Tras instalar en el apartado anterior "Microsoft ISA Server 2004 Enterprise Edition SP3" en el equipo "SERVIDOR", por defecto el cortafuegos impide la salida a Internet de la red interna de nuestro centro, así como el acceso desde Internet a nuestra red interna.
El motivo por el cual el cortafuegos cierra todo el tráfico de red, es debido a que la regla de acceso "Regla Predeterminada", que se aplica siempre en último lugar y que deniega todo el trafico de todas las redes a cualquier red para cualquier usuario, es la única regla activa.
Podemos comprobar lo que hemos indicado en el párrafo anterior, pulsando sobre el botón "Inicio" del equipo "SERVIDOR", para seleccionar "Todos los programas -> Microsoft ISA Server -> Administración del servidor ISA" en los desplegables correspondientes, pasando a ser mostrada como resultado de dicha acción la siguiente ventana, en la que nos situaremos sobre "Directiva de Firewall (SERVIDOR)" del apartado "SERVIDOR" en la entrada "Matrices", pudiendo comprobar la existencia de una única regla de firewall de denegación de todo el tráfico de red denominada "Regla predeterminada".
Pese a la existencia de la regla citada anteriormente, se instala una política de sistema por defecto en el firewall de "ISA Server 2004" que permite el acceso a tareas elementales de administración de la red, tales como DHCP, DNS, etc.
Si deseamos visualizar la política de sistema por defecto del firewall citada en el párrafo anterior, sobre la consola de administración de "ISA Server 2004" extenderemos la entrada "Matrices" y luego "SERVIDOR" en el panel de búsqueda, y pulsaremos a continuación sobre la entrada "Directiva de firewall (SERVIDOR)" con el botón derecho del ratón, seleccionando la opción "Ver", y luego "Mostrar reglas de directivas del sistema", en los desplegables correspondientes, pasando a visualizarse dichas directivas, tal y como vemos en la imagen inferior.
Estas reglas de directivas del sistema permiten acceder a los clientes a servicios tan elementales como Active Directory, DNS o DHCP entre otros; como se puede observar dichas reglas se definen por parámetros tales como "Orden", "Nombre", "Acción" (permitir o denegar), "Protocolos", "Desde" (red o máquina origen), "Hacia" (sistema o red de destino) o "Condición" (a quién o a qué se aplica la regla); las reglas de política de sistema que están deshabilitadas por defecto tienen una flecha roja apuntando hacia abajo en su esquina inferior derecha, y serán activadas automáticamente cuando hagamos cambios de configuración en el firewall "ISA Server 2004".
Pese a lo comentado anteriormente, las reglas de política de sistema precisan de la creación de una regla de apertura que habilite el acceso a dichos servicios, pues "ISA Server 2004" bloquea por defecto el tráfico a todos los interfaces de red del equipo "SERVIDOR", incluida la tarjeta de red "Conexión LAN", y todos los servicios prestados sobre ella.
Así pues la primera configuración que llevaremos a cabo en "ISA Server 2004" será crear una regla que permita todo el tráfico de red de ida y vuelta entre la LAN (red "Interna") y el equipo "SERVIDOR" ("Host local"), para lo cual nos ubicaremos sobre la entrada "Directiva de Firewall (SERVIDOR)" de la matriz "SERVIDOR", pulsando sobre ella con el botón derecho del ratón para elegir la opción "Nuevo", y luego "Regla de Acceso", en los desplegables correspondientes.
Como resultado de la acción anterior, pasa ser mostrada la primera ventana del asistente de creación de nueva regla de acceso, en la cual especificaremos como nombre para la regla de acceso "Trafico LAN", y a continuación pulsaremos sobre el botón "Siguiente".
En la siguiente ventana deberemos indicar si deseamos que la regla que estamos definiendo sea de permiso o de denegación de acceso; en este caso seleccionaremos el radio botón "Permitir", y a continuación pulsaremos sobre el botón "Siguiente".
A continuación deberemos especificar el tráfico de red al cual va a afectar la regla en cuestión, pudiendo elegir que afecte a determinados protocolos o incluso o determinados puertos (pulsando sobre el botón "Puertos"), aunque en este caso vamos a hacer que la regla se aplique a "Todo el tráfico saliente", seleccionando dicha opción en el desplegable correspondiente, y pulsando posteriormente sobre el botón "Siguiente".
En la siguiente ventana deberemos especificar los orígenes a los cuales será aplicada esta regla, para lo cual pulsaremos sobre el botón "Agregar", y en la nueva ventana mostrada haremos clic sobre la carpeta "Redes" para seleccionar "Interna" y "Host local", de modo que finalmente la ventana de selección del origen de la regla de acceso deberá quedar tal y como se muestra en la siguiente imagen.
En la siguiente ventana deberemos especificar los destinos a los cuales será aplicada esta regla, para lo cual pulsaremos sobre el botón "Agregar", y en la nueva ventana mostrada haremos clic sobre la carpeta "Redes" para seleccionar "Interna" y "Host local", de modo que finalmente la ventana de selección del destino de la regla de acceso deberá quedar tal y como se muestra en la siguiente imagen.
La siguiente ventana nos permite especificar los usuarios a los cuales será aplicada esta regla, si bien en nuestro caso daremos por válida la opción "Todos los usuarios", ofertada por defecto por el asistente, y pulsaremos directamente en ella sobre el botón "Siguiente".
Completaremos el proceso de creación de nueva regla, pulsando sobre el botón "Finalizar" en la siguiente ventana.
Tras terminar de definir la regla "Tráfico LAN", en la parte superior de la ventana de administración de "ISA Server 2004" se nos muestra un mensaje que nos indica que deberemos pulsar sobre el botón "Aplicar" para que la regla pase a ser aplicada de modo efectivo, así pues pulsaremos sobre dicho botón para proceder a aplicar la regla definida.
Tras unos breves instantes se mostrará la siguiente ventana que nos informa de que los cambios realizados han pasado a ser aplicados en el servidor "ISA Server 2004"; pulsaremos en ella sobre el botón "Aceptar" para continuar.
La regla creada anteriormente consigue el acceso de los equipos clientes de la LAN a cualquier servicio prestado por el equipo "SERVIDOR" (DHCP, DNS, servidores web, etc.), pero no permite el acceso de los equipos de la LAN a Internet, de modo que si en este instante arrancáramos un equipo cliente del dominio, podríamos comprobar que comprobar que el servidor DHCP le asocia una dirección IP válida, que los usuarios pueden validarse en el dominio, que podemos acceder a las páginas web internas de los servidores web de nuestro centro, pero NO podríamos navegar por páginas web externas.
Así pues para lograr que los clientes de nuestra red interna tengan acceso a las páginas de Internet, debemos crear una nueva regla de acceso que permita dicha salida, para lo cual haremos doble clic sobre la matriz "SERVIDOR", situándonos a continuación sobre la entrada "Directiva de firewall (SERVIDOR)", pulsando sobre ella con el botón derecho del ratón para elegir "Nuevo", y luego "Regla de acceso" en los desplegables correspondientes, pasando a ser mostrada como resultado de dicha acción primera ventana del asistente de creación de nueva regla de acceso, en la que indicaremos como nombre para la misma "Trafico WAN".
En la siguiente ventana indicaremos si la regla es de permiso o de denegación de acceso, siendo en nuestro caso de permiso de acceso, luego seleccionaremos el radio botón "Permitir" en la ventana de la imagen inferior, y tras ello pulsaremos sobre el botón "Siguiente".
En la siguiente ventana deberemos especificar los protocolos a los que afectará la regla en cuestión, así pues en la lista desplegable correspondiente seleccionaremos la opción deseada, en nuestro caso "Todo el tráfico saliente", y a continuación pulsaremos sobre el botón "Siguiente".
En la siguiente ventana deberemos especificar los orígenes a los cuales será aplicada esta regla, para lo cual pulsaremos sobre el botón "Agregar", y en la nueva ventana mostrada haremos clic sobre la carpeta "Redes" para seleccionar "Interna" y "Host local", de modo que finalmente la ventana de selección del origen de la regla de acceso deberá quedar tal y como se muestra en la siguiente imagen.
En la siguiente ventana deberemos especificar los destinos a los cuales será aplicada esta regla, para lo cual pulsaremos sobre el botón "Agregar", y en la nueva ventana mostrada haremos clic sobre la carpeta "Redes" para seleccionar "Externa", de modo que finalmente la ventana de selección del destino de la regla de acceso deberá quedar tal y como se muestra en la siguiente imagen.
La siguiente ventana nos permite especificar los usuarios a los cuales será aplicada esta regla, si bien en nuestro caso daremos por válida la opción "Todos los usuarios", ofertada por defecto por el asistente, y pulsaremos directamente en ella sobre el botón "Siguiente".
Completaremos el proceso de creación de nueva regla pulsando sobre el botón "Finalizar" en la siguiente ventana.
Una vez completada la configuración de esta regla, para que pase a aplicarse deberemos recordar pulsar sobre el botón "Aplicar" en la ventana de administración de "ISA Server 2004".
Una vez que la regla haya sido aplicada, podremos acceder a Internet desde los equipos clientes de nuestro centro sin problema alguno, disponiendo de una configuración básica en el servidor "ISA Server 2004" que puede ser válida en líneas generales para cualquier centro.
Dado que a partir de este instante la salida a Internet de los equipos clientes de nuestro centro es posible, debemos indicar que la misma podríamos realizarla directamente a través del equipo "SERVIDOR", o bien utilizando el proxy-caché que instala "ISA Server 2004" en el equipo "SERVIDOR", logrando con esta segunda opción un mejor aprovechamiento del ancho de banda de la conexión a Internet.
Si deseamos configurar un equipo cliente del dominio para que utilice el proxy del "ISA Server 2004", desde el navegador "Internet Explorer" de dicho equipo cliente, deberemos pulsar sobre la opción "Herramientas" de su menú principal, y tras ello elegir "Opciones de Internet" en el desplegable correspondiente, pasando a ser mostrada la siguiente ventana, en la que nos ubicaremos en la pestaña "Conexiones", para a continuación pulsar sobre el botón "Configuración de LAN".
En la nueva ventana mostrada como resultado de la acción anterior, activamos la casilla "Utilizar un servidor proxy para su LAN", tal y como vemos en la imagen inferior, y tras ello pulsaremos sobre el botón "Opciones avanzadas".
A continuación deberemos indicar aquellos servicios para los cuales utilizaremos el proxy, especificando únicamente en nuestro caso el acceso a páginas web mediante el protocolo "HTTP", tecleando en las correspondientes cajas de texto "Dirección del servidor proxy" y "Puerto", los valores "servidor.micentro.edu" y "8080", tal y como vemos en la imagen inferior, tras lo cual iremos cerrando las ventanas que tuviéramos aun abiertas, pulsando sobre sus respectivos botones "Aceptar".
NOTA: El proxy del servidor "ISA Server 2004" utiliza por defecto el puerto "8080" para escuchar peticiones, si bien podríamos cambiar dicha configuración si el puerto indicado estuviera ocupado por otro servicio.
A partir de este instante, el usuario que realizó la configuración anterior en el equipo cliente correspondiente, utilizará el proxy-caché del equipo "SERVIDOR" para su salida a Internet.
Si deseamos realizar la configuración anterior para todos los usuarios del dominio, de modo que éstos utilicen el proxy-caché para la salida a Internet, en el equipo "SERVIDOR" deberíamos editar el objeto directiva de grupo "Default Domain Policy" del dominio "MiCentro.edu" desde "Usuarios y equipos de Active Directory", para modificar la directiva "Configuración de los servidores proxy" ubicada en "Configuración de usuario -> Configuración de Windows -> Mantenimiento de Internet Explorer -> Conexión", asociándole las configuraciones mostradas en la imagen siguiente.
NOTA: La directiva de grupo anterior, podría complementarse habilitando otra directiva de grupo denominada "Deshabilitar el cambio de configuración del proxy", ubicada en"Configuración de usuario -> Plantillas administrativas -> Componentes de Windows -> Internet Explorer", pues esta directiva de grupo evitaría que los usuarios pudieran modificar las configuraciones del proxy en el navegador de los equipos clientes.
Llegados a este punto vamos a indicar como llevar a cabo algunas configuraciones adicionales en el servidor "ISA Server 2004" para la salida a Internet, si bien realmente dichas configuraciones no tengan mucho sentido en el ámbito de un centro educativo.
Otra posible configuración que puede resultar interesante es limitar el acceso a Internet desde la red interna a determinadas páginas, a determinados usuarios, a determinados equipos, o a determinadas horas.
Por ejemplo, supongamos que deseamos que las páginas del dominio de Canal Plus ("cplus.es") no sean accesibles desde la red interna de nuestro centro, para lo cual deberemos crear una nueva regla pulsando con el botón derecho del ratón sobre las "Directivas de firewall (SERVIDOR)" de la matriz "SERVIDOR", y seleccionando la opción "Nuevo", y luego "Regla de acceso" en los desplegables correspondientes.
Como resultado de la acción llevada a cabo en el párrafo anterior, pasa a ser mostrada la primera ventana del asistente de creación de nueva regla, en la cual indicaremos "Canal Plus" como nombre para la nueva regla que estamos creando.
En la siguiente ventana dejaremos activado el radio botón "Denegar", y pulsaremos en ella directamente sobre el botón "Siguiente".
En la siguiente ventana debemos especificar los protocolos a los que afectará la regla en cuestión, así pues en la lista desplegable correspondiente seleccionaremos la opción deseada, en nuestro caso "Todo el tráfico saliente", y a continuación pulsaremos sobre el botón "Siguiente".
En la siguiente ventana deberemos especificar los orígenes a los cuales será aplicada esta regla, para lo cual pulsaremos sobre el botón "Agregar", y en la nueva ventana mostrada haremos clic sobre la carpeta "Redes" para seleccionar "Interna", de modo que finalmente la ventana de selección del origen de la regla de acceso deberá quedar tal y como se muestra en la siguiente imagen.
En la siguiente ventana deberemos especificar los destinos a los cuales será aplicada esta regla, para lo cual pulsaremos en ella sobre el botón "Agregar", pasando a ser mostrada la siguiente ventana, en la que haremos clic sobre la opción "Nuevo" del menú principal, y luego sobre "Conjunto de direcciones URL" en el desplegable correspondiente, tal y como vemos en la imagen inferior.
Como resultado de la acción anterior se nos presenta la siguiente ventana, en la que teclearemos "Canal Plus" en la caja de texto "Nombre", y a continuación pulsaremos sobre el botón "Agregar" para especificar las direcciones URL a excluir, la cadena "*.cplus.es" en nuestro caso, para que dicha regla abarque a todo el dominio de "Canal Plus", de modo que cuando dicha ventana presente el aspecto mostrado en la imagen inferior, pulsaremos en ella sobre el botón "Aceptar".
NOTA: La regla anterior abarca a todo el dominio "cplus.es"; si sólo deseáramos evitar el acceso a una determinada página web de dicho dominio, por ejemplo a la página web "http://www.cplus.es", especificaremos dicha URL en la ventana de la imagen superior.
De vuelta a la ventana anterior de "Agregar entidades de red", seleccionamos la nueva dirección URL "Canal Plus", abriendo la carpeta "Conjuntos de direcciones URL", y pulsando posteriormente sobre el botón "Agregar".
Finalmente la ventana correspondiente al destino de la nueva regla debería quedar tal y como se muestra en la siguiente imagen, momento en el que pulsaremos sobre el botón "Siguiente" para continuar el proceso de creación de la nueva regla de acceso.
La siguiente ventana nos permite especificar los usuarios a los cuales será aplicada esta regla, si bien en nuestro caso daremos por válida la opción "Todos los usuarios", ofertada por defecto por el asistente, y pulsaremos directamente en ella sobre el botón "Siguiente".
Completaremos el proceso de creación de nueva regla pulsando sobre el botón "Finalizar" en la siguiente ventana.
Una vez completada la configuración de la nueva regla creada, y antes de pulsar sobre el botón "Aplicar" para que la regla de acceso definida pase a tener efecto, hemos de fijarnos en cómo están ordenadas las reglas existentes.
Podremos comprobar que el servidor "ISA Server 2004" aplica las reglas basándose en el orden numérico en el que están colocadas, de modo que cuando se encuentre una regla de acceso válida, es decir que cumpla las condiciones de la solicitud realizada, pasará a aplicarla, y NO evaluará las reglas posteriores existentes.
Así pues, tal cual tenemos actualmente situadas las reglas nunca llegaría a aplicarse la regla de denegación de acceso al dominio de "Canal Plus", pues antes de ella está colocada la regla "Trafico WAN" que permite todo el tráfico hacia la WAN, y como dicha regla sería válida para la solicitud de acceso a "Canal Plus" realizada desde un cliente, nunca llegaría a aplicarse la regla de denegación de acceso a "Canal Plus".
Según lo comentado en el párrafo anterior, hemos de modificar el orden en el cual "ISA Server 2004" debe analizar las reglas, para lograr que la regla de denegación de acceso al dominio de "Canal Plus" esté ubicada antes que la regla "Trafico WAN", para que sea efectiva e imposibilite el acceso a las páginas de "Canal Plus" desde los equipos clientes de la red de nuestro centro.
Así pues reordenaremos las reglas de acceso moviendo la regla de denegación "Canal Plus" al primer lugar, y situando la regla "Trafico WAN" en segundo lugar, proceso que llevaremos a cabo pulsando con el botón derecho del ratón sobre la regla "Canal Plus", y seleccionando la opción "Subir" en el desplegable correspondiente.
Tras ello observaremos que la regla "Canal Plus" ha pasado al primer lugar de la lista, así pues ahora sí podremos pulsar sobre el botón "Aplicar" para que la regla pase a ser plenamente efectiva.
A partir de este instante, si desde un equipo cliente del dominio intentáramos el acceso a la URL "http://www.cplus.es", obtendríamos como respuesta la siguiente página web que nos mostraría el proxy-caché del "ISA Server 2004", y en la que nos indica literalmente "El servidor ISA rechazó la dirección URL (Uniform Resource Locator) especificada".
NOTA: No es posible realizar una indicación válida para ordenar las reglas de "ISA Server 2004" de modo adecuado para que hagan lo que deseemos, pero con carácter general deberemos situar al final las reglas más generales y al principio las más particulares, tal y como hemos hecho en el ejemplo comentado.
Otra situación que podría darse en nuestro centro es que los accesos a Internet se hagan de forma indiscriminada e irracional, desaprovechando de ese modo el ancho de banda existente para la salida a Internet, imposibilitando que otros usuarios de nuestra red que desean hacer uso correcto del servicio, no puedan acceder en plenitud de condiciones al mismo; en este escenario una buena opción podría ser definir una regla que imposibilite el acceso a todos los sitios de Internet a determinadas horas a ciertos usuarios o equipos.
Como muestra de cómo se debe configurar una regla de acceso para lograr lo indicado en el párrafo anterior, NO crearemos una nueva regla, sino que por ejemplo modificaremos la regla de acceso que deniega el tráfico al dominio de "Canal Plus", para que se aplique los lunes desde 13,00 horas hasta las 15,00 horas a todos los profesores del centro.
Así pues, ubicados sobre la "Directiva de firewall (SERVIDOR)" de la matriz "SERVIDOR", pulsaremos con el botón derecho del ratón sobre la regla "Canal Plus", para elegir la opción "Propiedades" en el desplegable correspondiente, tal y como vemos en la imagen inferior.
En la ventana mostrada como resultado de la acción anterior, nos situaremos sobre la pestaña "Programación", y a continuación pulsaremos en ella sobre el botón "Nueva", pasando a ser mostrada en ese instante la siguiente ventana, en la que indicaremos como nombre de la programación "Lunes de 13 a 15", y activaremos en el calendario semanal las casillas correspondientes a dichas horas en los lunes, tal y como vemos en la imagen inferior, para finalmente pulsar sobre el botón "Aceptar".
De vuelta en la ventana de propiedades de la regla de acceso "Canal Plus", observamos que ya se está aplicando dicha regla a la programación temporal "Lunes de 13 a 15", luego sólo se negaría el acceso a las páginas de Canal Plus los lunes de 13 a 15 horas.
A continuación, en la misma ventana de propiedades de la regla de acceso "Canal Plus", nos situaremos sobre la pestaña "Usuarios", y tras ello seleccionaremos al grupo "Todos los usuarios" para pulsar posteriormente sobre el botón "Quitar"; tras ello pulsaremos en dicha ventana sobre el botón "Agregar", pasando a ser mostrada la siguiente ventana de agregación de usuarios, en la que pulsaremos sobre la opción "Nuevo" de la parte superior de la misma.
En este instante se lanza el asistente de agregación de un nuevo conjunto de usuarios, en el que indicaremos "Profesores" como nombre del nuevo conjunto de usuarios, y tras ello pulsaremos sobre el botón "Siguiente".
En la nueva ventana mostrada pulsaremos sobre el botón "Agregar", y posteriormente en el desplegable adjunto seleccionamos "Usuarios y grupos de Windows", tal y como vemos en la imagen inferior.
En la nueva ventana mostrada teclearemos "Profesores", para añadir a dicho grupo al nuevo conjunto de usuarios que estamos creando para "ISA Server 2004", de modo que de vuelta a la ventana de asignación de usuarios, ésta presente el aspecto mostrado en la imagen inferior, momento en el cual pulsaremos en ella sobre el botón "Siguiente".
Terminamos la definición del nuevo grupo de usuarios pulsando en la siguiente ventana sobre el botón "Finalizar".
Tras completar la acción anterior volveremos a la ventana de "Agregar usuarios", donde ya se mostrará el grupo "Profesores", así pues lo seleccionaremos y tras ello pulsaremos sobre el botón "Agregar".
Así pues finalmente en la ventana de usuarios de la regla de "Canal Plus", deberá mostrarse únicamente al grupo "Profesores", tal y como vemos en la imagen inferior.
Tras ello deberemos pulsar sobre el botón "Aplicar" para que los cambios pasen a ser efectivos, momento a partir del cual los miembros del grupo "Profesores" del dominio "MiCentro.edu", los lunes de 13 a 15 horas no podrán acceder a las páginas de "Canal Plus".
NOTA: Si desde un equipo cliente intentamos el acceso a la página web "http://www.cplus.es", el servidor "ISA Server 2004" asumirá como válidas las credenciales del usuario del dominio que se haya validado en sesión en dicho equipo cliente, para comprobar si dicho usuario es un profesor o no, a fin de permitirle o denegarle el acceso a la página web en cuestión a partir de la regla configurada.