En el apartado anterior configuramos el servidor "ISA Server 2004" para que las peticiones de salida a Internet desde la red de nuestro centro funcionaran correctamente, y en este apartado analizaremos el modo en que deberemos configurar nuestro servidor "ISA Server 2004" para lograr el acceso desde Internet a los servicios prestados en la red interna de nuestro centro, configurando para ello las oportunas reglas de publicación.
Lo primero que hemos de tener en cuenta es que instalar el servidor "ISA Server 2004" sobre el mismo equipo donde se encuentran ubicados los servidores que vamos a publicar que no es una buena política de seguridad, pues el nivel de seguridad que se alcanza es menor que si ubicáramos los servidores a publicar (Web, FTP, correo, etc.) en equipos distintos del ordenador donde está instalado el "ISA Server 2004", de modo que dichos servidores deberían encontrarse en una zona intermedia y aislada de la LAN y la WAN, que normalmente se denomina DMZ (red desmilitarizada), de modo que con esta configuración el equipo "SERVIDOR" debería disponer de 3 tarjetas de red, una hacia la LAN, otra hacia la DMZ y una tercera hacia la WAN, tal y como se muestra en la siguiente imagen.
En nuestro caso, dado que disponemos de un único equipo "SERVIDOR" que se va a situar entre la LAN y la WAN, NO crearemos una DMZ, pues los servidores (Web, FTP, correo, etc.) se encuentran instalados en el mismo equipo en el que hemos instalado "ISA Server 2004", pudiendo ser accedidos desde la LAN (proceso analizado en el apartado anterior), y desde la WAN (proceso que analizaremos en este apartado), de modo que con esta configuración el equipo "SERVIDOR" debería disponer de 2 tarjetas de red, una hacia la LAN y otra hacia la WAN, tal y como se muestra en la siguiente imagen.
Esta configuración de "ISA Server 2004", desde el punto de vista de la seguridad, es peor que si los servidores a publicar estuvieran ubicados físicamente en la DMZ, en equipos distintos del equipo donde hemos instalado "ISA Server 2004", y además dado que en la misma máquina existen sitios web escuchando en el puerto 80 (en nuestro caso los sitios web "servidor.micentro.edu" y "www.micentro.edu"), esta configuración va a provocar que las reglas de publicación de servidores web del "ISA Server 2004", que por defecto utilizan dicho puerto, deban ser configuradas en otro puerto diferente para su acceso desde Internet, como posteriormente veremos.
NOTA: Si el servidor IIS estuviera instalado en un equipo distinto del equipo donde está instalado el "ISA Server 2004", y dicho servidor IIS tuviera algún servidor web escuchando en el puerto 80, el problema indicado en el párrafo anterior NO se produciría, pues cada tarjeta de red (la del equipo que tiene instalado el servidor IIS y la del equipo que tiene instalado "ISA Server 2004") que escucha en el puerto 80 lo harían para servicios diferentes.
Así pues, llegado a este punto, vamos a proceder a configurar diversas reglas de publicación para hacer accesibles ciertos servicios del equipo "SERVIDOR" desde Internet a través del servidor "ISA Server 2004".
El primer servicio que vamos a configurar es el servicio "Terminal Server", para habilitar el acceso desde Internet al equipo "SERVIDOR" a través de Escritorio Remoto, para lo cual nos situaremos sobre la entrada "Directiva de firewall (SERVIDOR) de la matriz "SERVIDOR", pulsando sobre la misma con el botón derecho del ratón para elegir la opción "Nuevo", y luego "Regla de publicación de servidor" en los desplegables correspondientes.
Como resultado de dicha acción pasa a ser mostrada la primera ventana del asistente de creación de nueva regla de publicación, en la que indicaremos como nombre para esta regla "Terminal Server", y tras ello pulsaremos sobre el botón "Siguiente".
A continuación deberemos especificar en la siguiente ventana la dirección IP del interfaz de red externo del equipo "SERVIDOR", en nuestro caso deberemos teclear "192.168.0.220", la dirección IP del interfaz de red "Conexión WAN", y tras ello pulsar sobre el botón "Siguiente".
En la siguiente ventana deberemos especificar el protocolo al cual deseamos acceder de modo remoto, seleccionando en este caso la opción "Servidor RDP (Servicios de Terminal Server)" en la lista desplegable correspondiente, y pulsando tras ello sobre el botón "Siguiente".
NOTA: SI el protocolo a definir NO estuviera en la lista de la ventana anterior, podríamos definir un nuevo protocolo pulsando sobre el botón "Nuevo".
En la siguiente ventana indicaremos la red desde la que deseamos permitir dicho tipo de conexión, activando en nuestro caso la casilla "Externa", y pulsando posteriormente sobre el botón "Siguiente".
En la última ventana del asistente pulsaremos directamente sobre el botón "Finalizar" para completar el proceso de creación de la regla de publicación correspondiente.
Tras ello en la ventana de administración de "ISA Server 2004" observaremos la existencia de una nueva regla de publicación de servidor para el servicio "Terminal Server", debiendo recordar pulsar sobre el botón "Aplicar" para que la nueva regla creada pase a ser ejecutada de modo efectivo.
A partir de este momento ya podríamos acceder desde Internet al equipo "SERVIDOR" por "Terminal Server" mediante el cliente de conexión a Escritorio Remoto.
Si estamos trabajando con máquinas virtuales, podremos probar fácilmente el correcto funcionamiento de la regla de publicación creada, editando para ello en primer lugar conel "Bloc de notas" el fichero "hosts" ubicado en la ruta "C:\Windows\System32\drivers\etc" del equipo ANFITRIÓN, e incluyendo al final del mismo una entrada con la dirección IP y el nombre del equipo al cual vamos a acceder ("192.168.0.220 servidor.micentro.edu SERVIDOR", tal y como vemos en la imagen inferior), y tras ello guardar los cambios realizados en dicho fichero.
NOTA: Dado que la resolución "servidor.micentro.edu" sólo es válida en el ámbito de la red interna de nuestro centro, debemos introducirla en el fichero de "hosts" de la máquina anfitriona desde la que vamos a acceder al servicio correspondiente para poder acceder mediante resolución en vez de mediante dirección IP.
Tras ello podremos establecer desde el equipo anfitrión una conexión de Escritorio Remoto a la máquina virtual "servidor.micentro.edu", tal y como vemos en la imagen inferior.
La siguiente regla de publicación que vamos a definir permitirá habilitar el acceso desde Internet al sitio FTP "Sitio FTP Profesores" del servidor IIS, el cual escucha peticiones en el puerto 21 del equipo "SERVIDOR".
Para llevar a cabo lo indicado en el párrafo anterior, crearemos una nueva regla de publicación de servidor siguiendo los mismos pasos dados anteriormente para crear la regla de publicación de "Terminal Server", de modo que en la primera ventana del asistente indicaremos como nombre para dicha regla "Sitio FTP Profesores", y posteriormente pulsaremos sobre el botón "Siguiente".
A continuación deberemos especificar en la siguiente ventana la dirección IP del interfaz de red externo del equipo "SERVIDOR", en nuestro caso deberemos teclear "192.168.0.220", la dirección IP del interfaz de red "Conexión WAN", y tras ello pulsar sobre el botón "Siguiente".
En la siguiente ventana deberemos especificar el protocolo al cual deseamos acceder de modo remoto, seleccionando en este caso la opción "Servidor FTP" en la lista desplegable correspondiente, y pulsando tras ello sobre el botón "Siguiente".
En la siguiente ventana indicaremos la red desde la que deseamos permitir dicho tipo de conexión, activando en nuestro caso la casilla "Externa", y pulsando posteriormente sobre el botón "Siguiente".
En la última ventana del asistente pulsaremos directamente sobre el botón "Finalizar" para completar el proceso de creación de la regla de publicación correspondiente.
Una vez completado el asistente de creación de la nueva regla de publicación "Sitio FTP Profesores", haremos doble clic sobre la misma, pasando a ser mostrada la siguiente ventana, en la que nos ubicaremos sobre la pestaña "Tráfico", tras lo cual pulsaremos sobre el botón "Filtrado", y luego sobre su entrada adjunta "Configurar FTP".
En la nueva ventana mostrada desactivaremos la casilla "Sólo lectura", y tras ello iremos pulsando sobre los respectivos botones "Aceptar" en todas las ventanas que tuviéramos abiertas.
NOTA: Esta última configuración realizada sobre la regla "Sitio FTP Profesores", permitirá grabar contenidos en el sitio FTP especificado desde Internet, a los usuarios habilitados para ello.
Finalmente deberemos recordar pulsar sobre el botón "Aplicar" en la ventana de administración de "ISA Server 2004", momento a partir del cual los usuarios autorizados podrán acceder desde Internet mediante FTP al sitio FTP "Sitio FTP Profesores".
Si estamos trabajando con máquinas virtuales, podremos probar fácilmente el correcto funcionamiento de la regla de publicación creada, lanzando el navegador de la máquina anfitriona que aloja a la máquina virtual "SERVIDOR", y estableciendo una conexión FTP a la dirección del interfaz de red externo del equipo "SERVIDOR", es decir tecleando en la URL del navegador del equipo anfitrión "ftp://servidor.micentro.edu", y autenticándonos tras con las credenciales de un usuario habilitado para dicho acceso FTP.
Hasta este instante hemos indicado como definir las reglas de publicación para servicios predefinidos, tales como el servicio "Terminal Server" y el servicio "FTP", pero hemos de tener presente que hay ciertos servicios que para ser publicados precisan de la creación de una regla de publicación específica.
Concretamente losservidores web, los servidores web SSL y los servidores de correo, no serán publicados mediante una regla de publicación de servidores, sino que deberemos definir una regla específica para dichos tipos de servidores.
Por ejemplo vamos a comenzarcon la publicación del servidor de correo "Microsoft Exchange 2003" para que esté accesible desde Internet, para lo cual en primer lugar deberemos situarnos sobre la entrada "Directivas de Firewall (SERVIDOR)" de la matriz "SERVIDOR", y pulsar sobre ella con el botón derecho del ratón para elegir la opción "Nuevo", y luego "Regla de publicación de servidor de correo" en los desplegables correspondientes.
Pasa a ser mostrada en este instante la primera ventana del asistente de publicación de servidor de correo, en la cual indicaremos como nombre para dicha regla "Correo Exchange", y posteriormente pulsaremos sobre el botón "Siguiente".
En la siguiente ventana activaremos el radio botón correspondiente a "Acceso de cliente: RPC, IMAP, POP3, SMTP", para dar acceso al servidor de correo "Microsoft Exchange 2003" desde Internet a través de estos protocolos, y a continuación pulsaremos sobre el botón "Siguiente".
A continuación se nos presenta la siguiente ventana, en la que activaremos todas las casillas para dar acceso a través de todos los protocolos especificados, seguros o no, tal y como se muestra en la siguiente imagen, y tras ello pulsaremos sobre el botón "Siguiente".
A continuación deberemos especificar en la siguiente ventana la dirección IP del interfaz de red externo del equipo "SERVIDOR", en nuestro caso deberemos teclear "192.168.0.220", la dirección IP del interfaz de red "Conexión WAN", y tras ello pulsar sobre el botón "Siguiente".
En la siguiente ventana indicaremos la red desde la que deseamos permitir dicho tipo de conexión, activando en nuestro caso la casilla "Externa", y pulsando posteriormente sobre el botón "Siguiente".
En la última ventana del asistente pulsaremos directamente sobre el botón "Finalizar" para completar el proceso de creación de la nueva regla de publicación del servidor de correo.
A continuación pulsaremos sobre el botón "Aplicar" en la ventana de administración de "ISA Server 2004", momento a partir del cual podremos acceder desde Internet al servidor de correo "Microsoft Exchange 2003" a través de los protocolos especificados anteriormente en la regla de publicación de servidor de correo.
La regla que acabamos de definir genera un gran número de reglas de publicación del servidor de correo, debido al elevado número de protocolos de acceso que hemos habilitado en ella, tal y como podemos comprobar en la imagen siguiente.
Si deseamos probar el correcto funcionamiento de esta regla de correo, el proceso que deberemos seguir será más complejo que el que seguimos anteriormente para probar el correcto acceso desde Internet a los servicios "Terminal Server" y "Servidor FTP".
En primer lugar deberemos hacer doble clic sobre el icono "Correo" del "Panel de control" de la máquina anfitriona desde la cual estableceremos la conexión.
Como resultado de la acción anterior, pasa a ser mostrada la siguiente ventana, en la que pulsaremos directamente sobre el botón "Cuentas de correo electrónico".
Se lanza en ese instante el asistente de gestión de cuentas de correo electrónico, en el cual seleccionaremos el radio botón "Agregar una nueva cuenta de correo electrónico", y tras ello pulsaremos sobre el botón "Siguiente".
En la siguiente ventana seleccionaremos el radio botón "Servidor de Microsoft Exchange", y tras ello pulsaremos sobre el botón "Siguiente".
A continuación en la siguiente ventana, indicaremos en la caja de texto "Microsoft Exchange Server" el nombre de nuestro servidor, es decir "servidor.micentro.edu" en nuestro caso, y tras ello en la caja de texto "Nombre de usuario" indicaremos el nombre del usuario de correo de dicho servidor cuya cuenta deseamos configurar, en este caso "Javier".
El asistente de configuración nos presenta a continuación la siguiente ventana, en la que pulsaremos directamente sobre el botón "Sí".
Tras ello se nos presenta la siguiente ventana, en la cual deberemos introducir las credenciales del profesor "Javier" en el dominio "MiCentro.edu", y tras ello pulsar sobre el botón "Aceptar".
Una vez completado el proceso de definición de la nueva cuenta, se nos mostrará la siguiente ventana en la que pulsaremos directamente sobre el botón "Finalizar".
A partir de este instante, el profesor "Javier" podrá descargar el contenido del buzón de su cuenta de correo electrónico "javier@micentro.edu" desde Internet; por ejemplo si el profesor "Joaquin" le hubiera enviado desde su cuenta de correo "joaquin@micentro.edu" un correo electrónico al profesor "Javier" a su cuenta de correo "javier@micentro.edu", el profesor "Javier" podrá descargar dicho correo desde la cuenta que acaba de ser configurada anteriormente para dicho usuario en el equipo anfitrión.
NOTA: Igualmente, si el profesor "Javier" le envía desde Internet un correo al profesor "Joaquín", desde la cuenta "javier@micentro.edu" a la cuenta "joaquin@micentro.edu", el profesor "Joaquín podrá descargarlo desde un equipo cliente del centro, o desde Internet.
Una vez configurado el acceso al servidor de correo "Microsoft Exchange 2003", también podríamos configurar "ISA Server 2004" para habilitar el acceso desde Internet a los sitios web del servidor IIS.
En nuestro caso crearemos una regla de publicación de servidor web para permitir el acceso desde Internet al sitio web "Sitio Web de MiCentro" de nuestro equipo "SERVIDOR", pero antes de comenzar con la configuración indicada, queremos recordar que al comienzo de este apartado ya explicamos que por el hecho de estar instalado el servidor "ISA Server 2004" en el mismo equipo donde se encuentran los sitios web a publicar, no podremos configurar la escucha de los mismos en el puerto 80 del "ISA Server 2004", pues dicho puerto está siendo utilizado por los sitios web reseñados.
Así pues para habilitar el acceso al sitio web "Sitio Web de MiCentro" desde Internet nos situaremos sobre "Directivas de firewall (SERVIDOR)" de la matriz "SERVIDOR", y pulsaremos sobre ella con el botón derecho del ratón para elegir la opción "Nuevo", y luego "Regla de publicación de servidor web", en los desplegables correspondientes.
En la primera ventana del asistente de publicación de servidor web indicaremos "Sitio Web de MiCentro" como nombre de la regla de publicación, y posteriormente pulsaremos sobre el botón "Siguiente".
En la siguiente ventana mostrada confirmaremos que este seleccionado el radio botón "Permitir", y tras ello pulsaremos sobre el botón "Siguiente".
A continuación especificaremos nombre del sitio web "Sitio Web de MiCentro" que deseamos publicar, tecleando su URL de acceso, es decir tecleando "www.micentro.edu" en la caja de texto "Dirección IP o nombre de equipo", y posteriormente pulsaremos sobre el botón "Siguiente".
En la siguiente ventana especificaremos el nombre público del sitio web que vamos a publicar, tecleando en nuestro caso "www.micentro.edu" en la caja de texto "Nombre público", y pulsando tras ello sobre el botón "Siguiente".
NOTA: El nombre del sitio web y su nombre público NO tienen porqué coincidir, aunque en nuestro caso los hemos hecho coincidir por parecernos más coherente.
En la siguiente ventana mostrada deberemos especificar el puerto de escucha por el cual el servidor "ISA Server 2004" atenderá peticiones de acceso a este sitio web, pulsando en la misma sobre el botón "Nueva" para definir el nuevo puerto.
Como resultado de la acción anterior pasa a ser mostrada la primera ventana del asistente de agregación de nueva escucha web, en la cual indicaremos en primer lugar "Escucha Web MiCentro" como nombre para la escucha que estamos creando
En la siguiente ventana indicaremos la red desde la que deseamos permitir dicho tipo de conexión, activando en nuestro caso la casilla "Externa", y pulsando posteriormente sobre el botón "Siguiente".
En la siguiente ventana deberemos especificar los puertos por los que escuchará el "ISA Server 2004" las peticiones de acceso a este sitio web, debiendo dejar activada la casilla "Habilitar HTTP", y cambiando el valor de dicho puerto a uno distinto del puerto "80", por los motivos antes comentados; en este caso hemos elegido el puerto "880", aunque podríamos haber elegido otro puerto cualquiera que estuviera libre; además activaremos la casilla "Habilitar SSL", y tras ello indicaremos como puerto para SSL un puerto que NO esté siendo utilizado por el servidor IIS, por ejemplo "8443"; tras completar las operaciones anteriores, pulsaremos sobre el botón "Seleccionar" para escoger en la nueva ventana mostrada, el certificado "www.micentro.edu", de modo que cuando la ventana indicada presente el aspecto mostrado en la imagen inferior, pulsaremos sobre el botón "Siguiente" para continuar.
En la siguiente ventana pulsaremos directamente sobre el botón "Finalizar" para terminar con la definición del puerto de escucha correspondiente.
De vuelta a la ventana de selección de escucha web, el aspecto que debe presentar la misma es el que podemos ver en la siguiente imagen, momento en el cual pulsaremos sobre el botón "Siguiente" para continuar con la creación de la regla de publicación del servidor web.
A continuación el asistente de creación de nueva regla de publicación de servidor web nos presenta la siguiente ventana, en la que podremos seleccionar los usuarios a los que se les aplicará esta regla, si bien en nuestro caso aceptaremos la opción propuesta por el asistente, pulsando en ella directamente sobre el botón "Siguiente".
En la última ventana del asistente pulsaremos directamente sobre el botón "Finalizar" para completar el proceso de creación de la regla de publicación del servidor web "www.micentro.edu".
Tras ello haremos doble clic sobre la nueva regla de publicación de servidores "Sitio Web de MiCentro" que acaba de ser creada, pasando a ser mostrada la siguiente ventana en la que nos ubicaremos sobre la pestaña "Protocolo de puente", activando a continuación en ella la casilla "Redirigir peticiones al puerto SSL", y asociando a la misma el puerto en el cual escucha el sitio web indicado las páginas seguras, "444" en nuestro caso, de modo que cuando dicha ventana presente el aspecto mostrado en la imagen inferior, pulsaremos sobre el botón "Aceptar".
Tras completar la acción anterior, hemos de recordar pulsar sobre el botón "Aplicar" en la ventana de administración de "ISA Server 2004" para que la nueva regla creada pase a ser efectiva.
A partir de este momento podemos acceder al sirio web "www.micentro.edu" desde Internet mediante el protocolo HTTP por el puerto "880", y mediante el protocolo HTTPS por el puerto "8443".
Antes de probar el acceso al sitio web "Sitio Web de MiCentro", hemos de modificar de nuevo el fichero "hosts" ubicado en la ruta "C:\Windows\System32\drivers\etc" del equipo ANFITRION, añadiendo una nueva entrada "192.168.0.220 www.micentro.edu", tal y como vemos en la imagen inferior, y guardando tras ello los cambios realizados en dicho fichero.
Ahora sí que desde el navegador del equipo anfitrión podríamos teclear "http://www.micentro.edu:880", comprobando que llegaríamos a visualizar la página web principal de nuestro centro desde dicho equipo anfitrión.
Igualmente si desde el equipo anfitrión intentamos el acceso a una página web segura del sitio web "Sitio Web de MiCentro" por el puerto "8443", por ejemplo a la página web segura "https://www.micentro.edu:8443/Departamentos/Matematicas/javier/seguro/", conseguiríamos acceder a la misma pudiendo ver su contenido desde el equipo anfitrión.
NOTA: Previamente a mostrarse la página web mostrada en la imagen superior, se nos mostraría la siguiente advertencia de seguridad, que nos indica que el certificado presentado por el servidor no está emitido por una entidad certificadora de confianza, lo cual es lógico pues el equipo anfitrión no está integrado en el dominio "MiCentro.edu" y NO reconoce como válida a la entidad certificadora del equipo "SERVIDOR"; en la ventana de la imagen inferior pulsaremos sobre el botón "Sí" para continuar con la carga de la página web solicitada.
Siguiendo el mismo proceso que hemos llevado a cabo anteriormente para crear múltiples reglas de publicación para algunos de los servicios prestados por nuestro equipo "SERVIDOR", podríamos definir nuevas reglas para otros servicios a los que quisiéramos acceder desde Internet, si bien en nuestro caso consideramos que con los ejemplos anteriores es suficiente.