Sugerencias para la instalación de ISA Server 2000 Requerimientos de Software y hardware
Los requerimientos mínimos recomendados por Microsoft son: • • • • •
Pentium II 300MHz o mayor 256 MB de RAM, 2 GB de espacio en disco duro con el sistema de archivos NTFS 200 MB disponibles en disco para la instalación. 2 tarjetas de red
ISA Server requiere mínimo Windows 2000 Service Pack 1. Se recomienda instalar Service Pack 3 y las ultimas actualizaciones de seguridad. Para ello dirigirse a http://windowsupdate.microsoft.com y seguir el procedimiento ahí especificado. Asegurando el Sistema Operativo
Renombrar la cuenta del Administrador por cualquier otro nombre para impedir posibles intentos de logueo con esta cuenta. Además colocar password complejos a la cuenta administrador con letras y demás caracteres alfanuméricos (por ejemplo: v1rdl78!$#). Además se recomienda no instalar las siguientes aplicaciones y servicios en un servidor ISA Server. • • • • • • • • •
DHCP DNS WINS Servicios de Certificación IIS Services: WWW, SMTP, NNTP, FTP Servidores de Mail, como el Exchange Servidores FTP Clientes de Correo, como Outlook o Outlook Express Buscadores Web
Deshabilitar los servicios y aplicaciones Pre-construidas en Windows 2000
Para minimizar el riesgo despues de la instalación de ISA Server, se recomienda deshabilitar los siguientes servicios: (Nota: Es necesario hacer un análisis de prueba y error para determinar que no se pierde ninguna funcionalidad deseada) • •
Alerter Clipbook
• • • • • • • • • • • • • • • • •
Computer Browser Distributed File System Fax Service File Replication Indexing Service Internet Connection Sharing Intersite Messaging Kerberos Key Distribution Center License Logging Service Messenger NetMeeting Remote Desktop Sharing Network DDE Print Spooler QoS RSVP Removable Storage RunAs Telnet
Los servicios se pueden detener de la siguiente manera. Ir a Mi PC, hacer clic derecho y luego elegir la opción administrar, luego ir a servicios y aplicaciones y elegir los servicios anteriormente señalados. Si decide que quiere asegurar el servidor con el asistente de configuración de seguridad de ISA (ver “Asegurando Servidor ISA Server”) entonces realice primero dicho paso antes de deshabilitar los servicios según lo explicado en esta sección.
Configurando la Interface Externa
La configuración de la tarjeta de red externa debe ser modificada para minimizar el riesgo. En las propiedades de la tarjeta, en el tab general deshabilitar el check box de Client for Microsoft Networks y el check box file and Printer Sharing for Microsoft Networks. Como se muestra en la siguiente figura
Luego de deshabilitar estas opciones dar doble clic en Internet Protocol (TCP/IP) e ir al tab de WINS se vera la siguiente ventana:
Por defecto se encuentra habilitada NetBIOS over TCP/IP. Se debe deshabilitar esta opción porque no es necesario configurar la tarjeta como el cliente WINS, tampoco el NetBIOS broadcasts. Además se debe deshabilitar el LMHOSTS lookup
• •
Instalando ISA Server
Insertar el CD de isa Server y ejecutar setup.exe en el caso de la versión en español ejecutar instalar.exe. Luego elegir instalar isa server En la ventana de instalación elegir el modo de instalación Típica, Personalizada o Completa Al continuar la instalación la cual nos presentara el modo en que ISA Server va a hacer instalado · Firewall – con esta opción, ISA Server funciona como firewall para su red. · Web Cache – con esta opción permite a los usuarios de la red acceder rápidamente a paginas web, debido a que las paginas mas visitadas se guardan en el ISA server lo cual permite un menor trafico en la red. · Modo Integrado – ISA server puede funcionar como firewall y web cache a la vez. En la figura se muestra los modos de instalación del ISA Server
Una vez seleccionado el modo de instalación, la siguiente ventana indicara que esta deteniendo el servicio de Internet Information Services (si se encuentra instalado). En la siguiente ventana, se debe especificar el tamaño del cache.
Es preferible reservar el tamaño del cache en otra partición, de acuerdo a la cantidad de páginas visitadas por parte de los usuarios, esto permitirá que la lectura sea más rápida. En la siguiente ventana se define los rangos de las ip internas tambien llamado LAT.
LAT (Local Address Table) – La LAT contiene todas las direcciones IP asociadas con las tarjetas de red interna del equipo del servidor ISA, además de los intervalos de direcciones IP privadas definidos por Internet Assigned Numbers Authority (IANA). Con esta Tabla el ISA Server distingue las direcciones internas de las externas. En la ventana que aparece a continuación, asegurarse de seleccionar solo la tarjeta de red interna.
Una vez que este paso este completado, se vera la ventana superior, finalización de la creación de la tabla LAT. Asegúrese de que todas las tarjetas de red del servidor ISA estén conectados a sus respectivos cables. Después de haber completado la instalación la consola de administración del ISA Server se abrirá automáticamente. Ciérrela y aplique el service pack 1 de ISA Server (http://www.microsoft.com/isaserver/downloads/sp1.asp )
Asegurando Servidor ISA Server
Seguridad del servidor ISA Microsoft Internet Security and Acceleration (ISA) Server incluye el Asistente de configuración para la seguridad del servidor ISA, que puede utilizarse para aplicar el intervalo completo de valores del sistema de seguridad al equipo del servidor ISA. Puede elegir uno de los niveles de seguridad siguientes: •
• • •
Seguro. Esta configuración es la adecuada cuando el servidor ISA tiene otros servidores instalados como, por ejemplo, un servidor de servicios de Internet Information Server (IIS), servidores de bases de datos o servidores SMTP (protocolo simple de transferencia de correo). Servicios limitados Esta configuración es la adecuada cuando el servidor ISA funciona como una combinación de servidor de seguridad y servidor de caché. Se puede proteger con un servidor de seguridad adicional. Dedicado. Esta configuración es la adecuada cuando el servidor ISA funciona únicamente como servidor de seguridad dedicado, sin otra aplicación interactiva .
Para establecer la seguridad del sistema En el árbol de la consola de Administración de ISA, haga clic en Equipos. Servidor ISA (Internet Security and Acceleration)
Servidores y matrices Nombre Equipos (Computer) En el panel de detalles, haga clic con el botón secundario en el equipo correspondiente y, a continuación, haga clic en Proteger (Secure). En el Asistente para configuración de la seguridad del servidor ISA, siga las instrucciones que aparecen en la pantalla. Las opciones que le aparecerán son las que se detallaron líneas anteriores En realidad lo que ISA hace al asegurar el sistema operativo es aplicar uno de los templates de seguridad que trae windows 2000 según la siguiente tabla: Nivel de seguridad
Para un servidor
Para un domain controller
Dedicated
Hisecws.inf
Hisecdc.inf
Limited Services
Securews.inf
Securedc.inf
Secure
Basicsv.inf
Basicdc.inf
ISA Server deja un log, con los cambios que realizo, en el directorio de instalacion de ISA. El archivo se llama securwiz.log