lunes, 4 de junio de 2012

Proxy en Windows con ISA server.

PROXY ISA SERVER.





Para implemetar nuestro proxy lo haremos en la misma infraestructura que hicimos implementando el firewall


Requerimientos:

  1. una maquina de windows server 2003 (3 adaptadores)
  2. isa server 2006 instalado.
  3. el firewall instalado y configurado en isa server 2006.
  4. una maquina de centos para simular la DMZ.
  5. una maquina de windows XP para que sea la red interna LAN.

Lo primero que hacemos es hacer que isa server actue como proxy por lo cual hacemos lo siguiente. en la pestaña "redes", damos click derecho en "interna", "propiedades".




En la pestaña "web proxy" habilitamos el proxy y especificamos el puerto por el cual trabajara.




En el navegador de nuestra red interna LAN, habilitamos la opción de Proxy con su respectivo puerto.




Ahora se configura las reglas de acceso que se hicieron en el Firewall para que tengan acceso al Proxy. En este caso configuraremos las reglas de web para que los usuarios estén autenticados. Clic derecho en "propiedades".




En la pestaña "usuario" agregamos un nuevo usuario para que se pueda autenticar con el proxy. Clic en "agregar" y en "nuevo".





Este es el asistente de instalación para crear un usuario autenticado.



Vamos a agregar un usuario local en "Windows usuarios y grupos".





Comprobamos que el usuario ingresado sea valido.




Se verifica la información que se ingreso.




Finalización del asistente.




Después de configurar el nuevo usuario, se agrega para la autenticacion.









Al intentar navegar desde la maquina cliente en red interna nos pide la autenticacion.



Isa server permite crear muchas reglas por lo que nos permite configurar el horario para la regla de acceso del FTP, damos clic derecho en "propiedades". 





Ingresamos a programación, ya ahí se elige los días y a que horas tener el Proxy activado.




Luego probamos lo siguiente, al intentar establecer a un FTP en el rango del horario establecido  aparece un error.





Para denegar por extensiones, se puede dar clic derecho sobre la regla de acceso que se desee, en este caso le damos en "configurar HTTP", clic derecho "propiedades".





En la pestaña "extensiones", elegimos "bloquear extensiones especificas", y pulsamos "agregar".




Le definimos las extensiones a denegar.







al intentar descargar un archivo con esta extensión debe aparecer un error, para denegar por URL, ingreamos a "herramientas", "nuevo", "conjunto de direcciones URL".  





Se define un nombre para el nuevo conjunto de URLŽs, y agregamos las URL que queremos denegar.





Para permitir el conjunto de URLŽs denegadas, debemos crear una nueva regla de acceso.




se escoge la opción denegar.





Se define los protocolos los cuales son HTTP Y HTTPS.









Se elige el origen de las peticiones que serán filtradas.





En el destino se escoge el conjunto de de direcciones que mas adelante fueron escogidas.






Configuramos esta regla para el usuario configurado anteriormente.





Finalizacion del asistente de crear la regla.





Para denegar por la IP se ingresa a la pestaña "herramientas", "conjunto de equipos", "nuevo conjunto de equipos".






Le damos un nombre y agregamos  la IP que queremos denegar.








También se puede poner un nombre a la IP.





Para asociar la IP a un Proxy se debe crear una regla.





Se escoge la opción denegar.






Se elige los protocolos a los cuales afectara la regla.





Este es el origen de la regla, que son el conjunto de direcciones IP configurados anteriormente.





El destino de esta regla es externa.




Finalizacion del asistente de la regla del  filtrado por IP.





Ahora vamos a denegar rango de direcciones, ingresamos a "herramientas2", "intervalo de direcciones", "nuevo intervalos de direcciones".






Se le pone un nombre al rango y el rango que deseemos.



Para asociar un rango IP a una regla de acceso, se debe crear una regla. 






Escogemos la opción denegar.





Seleccionamos los protocolos que serán filtrados por la regla.






La red de origen sera el rango de direcciones.





La red de destino sera externa.






Se eligen los usuarios a los cuales se les aplicara las regla.





Finalizacion de la regla creada.



Se debe configurar la cache del Proxy, ingresamos a "configuracion", "cache", clic derecho "propiedades".





Ingresamos a la pestaña cache, y se configura el tamaño del cache.






Ahora denegaremos por dominio, ingresamos a "herramientas", "conjuntos de nombre de dominio", "nuevo conjunto de nombres de dominio".






Se define un nombre al conjunto de dominios, y se empieza a agregar los dominios que se deseen.




Para asociar el conjunto de dominios al Proxy, se debe crear una regla.




Se escoge la opción denegar.





Se eligen los protocolos a los cuales afectara la regla.





La red de origen es interna.




La red de destino es el conjunto de dominios que se configuraron anteriormente.




Se elige el usuario al cual se le aplicara esta regla.




Finalizacion del proceso de creación de la regla.