Servidor de seguridad avanzado en una red perimetral

  • Artículo

 

Última modificación del tema: 2005-05-24

La figura siguiente muestra un escenario con un servidor de seguridad avanzado, en el que un servidor de seguridad avanzado se coloca dentro de la red perimetral, entre el servidor de seguridad de Internet y el servidor de seguridad interno. Los servidores de aplicaciones para el usuario y servicios de fondo se encuentran en la misma red detrás del servidor de seguridad interno. Esta topología se recomienda por los siguientes motivos:

  • Proporciona seguridad ya que aísla a los intrusos del resto de la red.
  • Proporciona filtro de protocolos de aplicaciones.
  • Realiza una comprobación adicional de las solicitudes antes de enviarlas a la red interna.

Nota

Como alternativa a colocar el servidor de seguridad avanzado dentro de una red perimetral detrás de un servidor de seguridad de Internet separado, el propio servidor de seguridad avanzado puede funcionar como servidor de seguridad de Internet.

ISA Server en la red perimetral

Escenario

Una organización sitúa un servidor de seguridad avanzado, por ejemplo, un servidor ISA, entre dos servidores de seguridad diferentes. La decisión de la organización para configurar esta topología de servidor de seguridad avanzado se basa en los siguientes beneficios:

  • Los servidores de seguridad avanzados ofrecen seguridad adicional a la red ya que protegen de accesos no autorizados, inspeccionan el tráfico y notifican los ataques al administrador de red.
  • Los servidores de seguridad avanzados permiten utilizar métodos como filtro de puertos y filtro IP para controlar el tráfico.
  • Los servidores de seguridad avanzados permiten restringir el acceso mediante usuarios y grupos, tipo de aplicaciones, hora del día, tipo de contenido y conjuntos de destinos.

Instrucciones de instalación

Para obtener instrucciones de instalación detalladas, consulte Cómo configurar una topología de aplicaciones para el usuario y servicios de fondo con un servidor de seguridad en una red perimetral. Para obtener más información acerca del servidor ISA, incluida información del producto y recursos técnicos, visite el sitio Web del servidor ISA.

Discusión

El servidor ISA contiene dos tipos de reglas:

  • Reglas de publicación de servidor Estas reglas, que se pueden aplicar a cualquier protocolo, inspeccionan las solicitudes entrantes en el puerto receptor. Si se admite una solicitud entrante, la regla de protocolo la reenvía desde el puerto receptor a una dirección IP interna.
  • Reglas de publicación Web   Estas reglas se aplican sólo a solicitudes HTTP o HTTPS (80/443). Se pueden configurar reglas de publicación Web para filtrar las solicitudes entrantes en función del tipo de servicio, puerto, nombre del equipo de origen y nombre del equipo de destino. También puede permitir sólo algunos servidores o rechazar servidores de alto riesgo.

Si va admitir clientes HTTP, cree una regla de publicación Web que trate el tráfico HTTP o HTTPS. Si va a admitir clientes POP o IMAP, cree reglas de publicación de servidor para tratar estos protocolos.

A diferencia del caso de la red perimetral, el servidor ISA en la red perimetral no tiene que ser un servidor miembro a menos que lo configure para que autentique solicitudes. Generalmente, si ha configurado la autenticación en el servidor de aplicaciones para el usuario, no es necesario configurar el servidor ISA para autenticar usuarios. Sin embargo, si desea restringir las solicitudes entrantes a aquellas que se originen en usuarios específicos, debe crear una regla de publicación Web que especifique los usuarios y habilite la autenticación en el servidor ISA. En este caso, el servidor ISA debe ser un miembro del dominio de Windows. Además, el servidor ISA no delega las credenciales de los usuarios a los servidores de servicios de fondo. Por lo tanto, aunque el servidor ISA puede autenticar usuarios y restringir el acceso a la red, no se puede autenticar previamente los usuarios para Outlook Web Access.

Problemas

En el caso del servidor de seguridad avanzado, no es necesario el acceso RPC a la red interna. Esto se suele ver como una ventaja porque es necesario abrir menos puertos en el servidor de seguridad interno; sin embargo, independientemente del número de puertos abiertos, existe el peligro de una brecha en la seguridad. Para evitar este riesgo en la seguridad, asegúrese de configurar los filtros apropiados para cada puerto abierto.

En el caso del servidor de seguridad avanzado, puede configurar SSL de dos maneras:

  • Sólo entre el cliente y el servidor ISA.
  • Entre el cliente y el servidor ISA y entre el servidor ISA y el servidor de aplicaciones para el usuario.

Normalmente se usa la segunda opción si la directiva del cliente indica que el tráfico de correo electrónico dentro de la red perimetral está cifrado. Después de que el servidor ISA reciba la solicitud SSL del cliente, termina la sesión y vuelve a abrir una nueva sesión SSL con un nuevo certificado para ponerse en contacto con el servidor de aplicaciones para el usuario. Es importante el nombre de cada certificado. El nombre del certificado de la solicitud entrante debe coincidir con el nombre que el usuario escribió en la dirección URL. Es más, el nombre de certificado de la solicitud al servidor de aplicaciones para el usuario debe coincidir con el nombre o dirección IP del servidor de aplicaciones para el usuario.

Para configurar SSL en el servidor ISA, utilice la ficha Puente de la regla del servidor de publicación Web para dirigir el tráfico SSL. Si va a alojar varios dominios y desea utilizar SSL, debe configurar una escucha y una dirección IP diferente para cada dominio. Esto se debe a que los certificados deben tener un nombre que coincida con los nombres o direcciones IP de destino.