La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

XXXXXX Microsoft Corporation Instalación de ISA Server 2004.

Presentaciones similares


Presentación del tema: "XXXXXX Microsoft Corporation Instalación de ISA Server 2004."— Transcripción de la presentación:

1

2 XXXXXX Microsoft Corporation Instalación de ISA Server 2004

3 Temas a cubrir: Material indicado para ITMaterial indicado para IT –… adopción temprana a ISA Server 2004 Microsoft ® European MS ITForum / TechEd DeploymentsMicrosoft ® European MS ITForum / TechEd Deployments Caso de estudio para EMEA con ISA Server 2004Caso de estudio para EMEA con ISA Server 2004

4 Agenda La sesión se enfoca sobre escenarios de ISA Server 2004 Standard EditionLa sesión se enfoca sobre escenarios de ISA Server 2004 Standard Edition Experiencia en nuestro uso y manejo sobre dos escenarios comunesExperiencia en nuestro uso y manejo sobre dos escenarios comunes –Habilitando Sucursales / Oficinas Remotas Instalación y migraciónInstalación y migración Políticas FirewallPolíticas Firewall Redes de PerímetroRedes de Perímetro VPN de sitio a sitioVPN de sitio a sitio –Centro de Datos Respaldo / RecuperaciónRespaldo / Recuperación Publicación HTTPPublicación HTTP Usuarios VPNUsuarios VPN Algunas ideas que están funcionandoAlgunas ideas que están funcionando

5 Habilitando Sucursales / Oficinas Remotas con ISA Server 2004

6 Instalación Tan fácil como …Tan fácil como … 1.Definir el alance de tu red interna 2.Seleccionar tus componentes de instalación 3.Hacer Click en Next un par de veces Extremadamente fácil y funciona muy bien remotamenteExtremadamente fácil y funciona muy bien remotamente –Las Políticas Firewall permiten la instalación vía un escritorio remoto –Después de la instalación, conectarse vía escritorio remoto para importar y crear nuevas reglas

7 Tres Caminos de Migración 1.Actualización en el mismo sitio – Instalar ISA Server 2004 en el host ISA 2000 –Políticas de Firewall se migran automáticamente 2.Actualización en Paralelo – Instalar ISA Server 2004 en una máquina nueva –Utiliza la migración para mover las políticas de Firewall 3.En cualquier caso la configuración RRAS requiere atención especial. –Es posible modificar las características particulares de clientes IP, en caso de haber inconsistencias en las reglas del ISA Server 2004 –Las llaves de VPN no son exportadas –Ver proceso de actualización en ISA Help

8 Instalación Lecciones aprendidas Evaluar el sistema de políticas predeterminadas (DEMO)Evaluar el sistema de políticas predeterminadas (DEMO) –Seguro desde la instalación ; exitoso en un 99% de los casos Asistentes de Migración, solo migra la configuración de ISA 2000, La migración de ISA 2000 Enterprise a 2004 Standard no es factibleAsistentes de Migración, solo migra la configuración de ISA 2000, La migración de ISA 2000 Enterprise a 2004 Standard no es factible

9 Políticas predeterminadas del sistema demostración demostración

10 Políticas Firewall Nuevos elementos requieren que pienses diferenteNuevos elementos requieren que pienses diferente –Número de redes variables con NAT o relaciones de enrutamiento –Cualquier Topología, cualquier política –La mayoría de las topologías de redes pueden ser configuradas vía templetes de redes

11 Políticas de Firewall Lecciones Aprendidas En caso de no usar templetes en la topología :En caso de no usar templetes en la topología : –Definir Rangos de IP en redes –Definir relaciones de Redes –Definir Políticas Firewall –Utilizar el visor de bitácoras Log Viewer de ISA Server 2004 para verificar conectividad FTP = Solo lectura por defecto! (DEMO)FTP = Solo lectura por defecto! (DEMO)

12 FTP – Solo lectura por defecto demostración demostración

13 Políticas Firewall Lecciones aprendidas El Filtro de RPC es extremadamente poderosoEl Filtro de RPC es extremadamente poderoso –Por defecto, solo permite terminales RPC –Negará muchas rutinas de traer objetos DCOM arbitrariamente.. Incluyendo emisión de certificados.. Incluyendo emisión de certificados.. Incluyendo instalación del agente MOM.. Incluyendo instalación del agente MOM … cualquier aplicación que use DCOM… cualquier aplicación que use DCOM Temporalmente Remueve : Enforce Strict RPC en el filtro de configuraciónTemporalmente Remueve : Enforce Strict RPC en el filtro de configuración

14 Remueve Enforce Strict RPC en configuración de filtro demostración demostración

15 Construyendo redes de perímetro Recursos de Clientes de Internet para Publicación de redes en redes de perímetroRecursos de Clientes de Internet para Publicación de redes en redes de perímetro Aplicar seguridad HTTPAplicar seguridad HTTP Rutas de red desde perímetro a redes internasRutas de red desde perímetro a redes internas –Monitoreo y reporteo Rutas Internas de redes para Redes de PerímetroRutas Internas de redes para Redes de Perímetro –Administración

16 VPN Sitio-a-Sitio Soporta IPSec Tunnel, L2TP, PPTPSoporta IPSec Tunnel, L2TP, PPTP Soporta autentificación certificada o compartidasSoporta autentificación certificada o compartidas Tráfico de redes remotas sujetas a políticas FirewallTráfico de redes remotas sujetas a políticas Firewall Excepcional guía walkthrough para instalaciónExcepcional guía walkthrough para instalación DEMODEMO

17 VPN Sitio-a-Sitio demostración demostración

18 VPN Sitio-a-Sitio Lecciones Aprendidas Considerar el uso de herramientas de prueba cuando hay conexión a gateways IPSec …Considerar el uso de herramientas de prueba cuando hay conexión a gateways IPSec … –Usar el Event Log (Security Log) para hacer la prueba –Políticas Debug IPSec deben sincronizar –Utilizar herramientas Windows ® Standard IPSec (MMC) para hacer debug ISA Integra con Windows IPSec StandardISA Integra con Windows IPSec Standard Una vez que ISA es establecido, realizar políticas de prueba con la consola de monitoreo ISA ServerUna vez que ISA es establecido, realizar políticas de prueba con la consola de monitoreo ISA Server

19 ISA Server 2004 Monitoring Consola de monitoreo robustaConsola de monitoreo robusta Soporte a MSDE para un scripting sencilloSoporte a MSDE para un scripting sencillo Por defecto, no es accesible vía redPor defecto, no es accesible vía red Copiar y Pegar a ExcelCopiar y Pegar a Excel DEMODEMO

20 Monitoreo de ISA Server 2004 demostración demostración

21 Haciendo implantación en el centro de datos

22 Backup/Recovery ISA Server 2004 permite un respaldo y recuperación completo de la configuración completa del FirewallISA Server 2004 permite un respaldo y recuperación completo de la configuración completa del Firewall –Gran diferencia con ISA 2000 Entender la terminología:Entender la terminología: –Importación / Exportación –Respaldo –Recuperación Protección de informaciónProtección de información

23 Importación y Exportación Este script facilitará exportar la configuraciónEste script facilitará exportar la configuración Usage: BACKUPISA2004.VBS Usage: BACKUPISA2004.VBS Dim fileName Dim WSHNetwork Dim shareName: shareName = WScript.Arguments(0) Dim xmldom : set xmldom = CreateObject("Msxml2.DOMDocument") Dim fpc : set fpc = WScript.CreateObject("Fpc.Root") Dim array : set array = fpc.GetContainingArray set WSHNetwork = CreateObject("WScript.Network") fileName=shareName & "\" & WSHNetwork.ComputerName & "-" & Month(Now) & "-" & Day(Now) & "-" & Year(Now) & ".xml" array.Export xmldom, 0 xmldom.save(fileName)

24 Respaldo y Recuperación Lecciones aprendidas Saldar a una partición NTFS con una fuerte seguridad.Saldar a una partición NTFS con una fuerte seguridad. Copiar políticas Firewall usando importación / exportación a través del GUICopiar políticas Firewall usando importación / exportación a través del GUI La cuenta debe contar privilegios administrativos de ISA ServerLa cuenta debe contar privilegios administrativos de ISA Server –Configurar en delegación administrativa

25 Inspección HTTP Tamaños de InformaciónTamaños de Información (URL, Header Length) Verificar NormalizaciónVerificar Normalización ExtensionesExtensiones MétodosMétodos Substitución CharSubstitución Char Bloqueo de FirmasBloqueo de Firmas DEMODEMO

26 Inspección HTTP demostración demostración

27 Publicación de Exchange Autentificación en base a FormasAutentificación en base a Formas –Bloqueo de archivos anexos –Tiempo de vida de la Sesión Publicación de RPC (Autorización estricta de RFC )Publicación de RPC (Autorización estricta de RFC ) ActiveSync ®, OWA, OMA, RPC/HTTPActiveSync ®, OWA, OMA, RPC/HTTP –Configurado por reglas de firewall o asistentes –Enfocado a caminos trazados (por ejemplo, rpcproxy.dll, /exchange) –Considerar el uso de Delegación Básica de Autentificación

28 Plug MSG308 Así es, La sesión que no muere!Así es, La sesión que no muere! TechEd, IT Forum, MEC, MGB, Envision, SANS, airlifts, webcasts… Proteger OWA, Exchange, SMTPProteger OWA, Exchange, SMTP –Eliminar amenazas contra el IIS en las redes de perímetro –Tener disponible Para Outlook el RPC, sin usar VPN –Bloquear ataques de reconocimiento SMTP Ahora Incluye : Ahora Incluye : –Proteger RPC-HTTP para Outlook 2003 –Nuevas capacidades del nuevo ISA Server 2004

29 Acceso Remoto al VPN Acercamiento Standard de IETF a usuario VPNAcercamiento Standard de IETF a usuario VPN –L2TP/IPSec/NAT-T –Muchos túneles VPNs no son en base a standards Implementar métodos inseguros para autentificación de usuarioImplementar métodos inseguros para autentificación de usuario Implementación sin standard para asignar información de IP a clientesImplementación sin standard para asignar información de IP a clientes ISA Server 2004 tiene nuevos elementos …ISA Server 2004 tiene nuevos elementos … –Configuración en pocos clicks –Clientes integrados a windows –Custumizable vía Windows 2003 –Clientes VPN tratados como redes y sujetos a políticas –Tráfico seguro de clientes VPN y monitoreados en log viewer –Cuarentena en VPN

30 De vuelta al mundo real …

31 ¿Qué tenemos? VLANSVLANS –4 VLANS en 1000Mbs Back Bone –Conexión 1 x 100 Mbs WAN –42 Cisco Switches – 86 Proxim Wireless AP4000 –4500 Usuarios –Todo seguro por: 2 x ISA 2004 and Windows 2003

32 Exchange Hardware Dell PowerEdge Server Use Model Number of Servers Processors and Speed MemoryDisk Exchange Cluster PE x 2.4Ghz 4Gb RAM 3 x 36Gbs Exchange FE PE x 2.4Ghz 2Gb RAM 2 x 36Gbs DELL CX450 EMC 2N/AN/A 15x 76Gbs ISADL x 1Ghz 1Gb RAM 4 x 18Gbs ADDL x 1Ghz 1Gb RAM 4 x 18Gbs WEBDL x 1Ghz 1Gb RAM 2 x 18Gbs SQL Clusters DL x 700mhz 2Gb RAM 4 x 18Gbs Fibre Channel disk 2N/AN/A 32 x 18Gbs SQLDL x 1Ghz 1Gb RAM 4 x 18Gbs ADDL x 1Ghz 1Gb RAM 4 x 18Gbs WEBDL x 1Ghz 1Gb RAM 2 x 18Gbs GATEWAYDL x 700mhz 2Gb RAM 4 x 18Gbs

33

34

35

36 Estadísticas y Roll-out Todos los ISA Server usados en la región europea de Microsoft, fueron instalaciones vírgenes de ISA 2004Todos los ISA Server usados en la región europea de Microsoft, fueron instalaciones vírgenes de ISA 2004 Toda la configuración se hizo a una máquina y se exportó a donde fue posible.Toda la configuración se hizo a una máquina y se exportó a donde fue posible. COMM Inter-op fue usado con Visual Studio ®.NET 2003 donde fue posibleCOMM Inter-op fue usado con Visual Studio ®.NET 2003 donde fue posible

37 Roll-out y Estadísticas Status en vivoStatus en vivo ISA Logs files 12 GB in 3 DaysISA Logs files 12 GB in 3 Days 10 Million Rows in the Database…10 Million Rows in the Database… LoggingLogging

38 Escaneo de Virus ISA 2004

39 Escaneo de Virus PortType 1434Slammer (1434) 2535Bagel (2535) 9995SASSR (9995) 445SASSR & Korgo (445) 9996SASSR / A (9996) 5554SASSR (5554) 69Nachi (and others) (69) 135DCOM exploit Nachi / Welcher / SASR / LOVESAN (135) 139SASSR (139) 4444LoveSan (4444) 137General worm (137) 138General worm (138) 4662EDonkey File Sharing System (4662) 2234DirectPlay (2234) 259esro-gen Efficient Short Remote (259) 6669IRC Explots SpyBot 6668IRC Explot IRC Explot IRC Explot 2

40 Escaneo de Virus

41 Sacando mas provecho … Límites de conexiónLímites de conexión NLB / Round RobinNLB / Round Robin Reglas HTTPReglas HTTP MSLoopBack y RedirecciónMSLoopBack y Redirección OWA, Headers Originales y ScriptingOWA, Headers Originales y Scripting Logging…..Logging….. ¿Que mas se puede hacer con ISA 2004?¿Que mas se puede hacer con ISA 2004?

42 Y seguimos trabajando! Events Logon ISA 2004

43 Sumario de la sesión. Escenarios de ISA Server 2004 Standard EditionEscenarios de ISA Server 2004 Standard Edition Cómo lo usamos nosotros en dos escenarios comunes:Cómo lo usamos nosotros en dos escenarios comunes: –Branch Office Instalación y MigraciónInstalación y Migración Políticas FirewallPolíticas Firewall Redes de perímetroRedes de perímetro VPN de sitio a sitioVPN de sitio a sitio –Data Center Backup/RecoveryBackup/Recovery HTTP PublishingHTTP Publishing Usuario VPNUsuario VPN Ideas en las que estamos trabajandoIdeas en las que estamos trabajando

44 Contacto : Vía Web : Puedes contactarnos en el :

45 Tu Potencial, Nuestra Pasión


Descargar ppt "XXXXXX Microsoft Corporation Instalación de ISA Server 2004."

Presentaciones similares


Anuncios Google