Guía para proteger ISA Server 2006

Alan Maddison

 

De un vistazo:

  • Prácticas recomendadas para proteger servidores
  • Configuración del Asistente para configuración de seguridad
  • Tutorial del Asistente para configuración de seguridad
  • Asignación de funciones administrativas

Contenido

Protección de los servidores
Configuración del Asistente para configuración de seguridad
Ejecución del SCW
Funciones administrativas

Mientras muchos profesionales de TI confían en ISA Server 2006 (Internet Security and Acceleration Server 2006) para proteger sus activos tecnológicos, pocos van más allá y se preocupan de proteger el propio servidor ISA. Si usted

ha instalado recientemente ISA Server 2006, seguramente recordará que aparece un recordatorio para hacer esto inmediatamente después de que la instalación finaliza. Por desgracia, muchos de los profesionales de TI como nosotros raramente se toman (o tienen) el tiempo de realizar este paso importante y esta tarea suele acabar en esa lista de cosas para hacer pero que nunca se hacen.

En el panorama actual de la seguridad en constante cambio, no proteger el servidor ISA ya no es algo aceptable. Por suerte, las herramientas usadas para proteger el servidor ISA han avanzado mucho. Ya no hace falta enfrentarse a muchos de los retos que presentaban los asistentes para reforzar la seguridad de versiones anteriores a ISA Server 2004. Puede seguir los pasos y las herramientas tranquilamente, como los del Asistente para configuración de seguridad (SCW) que se incluye con Windows Server® 2003.

En este artículo proporcionaré un resumen breve de las prácticas recomendadas generales para proteger servidores. A continuación echaremos un vistazo detallado a las estrategias para reforzar la seguridad en el propio servidor ISA, usando el Asistente para configuración de seguridad para reducir el área expuesta a ataques del servidor ISA y las funciones administrativas para restringir el acceso al servidor ISA.

Protección de los servidores

Hay muchos elementos y prácticas recomendadas implicados en la protección de servidores, tanto si están situados en un centro de datos, como si están en el cuarto de servidores junto a su oficina. Como administrador, es su responsabilidad conocer estas prácticas recomendadas y hacer lo que pueda para implementar estos requisitos de una forma práctica para su organización. Como la importancia de la seguridad ha ido creciendo en los últimos años, muchos de nosotros nos hemos familiarizado bastante con las tareas que forman el núcleo de estos requisitos, así que no detallaré todos los puntos, sino que sólo haré una introducción breve.

El primer paso que se debe tomar para proteger el entorno es garantizar que los servidores están seguros físicamente. Lo que esto significa en términos prácticos es que debe restringir el acceso físico a los servidores. En entornos más pequeños esto significa asegurarse de que la puerta del cuarto de servidores permanece bloqueada y que la lista de personas con acceso al cuarto es muy reducida. En entornos más grandes este requisito básico es prácticamente el mismo, pero se puede implementar de una forma más sofisticada. Muchas organizaciones usan supervisión electrónica, por ejemplo. Esto les permite auditar la entrada a las ubicaciones de los servidores e incluso restringir el acceso a estantes o jaulas individuales, según cómo estén estructuradas las responsabilidades de trabajo.

Hay algunos factores especiales a considerar cuando se trata con el robo o el riesgo físico de un servidor ISA o un servidor de Almacenamiento de configuración ISA. La naturaleza de la información que puede obtener del servidor robado puede potencialmente poner en peligro a todos los servidores ISA y al tráfico (incluido el tráfico cifrado) de su entorno.

Si sospecha que se ha puesto en peligro o se ha sustraído un servidor, retire el servidor afectado inmediatamente (si todavía está en la ubicación) y siga los procedimientos estándar para proteger las pruebas. Después de haber realizado los pasos necesarios, deberá empezar a cambiar toda la información confidencial (se deben revocar todos los certificados instalados en el servidor y se deben modificar todas las claves precompartidas y los secretos compartidos). Además, si mantiene un servidor de Almacenamiento de configuración de réplica, asegúrese de eliminar cualquier dato relacionado con el servidor comprometido.

Una vez que los servidores estén seguros físicamente, el siguiente paso consiste en asegurarse de que hay una metodología estructurada para aplicar revisiones a todo el software, incluidos la capa de virtualización, el sistema operativo y las aplicaciones. Las actualizaciones y revisiones deben revisarse y aplicarse regularmente. Pero no olvide probar estas actualizaciones antes de aplicarlas a sistemas de producción. Una revisión no hará ningún bien si termina causando un problema que pueda poner en peligro la aplicación o la integridad de los datos.

Si se compromete la integridad de los datos, necesitará recurrir a las copias de seguridad. Esto me recuerda a otro elemento clave para proteger la infraestructura. Si no puede restaurar completa y rápidamente los datos cuando tenga necesidad de ello, el tiempo de inactividad puede tener una repercusión considerable en sus operaciones y, como resultado, aumentar el costo de una intrusión.

Otros dos elementos que considerar son la supervisión y la auditoría. Supervisar las aplicaciones y los sistemas es una pieza fundamental del cualquier buen plan de seguridad. Si no se toma el tiempo de revisar los registros, en especial los relacionados con la seguridad, es poco probable que pueda detectar los intentos de intrusión antes de que el daño esté hecho.

De igual forma, las auditorías son fundamentales. En muchas organizaciones, en especial en entornos grandes, esta actividad a menudo está regulada e incluso es necesario realizarla por ley. Aunque no fuera así, es importante en cualquier entorno revisar periódicamente los controles y la metodología usados para proteger los activos y que sus esfuerzos resulten eficaces.

Por último, como se está ejecutando ISA Server 2006 en Windows Server® 2003, es importante que revise la Guía de seguridad de Windows Server 2003 e implemente las recomendaciones necesarias. Puede encontrar la Guía de seguridad de Windows Server 2003 en microsoft.com/technet/security/prodtech/win­dow­sserver2003/w2003hg/sgch00.mspx.

Microsoft recomienda actualmente implementar la plantilla de la directiva de seguridad de línea de base, pero no debe implementar ningún filtro del protocolo de seguridad de Internet (IPsec).

Configuración del Asistente para configuración de seguridad

¿Cómo puede hacer que el servidor ISA sea más seguro? La herramienta principal para proteger ISA es el SCW. Es una herramienta para reducir la exposición a los ataques. Crea directivas de seguridad dirigidas a servicios de un servidor, seguridad de red, registro y directivas de auditoría, configurando el sistema sólo para los servicios que requiere. Es importante tener en cuenta que sólo debe configurar los servicios del servidor ISA que tenga pensado usar. Por ejemplo, el servicio web proxy está habilitado de forma predeterminada, pero si no se tiene pensado usarlo debería inhabilitarse. Así, es necesario prestar mucha atención a las opciones de configuración que SCW presenta.

SCW no está instalado de forma predeterminada en Windows Server 2003, así que el primer paso es instalarlo con el applet Agregar o quitar componentes de Windows® del panel de control de Agregar o quitar programas. (Tenga en cuenta que SCW está instalado de forma predeterminada en Windows Server 2008.) Cuando se haya cargado la pantalla Componentes de Windows, desplácese hacia abajo y marque la casilla de SCW.

Cuando se haya finalizado la instalación, la aplicación se puede encontrar en Herramientas administrativas. Antes de empezar a usar el asistente debe actualizar SCW descargando una actualización para ISA Server 2006 (disponible en go.microsoft.com/fwlink/?LinkId=122532). Esta actualización añade las funciones para ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition e ISA Server Configuration Storage Server.

Después de descargar la actualización, necesitará ejecutar el paquete y extraer los archivos del mismo. Después de extraer estos archivos, copie los dos archivos .xml (isa.xml e isaloc.xml) en la carpeta kbs de SCW (en una instalación predeterminada de Windows Server, ésta será c:\windows\­security\msscw\kbs).

Cuando copie los archivos, se le pedirá que sobrescriba dos archivos existentes con el mismo nombre. Estos dos archivos son para ISA Server 2004, así que debería copiarlos antes de sobrescribirlos. El paso final consiste en copiar el archivo isascwhlp.dll en la carpeta bin, que normalmente se encuentra en c:\windows\­security\msscw\bin. Cuando haya completado la incorporación de las funciones de ISA en SCW, estará listo para empezar la instalación.

Microsoft normalmente recomienda que sólo se ejecute el SCW cuando se haya completado la configuración del servidor ISA. Si está ejecutando la versión Enterprise Edition, se incluye la configuración de todas las matrices y todos sus miembros.

Ejecución del SCW

El primer paso es iniciar SCW desde Herramientas administrativas (recuerde que necesitará permisos de administrador para completar correctamente el proceso de SCW).

La figura 1 muestra la primera pantalla del asistente. Si lee el texto de esta pantalla, en especial la advertencia que dice "este asistente detecta los puertos de entrada a los que está atento este servidor", puede comprender por qué es importantes tener el servidor ISA y las matrices completamente configurados antes de empezar este proceso.

fig01.gif

Figura 1 Inicio del Asistente para configuración de seguridad (haga clic en la imagen para ampliarla)

Si no se ha configurado completamente el entorno, hay muchas posibilidades de que sea necesario revisar la configuración de SCW después de completar la configuración de ISA. La pantalla siguiente, que se muestra en la figura 2, pregunta qué acción realizar. Debe seleccionarse la opción Crear una nueva directiva de seguridad.

fig02.gif

Figura 2 Crear una directiva de seguridad nueva (haga clic en la imagen para ampliarla)

A continuación se le indica que seleccione el servidor que se usará como línea de base para la directiva. Como está creando una directiva nueva, la selección predeterminada consiste en usar el equipo en el que se ejecuta SCW. Sin embargo, este comportamiento cambia en función de la acción que elija realizar en la pantalla anterior. A pesar de todo, una práctica recomendada sería tener SCW instalado en el servidor que se desea usar como línea de base. Si SCW no está instalado en el servidor de destino, faltará la información usada para completar la directiva. Así que, para facilitar el trabajo, instale y ejecute SCW desde el servidor que quiere usar como línea de base.

Cuando se pulse Siguiente, SCW empezará el análisis del servidor ISA. Este análisis incluye la determinación de las funciones instaladas en el servidor, funciones que probablemente están instaladas en el servidor, servicios instalados e información de red básica. Cuando el procesamiento finaliza, se puede ver la base de datos seleccionando la opción Ver la base de datos de configuración. La base de datos de configuración contiene mucha información, incluidas todas las funciones de servidor compatibles, las características de cliente y los puertos.

A continuación, SCW le guía a través de la Configuración de servicio basado en funciones. Al pulsar Siguiente se abrirá la pantalla siguiente, donde se le pedirá que seleccione las funciones de servidor, tal como se muestra en la figura 3. La exploración inicial que realiza SCW suele ser confiable. Podrá comprobar que ya se han identificado las funciones del servidor correctas. Sin embargo, es muy importante que lo compruebe dos veces y que elimine cualquier función innecesaria. Y si el servidor cumple varias funciones, asegúrese de que se han marcado todas las funciones apropiadas.

fig03.gif

Figura 3 Especificación de funciones de servidor (haga clic en la imagen para ampliarla)

Un punto importante que recordar si se ejecuta ISA Server 2006 Enterprise Edition es que se tiene que considerar el servidor de Almacenamiento de configuración. Si el servidor de Almacenamiento de configuración está instalado en un servidor que también actúa como servidor ISA (lo cual, por cierto, no seguiría las prácticas recomendadas, aunque muchas veces sea el caso), necesitará asegurarse de que también se selecciona la función del servidor de Almacenamiento de configuración. No debería usar una exploración de línea de base de un servidor que hospede ambas funciones para servidores que realmente sólo tengan la función de ISA Server 2006.

A continuación se le pedirá que seleccione las características de cliente del servidor. Es decir, necesitará especificar los servicios que necesita el servidor. Por ejemplo, casi todos los servidores necesitarán el cliente DNS, y si un servidor es un miembro de un dominio, entonces requerirá la característica Miembro del dominio.

Después de hacer esto, se mostrará la pantalla Opciones de administración y otras. Aquí es donde usted indica las opciones de aplicación, administración y sistema operativo que usan servicios o dependen de la conectividad de red. Se inhabilitarán todos los servicios que no se seleccionen aquí. Sin embargo, después de hacer sus selecciones y de pulsar Siguiente, se le ofrecerá la opción de seleccionar servicios adicionales que desee permitir.

A continuación pasará a configurar cómo deben tratarse los servicios no especificados. Esto le permite definir lo que debe suceder cuando, al aplicar la directiva, se encuentran servicios no incluidos en la base de datos principal ni instalados en el servidor de línea base. Como práctica recomendada general, debe elegir inhabilitar los servicios no especificados porque esto limitará los frentes de ataque imprevistos. Desafortunadamente, esta opción puede tener consecuencias negativas si sus servidores se apartan de lo normal en algunas cuestiones; también necesita recordar esta configuración si agrega cualquier aplicación o servicio de red en el futuro.

La sección siguiente del asistente, que se muestra en la figura 4, permite revisar los servicios que SCW está modificando. Esta pantalla de confirmación le ofrece una vista comparada del estado actual y del estado modificado de los servicios después de que se aplique la directiva.

fig04.gif

Figura 4 Revisión y confirmación de los cambios de servicios (haga clic en la imagen para ampliarla)

Después de confirmar los servicios que se van a cambiar, se pasará a la sección Seguridad de red. Aquí es donde SCW normalmente permite modificar la configuración del firewall y de IPSec de Windows. Pero como está configurando ISA Server 2006, no tendrá más remedio que saltarse esta sección, tal y como se muestra en la figura 5.

fig05.gif

Figura 5 Saltarse la configuración de Seguridad de red (haga clic en la imagen para ampliarla)

A continuación, el asistente pasa a la configuración de valores de registro relacionados con los métodos de autenticación y seguridad de red. La primera pantalla de esta sección trata sobre las firmas de bloques de mensajes de servidor (SMB). El protocolo SMB es un protocolo de red central de Microsoft y estos valores de configuración permiten las comunicaciones firmadas para reducir la probabilidad de ataques de intermediario.

La configuración predeterminada, como se muestra en la figura 6, ofrece un buen nivel de seguridad para las comunicaciones SMB del servidor ISA. Pero debe tener en cuenta las repercusiones que tendrá si se firman todas las comunicaciones. Si no le sobran ciclos de CPU, debería desmarcar la segunda opción. Y no olvide pensar en todos los servidores a los que se aplicará esta directiva; si tiene servidores con distintas cargas de trabajo, deberá usar el servidor con la utilización de unidad de procesamiento central más alta como guía para saber si debe seleccionar o no esta opción.

fig06.gif

Figura 6 Especificando si se deben requerir comunicaciones firmadas (haga clic en la imagen para ampliarla)

El siguiente conjunto de pantallas trata sobre el nivel de LMCompatibility que debe usar el servidor ISA. La primera de estas pantallas presenta tres opciones. A menos que tenga clientes heredados de Windows (como Windows 95 o Windows 98) o si usa cuentas locales para el control de acceso, debería dejar seleccionada la opción predeterminada Cuentas de dominio.

En la segunda pantalla sobre el nivel de LMCompatibility deberá proporcionar información acerca de sus controladores de dominio. Si no tiene ningún dominio de Windows NT® 4.0, puede dejar seleccionada la opción predeterminada (Sistemas operativos Windows NT 4.0 Service Pack 6a o posteriores). En este cuadro de diálogo también debe seleccionar la opción para que los relojes se sincronicen con el del servidor seleccionado. Al seleccionar Siguiente se mostrarán opciones de configuración adicionales para la comunicación entrante de LAN Manager (LM), como se muestra en la figura 7.

fig07.gif

Figura 7 Indicación de métodos de autenticación entrantes (haga clic en la imagen para ampliarla)

Esta tercera pantalla que pertenece al nivel de compatibilidad de LM determinará si se necesita la versión 2 de LAN Manager de Windows NT (NTLM) y si se almacenan algoritmos hash de LM. Debe asegurarse de que ninguna de estas opciones está seleccionada si su entorno es compatible con esta configuración, ya que al anular la selección de estas dos opciones se mejorará la seguridad significativamente. Ahora se le presentará el Resumen de configuración del Registro. Revise todas las entradas y confirme que la configuración de la directiva es correcta.

A continuación, el asistente le llevará a la sección final: Auditoría. Un punto importante a tener en cuenta acerca de cualquiera de las opciones de configuración de esta sección es que no se pueden revertir. Pero como la auditoría no afecta a la funcionalidad del sistema, no debe saltarse esta sección.

Si mantiene seleccionada la opción predeterminada "Auditar actividades correctas", no se incluirán entradas en el registro de eventos cuando se produzca un error del inicio de sesión. Sin embargo, la información relativa a errores de inicio de sesión puede ofrecer información valiosa sobre intentos de intrusión. Además, como práctica general recomendada, se debe seleccionar "Auditar actividades correctas e incorrectas".

Después, revise la configuración de auditoría y haga clic en Siguiente dos veces para guardar la directiva de seguridad. La información que se debe introducir en esta pantalla, que se muestra en la figura 8, es sólo el nombre del archivo; aunque también se puede incluir una descripción breve. Esta descripción puede resultar útil en entornos grandes donde diferentes administradores comparten las responsabilidades de seguridad.

fig08.gif

Figura 8 Introducción de un nombre y una descripción para la directiva de seguridad (haga clic en la imagen para ampliarla)

Cuando el archivo se ha guardado, se le ofrece la opción de aplicar la directiva inmediatamente o más tarde. Si elige aplicar la directiva más tarde, el proceso ha terminado. Si descubre que ha cometido algún error en la configuración de la directiva, puede revertir la directiva, a excepción de la configuración de la auditoría.

Funciones administrativas

La reducción de la superficie expuesta a ataques del servidor ISA es un paso fundamental para disminuir la probabilidad de que se produzcan infracciones de origen externo. Sin embargo, también es importante revisar la asignación de funciones administrativas dentro del servidor ISA para limitar las posibles amenazas de origen interno. En las figuras 9 y 10 se muestran las funciones administrativas y una lista parcial de tareas comunes asociadas.

Figura 9 Funciones y tareas asociadas a la versión Standard Edition

Tarea Auditor de supervisión Auditor Administrador total
Ver panel, alertas, conectividad, sesiones y servicios Permitido Permitido Permitido
Reconocer alertas Permitido Permitido Permitido
Ver información de registro Permitido Permitido
Crear definiciones de alerta Permitido
Crear informes Permitido Permitido
Detener e iniciar sesiones y servicio Permitido Permitido
Ver directiva de firewall Permitido Permitido
Configurar directiva de firewall Permitido
Configurar memoria caché Permitido
Configurar una red privada virtual (VPN) Permitido

Figura 10 Funciones y tareas asociadas a la versión Enterprise Edition

Actividad Auditor de supervisión de matriz Auditor de matriz Administrador de matriz
Ver panel, alertas, conectividad y sesiones Permitido Permitido Permitido
Reconocer y restablecer alertas Permitido Permitido Permitido
Ver información de registro Permitido Permitido
Crear definiciones de alerta - Permitido
Crear informes Permitido Permitido
Detener e iniciar sesiones y servicio Permitido Permitido
Ver directiva de firewall Permitido Permitido
Configurar directiva de firewall Permitido
Configurar memoria caché Permitido
Configurar una red privada virtual (VPN) Permitido
Purgar/Detener NLB Permitido Permitido
Ver configuración local (en el registro de un miembro de la matriz) Permitido Permitido
Cambiar configuración local (en el registro de un miembro de la matriz)

Como puede ver, existe un grado alto de segmentación en las tareas administrativas asociadas con el servidor ISA. Esto, a su vez, debería facilitarle la asignación de funciones correctas a usuarios de su organización.

Más allá de esto, lo que necesita recordar es que el mejor enfoque para asignar funciones es emplear el concepto del privilegio menor. Cualquier usuario dado debe tener sólo los privilegios imprescindibles para que pueda hacer su trabajo.

También es importante recordar que los miembros del grupo de administradores locales en ISA Server 2006 Standard Edition tienen los mismos derechos que un administrador total del servidor ISA. En la versión Enterprise Edition, los miembros del grupo de administradores locales del servidor con la función de servidor de Almacenamiento de configuración tienen el control completo sobre la configuración de la versión Enterprise. Esto significa que resulta necesario revisar con cuidado la pertenencia al grupo de administradores del dominio, siempre que el servidor ISA sea miembro de un dominio, así como a cualquier otro grupo que sea miembro del grupo de administradores locales del servidor ISA.

Alan Maddison trabaja como consultor senior especializando en tecnologías de Microsoft para Strategic Business Systems, una división de Brocade.