ayuda con isa Server

blackshadow · #1 (**permalink**) 21/03/2003, 17:14

tengo un server conectado con una ip publica y en un escaneo de puertos me salen estos puertos abiertos:

25/tcp open smtp
42/tcp open nameserver
80/tcp open http
88/tcp open kerberos-sec
110/tcp open pop-3
119/tcp nntp
135/tcp loc-srv
139/tcp netbios-ssn
143/tcp imap2
389/tcp ldap
443/tcp https
445/tcp microsoft-ds
464/tcp kpasswd5
563/tcp snews
593/tcp http-rpc-epmap
636/tcp ldapssl
691/tcp resvc
993/tcp imaps
995/tcp pop3s
1026/tcp LSA-or-nterm
1029/tcp ms-lsa
1720/tcp H.323/Q.931
3268/tcp globalcatLDAP
3269/tcp globalcatLDAPssl
3372/tcp msdtc
3389/tcp ms-term-serv
8080/tcp http-proxy

Mi servidor es un servidor web, tengo un mail server (estos dos son publicos), y tambien es un servidor de dominio para mi red.

Quiero bloquear los puertos que no necesito y tambien bloquer el smtp server para evitar que lo usen para correo masivo.

El software instalado es windows 2000 server e ISA server, se que tengo que habilitar filtros pero no tengo la idea de como hacer para cada servicio.

si alguien me puede ayudar muchas gracias

Rompetechos · #2 (**permalink**) 21/03/2003, 17:53

Bueno el ISA server en su instalación te ofrece 3 opciones:
1- Instalar solo la cache de proxy
2- Instalar solo el modulo de firewall
3- Una instalación integrada de los dos modulos anteriores
En principio por el resultado del scaneo de puertos parece claro que la funcionalidad de firewall no la tienes instalada. Eso tiene fácil solución

.
Una vez que hagas esto, solo tendras abiertos los puertos correspondientes a los servicios que publiques, en tu caso servidor web, mail, etc.
No es el mejor software para implementar firewalls del mercado, pero bien configurado puede desempeñar buen papel.
Por ultimo comentarte que no es muy buena idea que el ISA server este instalado en un controlador de dominio (deberia estar detras, aunque bueno...no siempre tenemos todos los recursos deseables a mano), y por si alguna persona que lea este post tiene un servidor dns publicado a traves del ISA, recordarle que ha aparecido una vulnerabilidad que puede ser explotada produciendo negación de servicio del servidor dns. Seguramente los interesados ya estaran al corriente, pero nunca está de más recordarlo

Un saludo y espero haber resultado de ayuda

blackshadow · #3 (**permalink**) 24/03/2003, 08:47

Gracias, lo unico que ahora quiero saber es si instalando la funcionalidad de firewall, me garantizara que los servicios del controlador de dominio quedaran bloqueados para la interface externa, o tengo que implementar otro nivel de seguridad y abrir cada puerto exclusivamente para esos servicios para mis interfaces internas....

Rompetechos · #4 (**permalink**) 24/03/2003, 15:22

El ISA no estaba pensado para correr en la misma maquina que un controlador de dominio, asi que no se si traera reglas predefinidas para permitir esa funcionalidad...... en cualquier caso, no es problema, solo tendrias que localizar estas reglas y desactivarlas para la interfaz conectada a internet.
Si tienes algún problema comentamelo y te lo miro para dartes instrucciones más detalladas

blackshadow · #5 (**permalink**) 25/03/2003, 02:30

bueno pues la verdad estoy en un aprieto y me gustaria saber que puedo hacer con esto, ya cerre mi servidor la verda no se si tienes messenger para poder platicar sobre esto , la verdad si me interesa arrelgar este asunto

Rompetechos · #6 (**permalink**) 26/03/2003, 03:48

Hola, he estado navegando en la escasa información que hay sobre el ISA, y si bien como te comente instalar el ISA en un DC no es la mejor opción es perfectamente posible.
En cuanto a lo de ser tu el que decida quien puede disfrutar de que servicios (ej : la autentificación contra el dominio y todo esi), sin ningun problema. Puedes definir grupos de direcciones y aplicar reglas diferentes para cada uno de ellos.... podris x ejemplo para el conjunto de direcciones de tu red permitir acceder a los puerto de kerberos, terminal, etc y para el resto un cero patatero....
No se si he arrojado un pokito más de luz sobre el tema

blackshadow · #7 (**permalink**) 26/03/2003, 08:42

cuando te refieres a grupo de direcciones te refieres a grupos de clientes verdad y no a los grupos de destinos, estoy entendido con eso pero tengo una duda para cada protocolo hay diferentes reglas por ejemplo para poder enviar mensajes atravez del isa server hay que crear un regla de tipo: puerto local = dinamico y puerto remoto = 25, algo asi quisiera para los demas, no se si tienes informacion acerca de eso.....

Rompetechos · #8 (**permalink**) 27/03/2003, 04:01

Si me referia al grupo de clientes, los conjuntos de destinos se usan para otra ocsa...
He estado echandole un ojo al ISA, y no vas a tener ningun problema te trae ya predefindas las reglas de kerberos,ldap, etc.
asi que nada, animo y a por ellos que son pocos y cobardes