ada requisito empresarial identificado requer+a una configuracin ligeramente diferente. .n la siguiente seccin de
este documento se detallan las diferentes configuraciones que se utilizaron en Microsoft.
Acceso cororativo a Internet
Mientras se redacta esta documento, los miembros del grupo de implementacin ya "an completado la implementacin
del acceso corporativo a Internet en la sede central de la compa,+a y casi "an terminado la implementacin de ISA
Server en las dem%s regiones para toda la compa,+a. -ara establecer el acceso corporativo a Internet, el grupo instal
veintids matrices en diferentes ubicaciones de la compa,+a en las que "ab+a puntos de acceso a Internet. .stas
matrices se distribuyeron geogr%ficamente para dar servicio a las necesidades de un grupo de traba$adores
geogr%ficamente disperso.
.l acceso corporativo a Internet permite que los m%s de ::))) empleados de Microsoft y el personal temporal tengan
acceso a Internet desde cualquiera de los m%s de 58)))) equipos de escritorio disponibles en toda la compa,+a. .l
acceso corporativo a Internet funciona del modo siguiente4 cuando un equipo cliente realiza una peticin, ISA Server
proporciona el servicio necesario, ya sea desde su cac" local o pasando la solicitud a Internet. 2uando responde un
equipo desde Internet, ISA Server devuelve la respuesta a la aplicacin del equipo cliente que realiz la solicitud y
almacena el contenido en la cac" del equipo con ISA Server (si es posible. !a figura I muestra una implementacin
t+pica de una matriz ISA Server configurada para proporcionar acceso corporativo a Internet.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Cigura I 1na configuracin tica de acceso cororativo a Internet
-ncadena$iento .o Al$acena$iento jerr(uico en cac*+0
.l grupo de implementacin utiliz el encadenamiento, que implica la vinculacin de varias matrices ISA Server en una
cadena con prioridades que imita la ubicacin de las oficinas subsidiarias, en una subsidiaria que ten+a una cone*in
#A0 lenta (menos de :5( Mbps con Internet. .l proceso implicaba la implementacin de un segundo equipo con ISA
Server en la subsidiaria y su configuracin para obtener las direcciones G?! de un equipo con ISA Server ubicado en
61
otro e*tremo de la #A0. .l motivo de este enfoque es que la velocidad de la !A0 de la subsidiaria permit+a el acceso a
la red a 5)) Mbps en toda la regin.
!os miembros del grupo descubrieron que la implementacin encadenada se adaptaba me$or a aquellas situaciones en
las que la red entre el cliente y el punto de acceso a Internet estaba limitada o cuando e*ist+a una gran distancia. -or
ello, cuando un equipo cliente realiza una peticin, la matriz encadenada responde desde la cac" local o la pasa a la
matriz superior, donde se responde desde su cac" o se obtiene de Internet (consulte la figura 55. !a matriz
encadenada almacena en la cac" local el contenido que se obtiene de la matriz superior. !a figura 5) muestra la
implementacin de una matriz ISA Server configurada para obtener contenido de otra matriz.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Cigura "0 I$le$entacin encadenada de ISA Server
)A3 seguro
-or compatibilidad con los clientes Macintos" y G0IN basados en I-, el grupo de implementacin tuvo que implementar
una instalacin Secure0A&. -ara ello, fue necesario reemplazar el servidor de seguridad antiguo Aauntlet :.)
(implementado por otra compa,+a, adquirida despus por Microsoft por un est%ndar corporativo, de forma que el
servidor de seguridad dispusiera de me$or soporte tcnico interno.
!a implementacin del servidor de seguridad antiguo por parte del grupo constaba de4
1ard'are4 Sun Gltra .nterprise (
Sistema operativo4 Sun=S :.; (revisin del Eernel SolarisQ (.;, nivel 5):5J5L5;
Soft'are4 Aauntlet :.)
-rocesadores4 ( SG0#, GltraS-A?2LII a (I; M1z
Memoria ?AM4 5 AF
Gnidad de disco4 ( discos >astL#ide S2SI de 9,( AF
?ed4 ( SG0#, interfaz .t"ernet "me 5)35)) Mbps
-ara comprender me$or el entorno antiguo y dise,ar una configuracin para reemplazarlo, los miembros del grupo
revisaron los protocolos de entrada y salida utilizados por el servidor de seguridad "eredado, incluida la configuracin
de entrada de SM&- y SS1. &ambin revisaron la configuracin /0S y la capacidad de generacin de informes del "ost
G0IN.
.sta revisin fue un paso esencial, que ayud al grupo de implementacin a preparar la migracin del servidor de
seguridad antiguo. -ermiti identificar4
!os requisitos para los clientes finales (incluidos los puertos admitidos
.l origen de las peticiones de los clientes (incluidas las direcciones I-
Du intentaban "acer los clientes a travs del servidor de seguridad antiguo (incluidos los requisitos
empresariales
62
.l resultado esperado en el lado de Internet del servidor de seguridad
A continuacin, el grupo de implementacin reuni los resultados de los an%lisis y realiz una prueba de conceptos.
/ic"a prueba consist+a en la implementacin de un equipo ISA Server en un laboratorio de pruebas, de forma que el
grupo pudiera configurarlo de forma sistem%tica para controlar el tr%fico de red que antes controlaba el servidor de
seguridad antiguo. .l entorno del laboratorio de pruebas permiti al grupo desarrollar sus planes de implementacin
de forma segura y controlada. Al mismo tiempo, el grupo pudo documentar cmo se deb+a configurar m%s adelante
ISA Server en el entorno de produccin.
Fas%ndose en este an%lisis, el grupo sustituy el entorno antiguo por un sistema 2ompaq -ro!iant ::))? con los
siguientes componentes de "ard'are4
-rocesador Duad N.=0 -III a ::) M1z
:5( MF de memoria cac"
:5( MF de memoria ?AM
< discos duros !@/ de I,5 AF
-ara reemplazar el servidor de seguridad antiguo por ISA Server, los miembros del grupo configuraron el "ard'are con
una matriz ?AI/ 5 de I,5 AF y una matriz ?AI/ : de 9:,: AF. Instalaron #indo's ())) Advanced Server en la matriz
?AI/ 5 y agregaron S0M-, Servicios de &erminal Server (en modo administrativo y /0S para configurarlo. &ambin
des"abilitaron el e*aminador de equipos, />S, el servicio de seguimiento de v+nculos distribuidos y el 2oordinador de
transacciones distribuidas, ya que estas "erramientas no eran necesarias para la configuracin seleccionada. -or
7ltimo, configuraron ISA Server para almacenar en cac", registrar y guardar los informes en la matriz ?AI/ :.
-ara este escenario de implementacin, ISA Server deb+a utilizar un servidor /0S de cac" configurado 7nicamente
para escuc"ar en la direccin I- corporativa interna. ISA Server se configur de la forma siguiente4
3abla I !onfiguracin de ISA Server ara sustituir el servidor de seguridad antiguo
ISA Server !onfiguracin
Modo Integrado
2ac" () AF en cada servidor
>iltros I- /12- des"abilitado. &odos los dem%s en el estado predeterminado
/eteccin de intrusiones 1abilitado
.l grupo "abilit la deteccin de intrusiones y configur los protocolos y puertos de salida tal y como estaban
configurados los del servidor de seguridad antiguo. -or 7ltimo, una vez configurada cada tar$eta de interfaz de red con
las direcciones I- que utilizaba anteriormente el servidor de seguridad antiguo, el grupo pas el sistema ISA Server al
entorno de produccin.
2omo resultado, el mismo grupo que administra las restantes implementaciones de ISA Server en Microsoft administra
a"ora esta implementacin, sin depender de un peque,o grupo de administradores altamente especializados en
productos antiguos.
63
?ecciones arendidas
.n las fases iniciales del plan de implementacin, el grupo de I&A que se encarg de la e$ecucin de la implementacin
beta de ISA Server .nterprise .dition se encontr con numerosos obst%culos que "ab+a que afrontar. I&A comparte sus
6lecciones aprendidas6 con la esperanza de que quienes las lean puedan aplicarlas a sus propios entornos.
1n lanea$iento cuidadoso rinde resultados9 2rear un plan detallado necesita tiempo, pero se demostr
que fue un componente esencial de la estrategia de implementacin de I&A. Aracias a la creacin de un plan
detallado, I&A pudo revisar minuciosamente los requisitos empresariales e identificar a los empleados de
tecnolog+a de la informacin que ten+an los conocimientos necesarios para satisfacer esos requisitos durante la
implementacin de ISA Server. &ambin ayud a los miembros del grupo a mantener la seguridad del entorno
inform%tico interno de Microsoft, ya que la creacin del plan les permiti comprender me$or cmo situar,
configurar e implementar ISA Server. Actualmente se "an cumplido los requisitos empresariales, los empleados
disponen de un acceso r%pido y seguro a la informacin y Microsoft est% en una posicin me$or que nunca para
realizar negocios a travs de Internet.
-l rendi$iento deende de $uc*os factores9 .l tiempo de respuesta de los clientes #eb depende de
factores como el rendimiento del "ard'are en ambos e*tremos, la configuracin del sistema operativo de red y de
ISA Server, el rendimiento de la red y la pro*imidad del servidor de servicios de fondo y el cliente #eb. .n
Microsoft fueron necesarios varios a,os para ubicar correctamente los servidores, debido a los problemas
relacionados con la seguridad, administracin y disponibilidad geogr%fica de las cone*iones de alta velocidad con
Internet. !os miembros del grupo de implementacin de ISA Server tuvieron que enfrentarse a todos estos
factores para poder cumplir el requisito empresarial de proporcionar a los empleados acceso r%pido a la
informacin basada en #eb.
-l es(ue$a de Active &irectory se debe $odificar con cuidado9 !os ob$etos registrados en Active
/irectory se replican en toda la infraestructura de Active /irectory. !os ob$etos se pueden eliminar del registro,
pero no es posible eliminar su contenedor, por lo que los ob$etos que se eliminen del registro se siguen replicando
en la infraestructura de Active /irectory. -or tanto, cualquier modificacin del esquema se debe realizar de forma
apropiada la primera vez para evitar la replicacin de ob$etos eliminados del registro. /el mismo modo, se debe
prestar especial atencin para evitar crear la necesidad de eliminar del registro ob$etos de Active /irectory.
-l *ard6are de los e(uios e#istentes se adataba bien a ISA Server. I&A utiliz el "ard'are que ya se
utilizaba para -ro*y Server (.), ya que tambin serv+a para ISA Server. Aunque ISA Server proporciona mayor
seguridad, me$or administracin y funciones de generacin de informes m%s amplias, su rendimiento en el
"ard'are e*istente fue suficientemente bueno como para no necesitar "ard'are adicional.
?i$itar el n,$ero de ad$inistradores con er$iso ara $odificar la directiva e$resarial9 Gna de
las m%s eficaces caracter+sticas de administracin de ISA Server es la administracin unificada del entorno gracias
a la aplicacin de directivas co"erentes. Gna sencilla y r%pida modificacin de la directiva empresarial puede
producir un cambio de configuracin en docenas de equipos con ISA Server. !a directiva empresarial permite a los
administradores bloquear o abrir r%pidamente el entorno. /ebido a las posibilidades que proporciona la directiva
empresarial, I&A limit el n7mero de administradores con permiso para modificarla. I&A tambin estableci las
reglas para solicitar la modificacin de los protocolos y para documentar los cambios necesarios.
64
Aentajas
!as principales venta$as de la implementacin de la versin beta de ISA Server en Microsoft son la seguridad, la
configuracin y la solucin de problemas.
Mayor nivel de seguridad9 -roteger los activos intelectuales es un traba$o muy importante para el que es
esencial contar con informacin acerca de cmo se utiliza el entorno. !as e*tensas caracter+sticas de generacin
de informes que proporciona ISA Server ayudan a I&A a obtener esta informacin de forma muc"o m%s r%pida
que en el pasado, lo que da a I&A una idea muc"o m%s clara acerca de cmo se utiliza el sistema y la capacidad
para responder m%s r%pidamente a los problemas de tecnolog+a de la informacin que afectan a la compa,+a.
!onfiguracin $s sencilla9 !a directiva empresarial de ISA Server permiti a I&A implementar en
Microsoft un con$unto de protocolos co"erente con menos traba$o administrativo del que "ubiera sido necesario
con el sistema anterior. !a directiva empresarial permite que resulte f%cil admitir o rec"azar el mismo con$unto de
protocolos en todos los equipos con ISA Server de la compa,+a.
-or el contrario, el entorno antiguo de Microsoft requer+a la configuracin manual de cada matriz. .sto significaba
que la implementacin de aplicaciones como MS0 Messenger requer+a que I&A permitiera manualmente el
protocolo utilizado por la aplicacin en cada matriz para que los empleados de todas las %reas pudieran utilizarlo.
A"ora, gracias a ISA Server, los administradores pueden aplicar un cambio a la directiva empresarial para aceptar
o rec"azar protocolos en muc"as matrices simult%neamente.
Solucin de roble$as $s inteligente9 ?esultaba muc"o m%s dif+cil solucionar problemas en el entorno
que se utilizaba anteriormente en Microsoft ya que, con frecuencia, I&A ten+a que determinar manualmente las
diferencias entre las configuraciones de cada matriz. A"ora, mediante ISA Server y la directiva empresarial, la
replicacin con m7ltiples maestros de Active /irectory casi garantiza que la configuracin se aplicar% de forma
autom%tica y co"erente en todas las matrices. !a administracin unificada del entorno, gracias a la directiva
empresarial, da como resultado una configuracin co"erente que ayuda a reducir el n7mero de pasos necesarios
para diagnosticar los problemas.
!onclusin
2on el creciente aumento de las compa,+as que cambian al modelo de negocio de Internet, la necesidad de me$orar la
seguridad y el rendimiento es m%s importante que nunca. !as empresas preparadas para proporcionar bienes y
servicios a travs de #eb en un mercado global en constante evolucin buscan me$orar la tecnolog+a para proporcionar
dic"os bienes y servicios m%s r%pidamente y con mayor seguridad que nunca.
.l *ito de la implementacin de ISA Server en Microsoft (as+ como la de otros servidores empresariales .0.& permite
a Microsoft proteger y administrar me$or su entorno inform%tico. .l entorno seguro, el aumento del rendimiento y las
caracter+sticas de generacin de informes de ISA Server ())) .nterprise .dition, $unto con la facilidad de
implementacin en Microsoft, permiten a I&A me$orar de forma m%s r%pida y efectiva a los problemas relacionados con
la seguridad y a cualquier otro requisito de tecnolog+a que sur$a en la compa,+a.
Para obtener $s infor$acin
65
I&A continuar% compartiendo con sus clientes informacin acerca de las implementaciones que realiza, con la
esperanza de que parte de su e*periencia ayude a los lectores de otras grandes organizaciones a estar cada vez m%s
preparados para traba$ar en #eb. .ncontrar% m%s informacin acerca de este tema y otros temas relacionados en los
or+genes siguientes.
-ara obtener la informacin m%s reciente acerca de #indo's ())) Advanced Server y #indo's ())) -rofessional,
visite nuestro sitio #eb en "ttp433'''.microsoft.com3'indo's())) .
-ara obtener la informacin m%s reciente acerca de ISA Server ())) .nterprise .dition, visite el sitio #eb
"ttp433'''.microsoft.com3latam3isaserver3
-ara obtener la informacin m%s actualizada acerca de los servidores empresariales de .0.&, visite
"ttp433'''.microsoft.com3net3default.asp
-ara obtener otra informacin acerca de la implementacin de otras soluciones en Microsoft, visite
"ttp433'''.microsoft.com3solutions31o'Microsoft#orEs3default."tm
-ara obtener informacin acerca del soporte tcnico y las "erramientas de autoayuda para los productos de Microsoft
en Microsoft Mno'ledge Fase, visite "ttp433searc".support.microsoft.com3Eb3c.aspClnWesLes
Tstos son algunos de los art+culos de Mno'ledge Fase que ayudaron a I&A a planear la implementacin de ISA Server
())) en Microsoft4
Art+culo D5<I99( de MF4 61o' to 2onfigure a >ire'all for #indo's 0& and &rusts6 (2mo configurar un servidor de
seguridad para #indo's 0& y entornos de confianza6
Art+culo D5:9:I; de MF4 62onfiguring ?-2 /ynamic -ort Allocation to #orE 'it" >ire'all6 (2onfiguracin de la
asignacin din%mica de puertos de ?-2 para que funcione con un servidor de seguridad
Art+culo D(:9I9I de MF4 62lientLtoL/omain 2ontroller and /omain 2ontrollerLtoL/omain 2ontroller I-Sec Support6
(2ompatibilidad con I-Sec en las relaciones entre clientes y controladores de dominio y las relaciones entre dos
controladores de dominio
-ara ver material adicional de I& S"o'case, visite "ttp433'''.microsoft.com3tec"net3its"o'case
-ara "acer llegar cualquier pregunta, comentario o sugerencia acerca de este documento o para obtener informacin
adicional acerca de Microsoft I& S"o'case, env+e un mensa$e por correo electrnico a mailto4
s"o'caseXmicrosoft.com.
!a informacin contenida en este documento representa la visin actual de Microsoft 2orporation acerca de los asuntos
tratados en la fec"a de su publicacin. /ebido a los traba$os de desarrollo en curso y dado que Microsoft debe
responder a condiciones de mercado variables, no debe interpretarse como un compromiso por parte de Microsoft, y
Microsoft no puede garantizar la precisin de la informacin que se presente despus de la fec"a de publicacin.
.ste documento se proporciona con propsito informativo 7nicamente. MI2?=S=>& 0= =&=?AA 0I0AG0A AA?A0&YA,
0I IM-!Y2I&A 0I .N-!Y2I&A, .0 .S&. ?.SGM.0.
66
.s responsabilidad del usuario el cumplimiento de todas las leyes de derec"os de autor u otros derec"os de propiedad
industrial o intelectual aplicables. 0inguna parte de este documento puede ser reproducida, almacenada o introducida
en un sistema de recuperacin, o transmitida de ninguna forma, ni por ning7n medio (ya sea electrnico, mec%nico,
por fotocopia, grabacin o de otra manera con ning7n propsito, sin la previa autorizacin e*presa por escrito de
Microsoft 2orporation, sin que ello suponga ninguna limitacin a los derec"os de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derec"os de autor u otros derec"os de
propiedad industrial o intelectual sobre el contenido de este documento. !a entrega de este documento no le otorga a
usted ninguna licencia sobre dic"as patentes, marcas, derec"os de autor u otros derec"os de propiedad industrial o
intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft.

Prctica de M3/: Ad$inistrar Microsoft Internet Security and
Acceleration .ISA0 Server 2000
&escricin
Microsoft Internet Security and Acceleration Server (ISA Server ())) es un servidor de seguridad y de cac" #eb
ampliable de %mbito empresarial que se integra en #indo'sR ())) y ofrece seguridad basada en directivas,
aceleracin y administracin de intercone*in de redes. .sta pr%ctica recorrer% las caracter+sticas principales del
servidor de seguridad, la cac" de #eb y la consola de administracin con el fin de familiarizar a los administradores
con la configuracin de ISA Server.
:bjetivos
.sta pr%ctica pretende familiarizarle con las principales caracter+sticas de seguridad, rendimiento y administracin de
ISA Server. /espus de completar esta pr%ctica, ser% capaz de4
2onfigurar la seguridad del servidor de seguridad.
2onfigurar directivas de acceso.
2onfigurar el almacenamiento en cac" de #eb.
2onfigurar la publicacin en el servidor.
'e(uisitos revios
Antes de realizar esta pr%ctica, debe tener4
2onocimientos de los conceptos b%sicos de Microsoft #indo'sR ())), como las cuentas de usuario y los
dominios.
.*periencia en el uso de Microsoft #indo'sR ())).
2onocimientos de los conceptos b%sicos de &2-3I-, como las direcciones I-, el enrutamiento, los protocolos y
los puertos.
2onocimientos generales de las funciones de los servidores de seguridad y los servidores de cac".
!onfiguracin de la rctica
67
Antes de comenzar la pr%ctica, e*amine la informacin siguiente4
.n esta pr%ctica utilizar% un equipo4
.l equipo est% configurado como un servidor de grupo de traba$o independiente que e$ecuta ISA Server ?25.
.sta pr%ctica se centrar% en configurar el servidor, no en probar la conectividad de los clientes.
.ste equipo est% configurado con dos adaptadores de red4
Gn adaptador de red tiene la direccin I- 5I(.5;J.5.5. .ste adaptador representar% su cone*in
e*terna a Internet.
Gn adaptador de red tiene la direccin I- 5).5).).:. .ste adaptador de red representar% la cone*in
con la red corporativa interna.
ISA Server se "a instalado en el modo integrado, por lo que ofrece servicios de servidor de seguridad y de
cac" de #eb.
Si su e*plorador no admite marcos incrustados, "aga clic aqu+ para ver el contenido en una p%gina independiente.
Para obtener $s infor$acin
-uede obtener informacin adicional acerca de ISA Server en la Ayuda en pantalla incluida en la "erramienta de
administracin de ISA Server. @isite "ttp433'''.microsoft.com3ISAServer para obtener informacin adicional sobre el
producto.
3ie$o esti$ado ara co$letar esta rctica: =0 $inutos
-jercicio " !onfigurar la seguridad del servidor de seguridad
.n este e$ercicio configurar% ISA Server para ofrecer proteccin de servidor de seguridad en el nivel de paquete y de
aplicacin, establecer la deteccin de intrusos, "abilitar las alertas y endurecer la configuracin del sistema.
Situacin
&ucE >inancial Services es una gran empresa ficticia con J) sucursales por todo el pa+s. 2ada sucursal tiene unos :))
empleados. .n el sitio de cada sucursal "ay una mezcla de estaciones de traba$o cliente #indo's, Gni* y Macintos".
&ucE necesita ofrecer a todas las sucursales un acceso a Internet r%pido y seguro. 2omo administrador de red de &ucE
>inancial Services, tiene que proporcionar acceso a Internet a sus clientes internos, al tiempo que protege los
servidores de la red y de correo electrnico frente a ataques e*ternos o al mal uso de los recursos.
.l sistema ISA Server est% configurado actualmente para conectar la red interna a Internet. Antes de proporcionar a
los clientes cone*in a Internet, debe asegurarse primero de que el sistema est% configurado de manera segura y que
se le notificar% si "ay alg7n intento de entrar en el equipo. &ambin desea protegerse frente a mensa$es
malintencionados de correo electrnico procedentes de un conocido dominio de correo no deseado, SpamI&.com.
3areas Pasos detallados
)ota ISA Server permite detectar diversos ataques frecuentes a la red. ISA Server puede bloquear estos
68
intentos de intrusin y generar alertas cuando se produzca un intento de este tipo.
5. 1abilitar el filtrado de
paquetes din%mico y la
deteccin de intrusiones para
todos los tipos de ataques
reconocidos por ISA Server.
a. .n el %rbol de la consola, e*panda el nodo &irectiva de acceso y
"aga clic en Ciltros de a(uetes IP.
b. .n el panel de resultados, "aga clic en !onfigurar el filtrado de
a(uetes y la deteccin de intrusiones.
c. .n la fic"a Jeneral del cuadro de di%logo Proiedades de Ciltros de
a(uetes IP, aseg7rese de que la casilla de verificacin >abilitar el
filtrado de a(uetes est% activada y, despus, active la casilla de
verificacin >abilitar la deteccin de intrusiones.
d. .n la fic"a &eteccin de intrusiones, active todas las casillas de
verificacin. Mantenga presionada la tecla MAOZS y presione >5 despus
de activar cada casilla de verificacin para ver una descripcin de cada
tipo de ataque.
e. .n la fic"a Ciltros de a(uetes, active todas las casillas de
verificacin. Mantenga presionada la tecla MAOZS y presione >5 despus
de activar cada casilla de verificacin para ver una descripcin de cada
tipo de ataque.
f. 1aga clic en Acetar.
7a con*igurado 8#A #erver para ue genere sucesos cuando detecte
acciones asociadas con determinados ataues- Para recibir una
noti*icacin cuando se produ1can estos sucesos9 debe con*igurar tambin
las alertas-
(. 2onfigurar alertas para
intrusiones y avisar al
administrador por correo
electrnico.
a. .n el %rbol de la consola, e*panda Suervisin de la configuracin
y "aga clic en Alertas.
b. .n el panel de detalles, "aga clic con el botn secundario del mouse
(ratn en Ata(ue de todos los uertos y, despus, "aga clic en
>abilitar.
c. 1aga clic con el botn secundario del mouse en Ata(ue de todos los
uertos y, despus, "aga clic en Proiedades
d. .n la fic"a Acciones del cuadro de di%logo Proiedades de Ata(ue
de todos los uertos, active la casilla de verificacin -nviar correo
electrnico, y escriba Servidor &ucE en el campo Servidor SM3P y
AdministradorX&ucE>inancial.com en el campo Para.
e. 1aga clic en Acetar.
#i 8#A #erver detecta un ataue de todos los puertos mediante la
deteccin de intrusiones integrada9 enviar un mensaje de correo
electrnico al administrador- $ambin puede con*igurar 8#A #erver para
ue ejecute secuencias de comandos personali1adas o inicie:detenga
servicios de !indo4s-
8. 1abilitar filtros de
aplicaciones inteligentes
preparadas para datos como el
>iltro SM&- para evitar
mensa$es de correo
procedentes del dominio
[SpamI&.com[
a. .n el %rbol de la consola, e*panda el nodo -#tensiones y "aga clic en
Ciltros de alicacin. 1aga clic con el botn secundario del mouse
(ratn en Ciltro SM3P en el panel de detalles y seleccione
Proiedades.
b. .n el cuadro de di%logo Proiedades de Ciltro SM3P, seleccione la
fic"a 1suarios4&o$inios.
c. .scriba SpamI&.com en el campo )o$bre de do$inio y "aga clic en
Agregar.
d. 1aga clic en Acetar.
(tros *iltros de aplicacin integrados permiten a 8#A #erver dividir las
transmisiones multimedia " admitir tr*ico 7-;<;- Puede crear *iltros de
aplicacin personali1ados para ampliar a=n ms las capacidades de
*iltrado-
9. Gtilizar el Asistente para la
configuracin de la seguridad
de ISA Server con el fin de
bloquear el sistema. .ste
proceso 6endurece6 el sistema
operativo y garantiza unas
configuraciones seguras.
a. .n el %rbol de la consola, "aga clic en Ciltros de a(uetes IP.
b. .n el panel de detalles, "aga clic en Asegurar la $(uina del
servidor.
c. .n el Asistente ara la configuracin de la seguridad de ISA
Server, lea la advertencia y "aga clic en Siguiente.
d. .n la p%gina Seleccione el nivel de seguridad, lea las descripciones
de la configuracin de seguridad.
e. 1aga clic en !ancelar.
>l endurecimiento del sistema 8#A #erver limitar los servicios
disponibles en el euipo- Para la demostracin no recorreremos el
proceso real de bloueo-
-jercicio 2 !onfigurar directivas de acceso a Internet
.n este e$ercicio aprender% a administrar directivas de acceso para ISA Server al permitir acceso al #eb, crear
elementos de directiva y restringir el acceso mediante ?eglas de sitio y contenido.
69
Situacin
!a directiva de seguridad de &ucE permite a los empleados el acceso a cualquier sitio #eb siempre y cuando el tr%fico
no interfiera con las operaciones normales de red. -ara ello, debe configurar una regla de protocolo que permita este
tipo de acceso. ?ecientemente, algunos equipos deportivos locales "an cosec"ado muc"os *itos. !e preocupa que los
usuarios puedan ver retransmisiones de v+deo en directo de eventos deportivos, lo que podr+a crear un tr%fico e*cesivo
en la red. 1a decidido bloquear durante las "oras laborables el acceso al sitio #eb que ofrece estas retransmisiones de
v+deo.
3areas Pasos detallados
5. 2onfigurar reglas de
protocolo de ISA Server que
permitan el acceso a todos los
sitios #eb mediante el
protocolo 1&&-.
a. .n el %rbol de la consola, e*panda &irectivas de acceso y "aga clic
en 'eglas de rotocolo.
b. .n el panel de detalles, "aga clic en Per$itir rotocolos 5eb.
c. .n el Asistente para nuevas reglas de protocolo, en el cuadro )o$bre
de la regla del rotocolo, escriba Per$itir acceso al 5eb: 3odos los
usuarios y "aga clic en Siguiente.
d. .n la p%gina Protocolos, desactive la casilla de verificacin Jo*er y
"aga clic en Siguiente.
Como los usuarios de su organi1acin no utili1an el protocolo gopher
para tener acceso a 8nternet9 estar impidiendo el uso de este protocolo-
e. .n la p%gina Progra$acin, "aga clic en Siguiente.
f. .n la p%gina 3io de cliente, "aga clic en Siguiente.
g. .*amine los elementos de la regla de protocolo que est% creando y
"aga clic en Cinali7ar.
Como medida de seguridad9 8#A #erver deniega el acceso a 8nternet de
manera predeterminada- +os asistentes para protocolos le permiten
o*recer conectividad rpida " *cilmente9 as0 como elaborar reglas de
acceso granulares para los protocolos-
(. 2rear un con$unto de destino
llamado /eportes que incluya
QdeportesMolestos.com
a. .n el %rbol de la consola, e*panda -le$entos de directiva y "aga
clic en !onjuntos de destinos.
b. .n el panel de detalles, "aga clic en )uevo conjunto de destinos.
c. .n el cuadro de di%logo )uevo conjunto de destinos, en el cuadro
)o$bre, escriba &eortes.
d. 1aga clic en Agregar.
e. .n el cuadro de di%logo Agregar4editar P!, confirme que est%
seleccionado )o$bre del e(uio y, despus, en el campo )o$bre del
e(uio, escriba QdeortesMolestos9co$ y "aga clic dos veces en
Acetar.
+os elementos de directiva son los componentes para crear .eglas de
sitio " contenido9 .eglas de protocolo9 .eglas de publicacin " .eglas de
ancho de banda-
8. Modificar la programacin
denominada 1oras laborables
para incluir de ;4)) a.m. a
5(4)) a.m., de lunes a viernes.
a. .n el %rbol de la consola, "aga clic en Progra$aciones.
b. .n el panel de detalles, "aga clic en >oras laborables y, despus,
"aga clic en Modificar rogra$acin.
c. .n la fic"a Progra$acin del cuadro de di%logo Proiedades de
>oras laborables, arrastre el mouse (ratn para resaltar las "oras
comprendidas entre las ;4)) y las 5(4)) a.m., de lunes a viernes. 1aga
clic en el botn de opcin Activar para establecer esas "oras y, despus,
"aga clic en Acetar.
9. .*aminar los restantes
elementos de directiva para ver
las definiciones de protocolo y
los grupos de contenido
predefinidos.
a. .n el %rbol de la consola, "aga clic en &efiniciones de rotocolo y
e*amine las definiciones de protocolo predefinidas disponibles.
b. .n el %rbol de la consola, "aga clic en Jruos de contenido y
e*amine los grupos de contenido predefinidos disponibles.
8#A #erver le permite *iltrar contenido si especi*ica distintos tipos de
elementos de directiva- Adems de los elementos de directiva ue ha
examinado9 8#A #erver puede utili1ar de*iniciones de ancho de banda
ue aprovechen el protocolo Calidad de servicio %?o#' " conjuntos de
direcciones de cliente ue inclu"an uno o ms euipos cliente- 8#A
#erver tambin le permite de*inir directivas basndose en grupos de
seguridad de !indo4s <@@@-
:. 2onfigurar una regla de sitio
y contenido que deniegue al
grupo Gsuarios del dominio el
acceso al con$unto de destinos
/eportes durante las "oras
a. .n el %rbol de la consola, e*panda el nodo &irectiva de acceso y
"aga clic en 'eglas de sitio y contenido.
b. .n el panel de detalles, "aga clic en !rear reglas de sitio y
contenido.
c. .n el campo )o$bre de la regla de sitio y contenido del
70
laborables. Asistente ara nuevas reglas de sitio y contenido, escriba &enegar
acceso a &eortes K 1suarios del do$inio y "aga clic en Siguiente.
d. .n la p%gina Accin de la regla, "aga clic en &enegar y, despus,
"aga clic en Siguiente.
e. .n el cuadro Alicar esta regla a de la p%gina !onjuntos de
destinos, seleccione !onjuntos de destinos esecificados, en el
cuadro )o$bre seleccione /eportes y "aga clic en Siguiente.
f. .n el cuadro 1tili7ar esta rogra$acin de la p%gina
Progra$acin, seleccione >oras laborables y "aga clic en Siguiente.
g. .n la p%gina 3io de cliente, "aga clic en Siguiente.
". .*amine los elementos de la regla de sitio y contenido que est%
creando, y "aga clic en Cinali7ar.
>sta regla de sitio " contenido denegar ahora cualuier acceso !eb a
las direcciones A.+ especi*icadas en el conjunto de destinos Deportes
durante las horas laborables-
;. .*aminar los informes
integrados de ISA Server para
analizar las tendencias de uso
del #eb.
a. .n el %rbol de la consola, e*panda el nodo Suervisin y e*panda
Infor$es9 !as subcarpetas describen los tipos de informes integrados de
ISA Server.
#e han creado de antemano in*ormes de 8#A #erver para mostrar el
*ormato de los in*ormes- >stos in*ormes se generan a partir de los
registros de seguridad " acceso de 8#A #erver- >stos registros pueden
escribirse en *ormato (D6C9 texto " !;C-
b. .n el escritorio de #indo's, "aga doble clic en Acceso directo a los
infor$es de resu$en de Microsoft ISA Server para ver el resultado
del informe.
-jercicio 2 !onfigurar el al$acena$iento en cac*+ de 5eb
.n este e$ercicio configurar% los servicios de almacenamiento en cac" de #eb, almacenando contenido de Internet
localmente en ISA Server en lugar de conectarse cada vez al sitio #eb de Internet para ver el contenido.
Situacin
!os usuarios de la red deben poder tener un acceso r%pido y eficiente a las listas de precios que un asociado comercial
actualiza y publica en Internet todos los d+as. .s importante tener acceso a las listas de precios y los usuarios deben
poder "acerlo incluso cuando no "aya una cone*in a Internet disponible. -ara permitir el acceso sin cone*in al
contenido #eb y >&-, configurar% ISA Server para que descargue autom%ticamente este contenido todos los d+as. 2on
el fin de me$orar el rendimiento, programar% que las descargas se realicen en "oras de poca actividad.
3areas Pasos detallados
5. 2onfigurar un traba$o
programado que descargue dos
niveles de contenido desde
"ttp433'''.-recioAsociado.com,
restableciendo el periodo de vida
(&&! a 5() minutos. -rogramar
que el traba$o se e$ecute todos
los d+as a las : a.m.
a. .n el %rbol de la consola, e*panda !onfiguracin de la cac*+ y
"aga clic en 3rabajos de descargas de contenido rogra$ados.
b. 1aga clic con el botn secundario del mouse (ratn en 3rabajos de
descargas de contenido rogra$ados, seleccione )uevo y "aga clic
en 3rabajo.
c. .n el campo )o$bre del trabajo del Asistente ara trabajos
rogra$ados de descarga de nuevo contenido, escriba &escarga
de PrecioAsociado y "aga clic en Siguiente.
d. .n la p%gina >ora de inicio, confirme que el cuadro Cec*a contiene
la fec"a de "oy, cambie la "ora a las :4)) a.m. y "aga clic en
Siguiente.
e. .n la p%gina Crecuencia, "aga clic en &iaria$ente y, despus,
"aga clic en Siguiente.
f. .n el campo &escargar contenido desde esta direccin 1'? de la
p%gina !ontenido, escriba *tt:446669PrecioAsociado9co$
g. Active la casilla de verificacin !ontenido slo del do$inio de 1'?
.sin sitios a los (ue tiene vnculos0 y "aga clic en Siguiente.
". .n la p%gina Anculos y objetos descargados, active la casilla de
verificacin 'ee$la7ar sie$re el 33? del objeto y en el cuadro
Marcar los objetos descargados con un nuevo 33? .eriodo de
vida0 de, escriba "20.
>l cambio del periodo de vida %$$+' a B<@ minutos hace ue 8#A #erver
reenv0e al cliente las pginas almacenadas en cach durante < horas "
no compruebe si ha" una nueva versin disponible en el sitio !eb real-
+a con*iguracin de un periodo largo de $$+ para las pginas !eb
71
reduce el tr*ico de red hacia 8nternet9 pero puede ocurrir ue los
usuarios vean pginas !eb obsoletas-
i. 1aga clic en Atravesar rofundidad $#i$a de vnculos de,
escriba ( en el cuadro Atravesar rofundidad $#i$a de vnculos y
"aga clic en Siguiente.
+a con*iguracin de una pro*undidad mxima de descargas
programadas puede limitar la cantidad de datos ue 8#A #erver
descarga del sitio !eb-
$. .*amine la configuracin del asistente y "aga clic en Cinali7ar.
/ebido a las limitaciones de esta configuracin de demostracin, no probar% la descarga de contenido #eb.
-jercicio 8 !onfigurar la ublicacin del servidor
.n este e$ercicio publicar% un servidor #eb interno. .sto ofrecer% a los usuarios e*ternos de Internet un acceso
transparente a su sitio #eb, pero a"ora "abr% un nivel adicional de seguridad.
Situacin
.l sitio #eb de &ucE >inancial Services debe ser accesible para los usuarios de Internet. .l servidor #eb que alo$a este
sitio #eb se encuentra en una red filtrada separada de Internet mediante ISA Server. /ebe configurar ISA Server para
que reenv+e al servidor #eb las solicitudes de p%ginas #eb realizadas por usuarios de Internet.
3areas Pasos detallados
5. 2rear una regla de
publicacin #eb que rediri$a al
servidor #eb interno
5).5).).5) todas las solicitudes
#eb para la direccin e*terna
de ISA Server.
a. .n el %rbol de la consola, e*panda Publicacin y "aga clic en 'eglas
de ublicacin en 5eb.
b. .n el panel de detalles, "aga clic en !rear reglas de ublicacin en
5eb.
c. .n el Asistente ara nuevas reglas de ublicacin en 5eb, en
)o$bre de la regla de ublicacin en 5eb, escriba Servidor 5eb
,blico y "aga clic en Siguiente.
d. .n la p%gina !onjuntos de destinos, "aga clic en Siguiente.
+os conjuntos de destinos para la publicacin del servidor inclu"en
euipos internos9 mientras ue los conjuntos de destinos ue crea para
el acceso a 8nternet contienen euipos externos-
e. .n la p%gina 3io de cliente, "aga clic en Siguiente.
f. .n la p%gina Accin de la regla, "aga clic en -nrutar este sitio,
escriba "09"0909"0 y "aga clic en Siguiente. .sta direccin I-
representa nuestro servidor #eb.
g. 1aga clic en Cinali7ar.
". .n el panel de detalles, e*amine el orden en el que se aplican las
reglas.
)ota 1a configurado una regla de publicacin en #eb. .sta regla redirigir% a un servidor #eb interno
todas las cone*iones con el adaptador de red e*terno de ISA Server. Sin embargo, el componente servidor
de seguridad de ISA Server sigue bloqueando todos los intentos de cone*in con la mayor+a de los puertos
del adaptador de red e*terno de ISA Server. /ebe configurar una regla de filtrado de paquetes para
permitir las cone*iones con el puerto J) en el adaptador de red e*terno de ISA Server.
(. 2onfigurar un filtro de
paquetes para permitir las
cone*iones con el puerto J) de
ISA Server.
a. .n el %rbol de la consola, e*panda el nodo &irectiva de acceso y
"aga clic en Ciltros de a(uetes IP.
b. .n el men7 Aer, desactive !uadro de tareas.
c. 1aga clic con el botn secundario del mouse (ratn en Ciltros de
a(uetes IP, seleccione )uevo y "aga clic en Ciltro.
d. .n el cuadro )o$bre del filtro de a(uetes IP del Asistente ara
nuevos filtros de a(uetes IP, escriba >33P y "aga clic en
Siguiente.
e. .n la p%gina Servidores, "aga clic en Siguiente.
f. .n la p%gina Modo de filtro, aseg7rese de que est% seleccionado
Per$itir la trans$isin de a(uetes y "aga clic en Siguiente.
g. .n la p%gina 3io de filtro, aseg7rese de que est% seleccionado
Predefinido, "aga clic en Servidor >33P .uerto H00 y, despus,
"aga clic en Siguiente.
". .n la p%gina -(uio local, aseg7rese de que est% seleccionado
&ireccin IP redeter$inada y "aga clic en Siguiente.
i. .n la p%gina -(uios re$otos, aseg7rese de que est% seleccionado
3odos los *osts re$otos, "aga clic en Siguiente y, despus, "aga clic
72
en Cinali7ar.
8#A #erver o*rece seguridad transparente a los servidores !eb9 de
correo electrnico9 F$P9 etc- )ediante la caracter0stica #ecureNA$9 8#A
#erver asignar la inter*a1 externa a servidores internos " aplicar al
tr*ico directivas de seguridad-
ISA Server proporciona la seguridad, la administracin integrada y el rendimiento #eb necesarios para los
negocios actuales en Internet. Aracias por asistir a la sesin de pr%cticas de ISA Server y consulte
"ttp433'''.microsoft.com3latam3ISAServer3 para obtener informacin adicional al respecto.
-jecutar ISA Server sobre 5indo6s Server 2002
!a informacin de este art+culo se aplica a4
Microsoft Internet Security and Acceleration Server ()))
Microsoft Internet Security and Acceleration Server ())) S-5
Microsoft #indo's Server ())8, .nterprise .dition
Microsoft #indo's Server ())8, Standard .dition
Microsoft #indo's Server ())8, /atacenter .dition
.ste art+culo se public anteriormente con el n7mero D885);(

'-S1M-)
Son necesarias las siguientes actualizaciones para que Internet Security and Acceleration (ISA Server ())) funcione
correctamente en ordenadores que e$ecutan #indo's Server ())84
ISA Server Service -acE 5 (S-5
.l paquete de actualizaciones de ISA Server ())) para #indo's Server ())8
ISA Server es soportado en todas las versiones de #indo's Server ())8 e*cepto en #indo's Server ())8, #eb
.dition.
MDS I)C:'MA!IL)
Si usted ya est% e$ecutando #indo's ())) Server, instale ISA Server y las actualizaciones anteriores antes de
73
actualizar el sistema operativo. Si usted tiene una instalacin limpia de #indo's Server ())8 o ya "a actualizado, siga
las instrucciones que aparecen m%s aba$o.
Actuali7ar Servidores (ue -jecutan 5indo6s 2000
Microsoft recomienda que instale ISA Server, ISA Server S-5 y el paquete de Actualizaciones ISA Server ()))
?equeridas para #indo's Server ())8 en el equipo ISA Server basado en #indo's ())) antes de actualizar a
#indo's Server ())8.
-ara actualizar un ordenador que e$ecuta #indo's ())), siga estos pasos4
5. Instale ISA Server.
(. /escargue e instale ISA Server S-5.
Gna vez completada la instalacin del S-5, debe reiniciar el ordenador. Si quiere informacin sobre cmo obtener
ISA Server S-5, visite el siguiente sitio #eb4 "ttp433'''.microsoft.com3isaserver3do'nloads3sp5.asp
8. /espus de que el ordenador se reinicie, descargue e instale las Actualizaciones ISA Server ())) ?equeridas
para #indo's Server ())8.
Si quiere informacin acerca de cmo conseguir el paquete de Actualizaciones ISA Server ())) ?equeridas para
#indo's Server ())8, vea la seccin 6Actualizaciones ISA Server ())) ?equeridas para #indo's Server ())86 de
este art+culo.
9. Actualice a #indo's Server ())8.
Instalar ISA Server en Servidores (ue -jecutan 5indo6s Server 2002
&ambin puede instalar ISA Server despus de actualizar a #indo's Server ())8. Sin embargo, el controlador de
e*tensin de filtros de paquetes de la versin de lanzamiento de ISA Server es incompatible con #indo's Server ())8
y su carga est% bloqueada durante la instalacin. /urante la instalacin, usted puede ignorar sin peligro alguno todos
los mensa$es de error referidos a este problema, porque ISA Server S-5 incluye una revisin de compatibilidad para el
controlador. /espus de instalar ISA Server, no se inician los servicios de soft'are incompatibles..ntonces, usted debe
aplicar ISA Server S-5 para implementar la revisin del controlador. /espus de instalar ISA Server S-5, debe instalar
el paquete de Actualizaciones ISA Server ())) ?equeridas para #indo's Server ())8.
Antes de instalar ISA Server en un ordenador que e$ecuta #indo's Server ())8, aseg7rese de que el ordenador no
est% conectado a Internet. .l ordenador debe permanecer desconectado de Internet "asta completar con *ito los
siguientes pasos. /espus, puede conectarse a Internet sin peligro.
)ota 0o desinstale ISA Server antes de instalar ISA Server S-5. Si tiene que eliminar ISA Server, debe esperar a
completar la instalacin de ISA Server S-5.
-ara instalar ISA Server en #indo's Server ())8, siga estos pasos4
5. Inicie el proceso de instalacin de ISA Server. ?ecibir% el siguiente mensa$e4
ISA ()))
ISA ())) requiere el Service -acE 5 para funcionar correctamente en esta versin de #indo's. /urante la
instalacin, pueden aparecer mensa$es de error y registros de evento de error acerca de la compatibilidadK puede
ignorar dic"os mensa$es. Instale el Service -acE 5 una vez completada esta instalacin. -uede descargar el
Service -acE 5 desde "ttp433go.microsoft.com3f'linE3ClinEidW9J88. -ara m%s informacin, contacte con Microsoft.
(. 1aga clic en 2ontinuar. 2uando se complete la instalacin de ISA Server, recibir% el siguiente mensa$e en el
%rea de notificaciones4
74
/ispositivos o aplicaciones des"abilitadas
[ISA ()))[ provocar% que #indo's se vuelva inestable. #indo's "a impedido que se descarguen estos
dispositivos. 1aga clic para m%s detalles.
8. 2uando la instalacin se "aya completado, recibir% el siguiente mensa$e4
!a instalacin "a fallado al iniciar uno o m%s servicios. -or favor, e*amine el registro de eventos para m%s
detalles.
9. /escargue e instale ISA Server S-5. /espus de instalarlo, debe reiniciar el ordenador ISA Server.
:. Gna vez que la computadora se "a reiniciado, descargue e instale el paquete de Actualizaciones ISA Server
())) ?equeridas para #indo's Server ())8. -ara obtener esta actualizacin, vea la seccin 6Actualizaciones ISA
Server ())) ?equeridas para #indo's Server ())86 de este art+culo.
/espus de instalar el paquete de Actualizaciones ISA Server ())) ?equeridas para #indo's Server ())8, ISA Server
funcionar% correctamente.
-jecutar el Soft6are de Prueba de "20 &as de ISA Server "20M&ay 3rial en 5indo6s Server 2002
.l programa de prueba durante 5() d+as de ISA Server slo es soportado actualmente en los servidores basados en
#indo's ()))Lbased servers. /ebe eliminar el programa de prueba de ISA Server de todos los servidores que
e$ecuten #indo's ())) antes de actualizar a #indo's Server ())8.
Proble$as !onocidos (ue se Producen al -jecutar ISA Server en 5indo6s Server 2002
Al e$ecutar ISA Server ())) y Microsoft Internet Information Services ;.) (IIS en el mismo ordenador, puede
tener problemas con el servicio pro*y #eb (#8pro*y ISA Server. -or defecto, IIS escuc"a todas las direcciones
I-. .sto evita que #8pro*y obligue al puerto J) a publicar en #eb. -ara resolver este problema, siga estos pasos4
Instale las 1erramientas de Soporte de #indo's Server ())8 (incluidas en #indo's Server ())8 y
localice el arc"ivo 1ttpcfg.e*e.
.$ecute la utilidad 1ttpcfg.e*e para configurar 1&&-.sys para que de$e de escuc"ar todas las
direcciones I-. -ara ello, teclee "ttpcfg delete iplisten Li ).).).) en una l+nea de comandos.
2onfigure 1&&-.sys para que slo escuc"e las I- especificadas (normalmente la direccin I- interna
I- de ISA Server tecleando "ttpcfg set iplisten Li ipLaddress en una l+nea de comandos.
/etenga el servicio 1&&- IIS tecleando net stop "ttp en una l+nea de comandos.
/etenga el servicio pro*y #eb de ISA Server tecleando net stop '8pro*y en una l+nea de comandos.
?einicie el servicio 1&&- IIS tecleando net start "ttp en una l+nea de comandos.
?einicie los dem%s servicios relacionados con IIS. -or e$emplo, teclee net start 6#orld #ide #eb
-ublis"ing Service6.
?einicie el servicio pro*y #eb de ISA Server tecleando net start '8pro*y en una l+nea de comandos.
!a autentificacin resumida de ISA Server puede no funcionar cuando se e$ecuta con un dominio #indo's
Server ())8 domain. /ebe registrar Iissuba.dll en el controlador de dominio #indo's Server ())8. -or defecto,
este arc"ivo no est% registrado en #indo's Server ())8. -ara resolver este problema, siga los siguientes pasos4
Inicie una l+nea de comandos.
&eclee ?undll8( iissuba.dll, ?egisterIISSGFA en cada controlador de dominio #indo's Server ())8.
0ota .ste comando distingue entre may7sculas y min7sculas.
0o puede e$ecutar el Asistente para la 2onfiguracin de Seguridad de ISA Server Security en el modo
/edicado a menos que el ordenador sea miembro de un dominio.
75
!as cone*iones cliente remotas pueden fallar cuando env+an peticiones a los ordenadores ISA Server
configurados como cl7ster de .quilibro de 2arga de la ?ed con una direccin I- virtual (@I- en la interfaz
e*terna. .ste problema se da si "ay m7ltiples @I-s en la interfaz interna y si se usa la clave de registro
GseISAAddressIn-ublis"ing que se describe en el siguiente art+culo de la Mno'ledge Fase4 855<<< 2mo 1abilitar
la &raduccin de la >uente 2liente en la -ublicacin del Servidor.
.l tr%fico enviado desde la interfaz interna de ISA Server al servidor publicado se origina desde una de las @I-s
internas y no desde la direccin I- de un dispositivo cortafuegos individual. .l problema ocurre porque se equilibra
la carga del tr%fico de respuesta y puede enviarse a un cortafuegos que no tenga un conte*to para la cone*in.
.ste tr%fico se pierde y no vuelve nunca al cliente remoto. -or tanto, la cone*in falla.
2uando instale ISA Server, vea los informes o lea la ayuda online de ISA Server, puede recibir el siguiente
mensa$e4
la configuracin Seguridad Me$orada para Microsoft Internet .*plorer est% "abilitada actualmente en su servidor.
.ste nivel me$orado de seguridad reduce el riesgo de ataque por parte de contenidos inseguros basados en #eb,
pero tambin puede evitar que algunos sitios #eb se muestren correctamente y restringir el acceso a recursos de
red.
-ara evitar que aparezca este mensa$e, "aga clic para activar la casilla 0o volver a mostrar este mensa$e en el
futuro y "aga clic en =M.
&ener instalado SD! Server <.).
Ser capaz de iniciar sesin en SD! Server como Administrador.
2ompletar los e$ercicios del cap+tulo : o e$ecutar el arc"ivo de proceso por lotes
c4PsqlimplPe*ercisePbldlibPbldlib.cmd con un argumento de cap+tulo de ;.
1aber instalado en el disco duro los arc"ivos de e$ercicios del disco compacto de materiales complementarios
del curso mediante Setup.e*e, tal como se e*plica en la seccin 6Introduccin6 del manual.
Actuali7aciones de ISA Server 2000 'e(ueridas ara 5indo6s Server 2002
-uede descargar el siguiente arc"ivo del 2entro de /escargas Microsoft4
/escargue a"ora el paquete de Actualizaciones de ISA Server ())) ?equeridas para #indo's Server ())8.
>ec"a de !anzamiento4 (8 de abril de ())8
Si quiere informacin adicional sobre cmo descargar los arc"ivos de Soporte Microsoft, "aga clic en el siguiente
n7mero de art+culo para verlo en la Mno'ledge Fase4
55I:I5 2mo =btener Arc"ivos de Soporte Microsoft desde los Servicios =nline
Microsoft "a analizado este arc"ivo en busca de virus, usando el soft'are de deteccin de virus m%s actual en la fec"a
en que se public el arc"ivo. .l arc"ivo est% almacenado en servidores de seguridad me$orada que ayudan a evitar
cualquier cambio no autorizado en el arc"ivo.
!a versin en ingls de esta revisin tiene los atributos de arc"ivo enumerados en la siguiente tabla (o superiores. !a
fec"a y "ora de estos arc"ivos est% en G&2 (2oordinated Gniversal &ime. 2uando usted lee el arc"ivo de informacin,
se convierte a la "ora local. -ara calcular la diferencia entre la G&2 y la "ora local, use la pesta,a Vona 1oraria de la
"erramienta >ec"a y 1ora del -anel de 2ontrol.
76
>ec"a 1ora @ersin &ama,o 0ombre del arc"ivo
LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL
55L>ebL())8 (84(9 8.).5()).(:: J,I<; F'cpmon.dll
59L>ebL())8 )5495 8.).5()).(:: 8),II( F'server.dll
55L>ebL())8 (84(9 8.).5()).(:: ;),;JJ >ltrsnE5.dll
55L>ebL())8 (84(9 8.).5()).(:: J:,(;9 18(8fltr.dll
55L>ebL())8 (84(9 8.).5()).(:: :,I)9 1fperf.dll
(JL>ebL())8 (54(8 8.).5()).(:: 89,);9 1otfi*\res.dll
5;L>ebL())8 5I49< 8.).5()).(:: :,I)9 1otfi*\utl.dll
55L>ebL())8 (84(( 8.).5()).(:: 5,J(5,I;J Msfpccom.dll
55L>ebL())8 (84(8 8.).5()).(:: (,:<),))) Msfpcsnp.dll
55L>ebL())8 (84(9 8.).5()).(:: 5<J,99J Mspadmin.e*e
55L>ebL())8 (84(8 8.).5()).(:: 95,(I; Mspflte*.sys
55L>ebL())8 (84(8 8.).5()).(:: 5)5,58; Msp"lpr.dll
55L>ebL())8 (84(8 8.).5()).(:: 5;,;:; Mspmon.dll
):L>ebL())8 (54(J 8.).5()).(:: :)5 =s.map
55L>ebL())8 (84(9 8.).5()).(:: 89,);9 SocEsflt.dll
55L>ebL())8 (84(9 8.).5()).(:: ;,95; SocEsprf.dll
55L>ebL())8 (84(8 8.).5()).(:: 8I),I(J #8pro*y.e*e
55L>ebL())8 (84(9 8.).5()).(:: ;,I(J #spperf.dll
55L>ebL())8 (84(9 8.).5()).(:: (IJ,<;J #spsrv.e*e
ISA Server M AP)
2I de enero de 2002
Nota: Algunas partes de esta transcripcin han sido modi*icadas con el objetivo de conseguir
una ma"or claridad-
Invitados:
Uerry Fryant, moderador y administrador de la comunidad de ISA3seguridad
=ved Itz"aE, desarrollador en el equipo dedicado a ISA Server de Microsoft
Mos"iE Vur, desarrollador en el equipo dedicado a ISA Server
Adina 1agege, redactora tcnica $efe en Microsoft, 1aifa, Israel
Moderador: Nerry / .Microsoft0
!e damos la bienvenida a la c"arla de "oy. 0uestro tema de "oy es ISA Server L @-0. !es
animamos a que nos env+en cualquier pregunta, comentario o sugerencia.
Moderador: Nerry / .Microsoft0
-resentemos a nuestros invitados de "oy.
77
Invitado: :ved .Microsoft0
1ola, me llamo =ved Itz"aE y traba$o como desarrollador en el equipo dedicado a ISA Server
de Microsoft.
Invitado: Mos*iO .Microsoft0
1ola, me llamo Mos"iE Vur y traba$o como desarrollador en el equipo dedicado a ISA Server de
Microsoft.
Moderador: Nerry / .Microsoft0
!es doy la bienvenida a todos y nos disponemos a comenzar.
Invitado: Mos*iO .Microsoft0
P: B.*iste alg7n asistente para la instalacin de la red privada virtual (@-0C
': S+. 1ay un asistente que sirve para configurar IS para usuarios remotos y t7neles de
enrutador a enrutador.
Invitado: :ved .Microsoft0
P: B1ay alg7n l+mite en el n7mero de cone*iones @-0 simult%neas que pueden establecerse
con un solo ISA ServerC
': .l l+mite es el del mismo sistema operativo4 unas 5;.))) cone*iones de protocolo de t7nel
punto a punto (--&- y unas 8).))) de protocolo de t7nel de capa ( (!(&-.
Invitado: :ved .Microsoft0
P: BDu significan las siglas ISAC
': Internet Security and Acceleration Server
Invitado: Mos*iO .Microsoft0
P: BDu debo usar --&- o !(&-C
': !(&- se considera m%s seguro que --&- y le permite interoperar con elementos de otros
fabricantes. Sin embargo, !(&- tambin resulta m%s dif+cil de instalar y no todos los clientes de
#indo's lo admiten de manera predeterminada.
Invitado: :ved .Microsoft0
P: B&iene alguna venta$a usar una @-0 en lugar de una cone*in de servicios de &erminal
Server y tiene ello alg7n impacto sobre ISAC
': Se trata de dos tecnolog+as independientes que tienen ob$etivos diferentes4 @-0 se usa para
la conectividad &2-3I- y &S para traba$ar en un equipo remoto.
Invitado: Adina > .Microsoft0
P9 B1abr% una grabacin3transcripcin disponibleC
78
Invitado: Adina > .Microsoft0
': S+. -ublicaremos la transcripcin tan pronto como sea posible despus de la c"arla.
Invitado: Mos*iO .Microsoft0
P: B2u%ndo ser% compatible ISA con 0A& &raversal para I-SecC
': S+, ISA es compatible con 0A& &raversal para I-S.2, y requiere agregar la definicin de
protocolo para el puerto G/- 9:)).
Invitado: :ved .Microsoft0
P: BDu se necesita para configurar @-0 y poder as+ autenticar mediante el uso de un
certificadoC
': 2ada equipo debe disponer de un certificado de equipo, emitido por una entidad emisora de
certificados (por e$emplo, el controlador de dominio de #indo's ())) en la que conf+en
ambos equipos.
Invitado: Mos*iO .Microsoft0
P: .n relacin con 0A&L&raversal para I-Sec, Bse necesita permitir tambin el G/- :))
salienteC
': S+. I-S.2 comenzar% en G/- :)) y se dirigir% "acia 9:)) si ambas partes son compatibles
con 0A&L&.
Invitado: Adina > .Microsoft0
P: @amos a e$ecutar la versin SFS de ISA y me preguntaba si "ay alg7n problema relacionado
con @-0 en esta versin.
': 0o "ay ning7n problema espec+fico de SFS relacionado con la implementacin de @-0. Sin
embargo, es preciso familiarizarse con la documentacin sobre @-0 antes de la
implementacin.
Invitado: Adina > .Microsoft0
P: BSer+a me$or esperar al lanzamiento de #in())8 antes de considerar la implementacin de
@-0C
': ISA Server se public por primera vez en #indo's ())) y funciona perfectamente en ese
sistema operativo. 1emos documentado los problemas que "emos detectado relacionados con
su funcionamiento en #indo's ())8.
Invitado: :ved .Microsoft0
P: B2u%l es la diferencia entre el uso de servidores de enrutamiento y acceso remoto para @-0
e ISAC
79
': !a @-0 subyacente de ISA es realmente el servidor de enrutamiento y acceso remoto
(??AS. ISA agrega capacidades de registro, alertas y control de acceso a Internet.
Invitado: :ved .Microsoft0
P: B.s posible e$ecutar t7nel de enrutador a enrutador, y una @-0 para usuarios remotos
simult%neamenteC BSe sabe si "ay alg7n problema de rendimiento en este casoC
': S+. 0o e*iste ning7n problema in"erente del rendimiento en esta configuracin.
Invitado: Mos*iO .Microsoft0
P: B2mo puedo conseguir que el enrutamiento funcione con la @-0 de entrada en mis redesC
': /eber+a poder agregar rutas est%ticas a las cone*iones @-0 (bien con el asistente para @-0
de ISA o en complementos de ??AS.
Invitado: :ved .Microsoft0
P: B.s posible utilizar cualquier mecanismo integrado del servidor ISA para supervisar las
cone*iones @-0 de los usuariosC
': 0o "ay ninguna capacidad de supervisin especial en ISA distinta de las capacidades de que
dispone cualquier cliente interno normal. !a supervisin de ??AS puede usarse para la
actividad relacionada con la @-0.
Invitado: Mos*iO .Microsoft0
P: BDu rutas necesito agregar y desde qu interfazC 1e probado a agregar rutas est%ticas
tanto en ??AS como desde una l+nea de comandos a la tabla de rutas pero no puedo obtener
acceso a nada que no est en la misma subred que el equipo de ISA.
': 2ualquier subred conectada mediante una @-0 est% representada por una interfaz de
marcado a peticin en ??AS. 0ecesitar% agregar rutas a la //I correcta de esa subred.
&ambin tendr% que agregar las direcciones de subred a la tabla de direcciones locales (!A&.
Invitado: :ved .Microsoft0
P: B.s necesario tener instalada una entidad emisora de certificados para usar !(&-C B/ebe
estar la entidad emisora de certificados en ISA Server o en otro servidorC
': !(&- admite diversos mtodos de autenticacin, uno de los cuales es el certificado, pero
ste no es el 7nico. Si utiliza certificados, necesita una entidad emisora de certificados (2A
para emitir dic"os certificados. Si la 2A est% o no en ISA Server es irrelevante. Sospec"o (y
pido disculpas si me equivoco que usted piensa que la comprobacin de un certificado
requiere el acceso de red a la 2A. 0o es as+.
Invitado: Adina > .Microsoft0
P: Si configuro el equilibrio de carga de la red (0!F en el modo de multidifusin, Bdebo
convertir la direccin I- dedicada en la direccin primariaC
80
': !a direccin I- dedicada debe configurarse con la direccin I- del adaptador de red interno
del equipo de ISA Server.
Invitado: Mos*iO .Microsoft0
P: B.s posible e$ercer control de acceso en las cone*iones de los clientes @-0C =, Bse
consideran 6de confianza6 las cone*iones de los clientes @-0C Si es as+, Bdebe incluirse en la
!A& el con$unto de direcciones asignado a los clientes @-0C
': !as cone*iones de los clientes @-0 se consideran de confianza y si se utiliza un con$unto de
direcciones est%ticas, ste debe ser parte de la !A&.
Invitado: :ved .Microsoft0
P: B>unciona el Agente de retransmisin /12- despus de instalar ISA ServerC
': 0o tengo constancia de ning7n problema en este sentido. /ebe funcionar.
Invitado: :ved .Microsoft0
P: B-or qu no es compatible un cliente de Secure0A& en una @-0 del tipo "ost "acia puerta
de enlaceC
': /ebido a una limitacin en la arquitectura de ISA.
Invitado: Mos*iO .Microsoft0
P: BSe admite una @-0 del tipo ISA a ISA cuando ambos lados utilizan una cone*in de acceso
telefnico con direcciones I- variablesC
': S+, es posible utilizar una cone*in de acceso telefnico pero es preciso recordar que en S-5
de ISA estas cone*iones se consideran no confiables de manera predeterminada y tendr% que
instalar una clave de registro para que sean de confianza.
Invitado: :ved .Microsoft0
P: BDu es 0A& &raversalC B-or qu es interesanteC
': I-Sec est% dise,ado para la seguridad de e*tremo a e*tremo. -or tanto, la traduccin de las
direcciones de red de un paquete I- se detecta como un ataque del tipo 6manLinLt"eLmiddle6
(por un desconocido. Ser% de su inters cuando disponga de una red interna que utilice
direcciones privadas (por e$emplo, 5).*.*.* y un n7mero peque,o de direcciones p7blicas y
desee permitir a estos clientes usar I-Sec para comunicarse con un "ost de Internet.
Invitado: :ved .Microsoft0
P: B.s posible disponer de control de acceso de salida en cone*iones de paso --&-C
': -uede utilizar filtros de paquetes para controlar este acceso.
81
Invitado: :ved .Microsoft0
P: B2mo podr+a instalar un servidor ISA detr%s de un enrutador !inEsys 9port 0A& para
cone*iones de banda anc"aC
': 0o estoy familiarizado con !inEsys 9port pero colocar ISA detr%s de un dispositivo 0A&
genrico es tan simple como colocar un "ost normal. .l dispositivo 0A& no tiene ninguna forma
de distinguir entre el tr%fico proveniente de ISA y del "ost cliente normal.
Invitado: Mos*iO .Microsoft0
P: BDu quiere decirC B!as cone*iones @-0 con una @-0 de ISA a ISA no son de confianza en
ISA S-5C
': 2uando se utiliza el asistente para @-0 de ISA, ste crea una interfaz de marcado por
peticin con ??AS que es de confianza. Si configura manualmente una cone*in con acceso
telefnico para @-0, sta no es confiable de manera predeterminada (esa es la forma en la que
se implementa A/S! en algunos pa+ses.
Invitado: :ved .Microsoft0
P: BDu es ISA Server L@-0C
': @ea "ttp433'''.microsoft.com3isaserver
Invitado: Mos*iO .Microsoft0
P: B2mo se puede crear una @-0 de puerta de enlace a puerta de enlace con los asistentes
locales y remotos cuando cambian las direcciones I-C B0o es necesario utilizar direcciones I- y
no nombres de dominio completo (>D/0 para configurar los e*tremos del t7nelC
': -uede utilizar >D/0 para el e*tremo.
Invitado: :ved .Microsoft0
P: B.s posible utilizar 0!F en la interfaz interna para admitir las cone*iones --&- de salida
"acia los servidores @-0 remotosC
': S+. !os clientes --&- son clientes Secure0A& y, como tales, son compatibles con 0!F en la
interfaz interna.
Invitado: Mos*iO .Microsoft0
P: Si el 0!F est% activado en la interfaz e*terna, Be*iste alg7n problema para utilizar una @I-
como direccin primariaC =, Bpueden producirse problemas cuando las respuestas a las
solicitudes salientes llegan en un miembro de la ra+z diferenteC
': .l 0!F de #(E admite rigidez slo para --&-. #indo's Server ())8 tambin admite rigidez
para I-S.2L!(&-. !as respuestas salientes funcionar%n si los clientes @-0 obtienen sus
direcciones del mismo segmento que los usuarios internos.
82
Invitado: :ved .Microsoft0
P: B/nde se puede localizar el grupo de noticias p7blico sobre ISAC
': 2on la ayuda de un cliente de noticias como, por e$emplo, =utlooE .*press, utilice el
servidor msne's.microsoft.com y busque los grupos de noticias microsoft.public.isa.
Invitado: :ved .Microsoft0
P: .n relacin al control de acceso de salida --&-, Bcmo se puede configurar un filtro de
paquetes para permitir que un subcon$unto del equipo de la red interna, y no otros equipos,
obtenga acceso al --&- salienteC
': -arece que abord su pregunta original de manera incorrecta. 2on el filtro de paquetes y
--&- solamente puede limitar el destino e*terno, no el origen interno.
Invitado: Mos*iO .Microsoft0
P: .n relacin con el 0!F4 Mos"iE, si configuro el 0!F en la interfaz e*terna y convierto la @I-
en la direccin I- primaria, Bqu ocurre cuando los clientes de >&- internos realizan cone*iones
salientes y la respuesta regresa a otro miembro de la matrizC B2omprende lo que quiero decirC
': 2uando ISA traduce los paquetes de salida, utiliza el /I- (que deber+a ser su configuracin
I-.
Invitado: :ved .Microsoft0
P: B1ay alg7n art+culo D que aborde el enrutamiento circularC Si dispone de un servidor #eb
que est% dentro y su servidor /0S A/ ofrece su direccin como una direccin e*terna, me "e
encontrado con situaciones en donde los clientes internos tienen dificultades para resolver el
sitio #eb.
': A"ora mismo no tengo tiempo para buscar el art+culo pero e*iste una limitacin en la
arquitectura que impide que los clientes internos puedan obtener acceso al servidor publicado
por medio de la interfaz e*terna del mismo ISA Server.
Moderador: Nerry / .Microsoft0
Aracias por acompa,arnos "oy y gracias por las preguntas. 1a llegado el momento de
despedirnos.
83