Mes: enero 2007

Por supuesto no sólo el interfaz gráfico ha sido mejorado y aumentado en ISA Server 2004. De hecho muchas de las tareas familiares que los administradores realizaban con ISA 2000 se han simplificado en ISA 2004.

• Administración remota


• Características de cortafuegos


• VPN y acceso remoto


• Caché web y proxy


• Control e informes

---

Los administradores necesitan ser capaces de administrar los cortafuegos desde sitios remotos: desde sus propios equipos, desde sus portatiles en cualquier sitio, e incluso a veces, desde otros equipos de los que no tienen todo el control, por ejemplo equipos públicos (Ojito con estos). Si nuestra empresa dispone de múltiples instalaciones de ISA y además en ubicaciones diferentes, no creo que deseemos visitarlas físicamente cada una para realizar cualquier tarea administrativa.

Con ISA Server 2004 hay distintas formas de administrar remotamente los cortafuegos, tres métodos importantes:

• La consola de administración de ISA 2004.


• Uso de TS o Escritorio Remoto.


• Herramientas de terceros.

---

Podemos conectar remotamente a uno o múltiples ISA Server 2004 con la consola de administración. Cada uno de ellos tendrá su propio nodo en el panel izquierdo.

Para ir conectando con sucesivos ISA lo haremos desde el panel derecho, ficha tareas, teniendo seleccionado el nodo raíz del panel izquierdo.

 

Pulsando en Conectar a un servidor ISA Local o Remoto y luego rellenaremos los datos en el cuadro de diálogo de Conectar con para agregar el servidor local o remoto a la consola de administración.

---

NOTA: Sólo podemos conectar remotamente con la consola de administración con cortafuegos ISA Server 2004. Si intentamos conectar con un ISA Server 2000 recibiremos un error.

---

El subnodo de complementos (Add-ins) se usa para configurar el filtrado en la capa de aplicación. Aquí es donde habilitaremos, veremos, modificaremos y deshabilitaremos los filtros de aplicación y los filtros web. Algunos de ellos se instalan y habilitan de forma predeterminada al instalar ISA.

El último de los subnodos es el General, que incluye diversas tareas administrativas, como:

• 
  
  Delegación de administración para conceder permisos a usuarios y grupos para realizar tareas administrativas específicas.


• 
  
  Configurar encadenamiento de firewall para especificar como se reenviarán las solicitudes desde los clientes Firewall y SecureNat hacia los servidores de seguridad.


• 
  
  Especificar preferencias de acceso telefónico si se usa cuenta de acceso telefónico.


• 
  
  Definir la configuración del cliente Firewall.


• 
  
  Ver detalles del equipo ISA Server.


• 
  
  Configurar traducción de vínculos para seleccionar los tipos de contenido en la traducción de vínculos.


• 
  
  Especificar la revocación de certificado para que ISA pueda verificar que los certificados entrantes no están en la lista de certificados revocados (CRL).


• 
  
  Definir preferencias de compresión HTTP.


• 
  
  Especificar preferencias de Diffserv.


• 
  
  Definir servidores RADIUS.


• 
  
  Habilitar detección de intrusiones y detecciones de ataques DNS.


• 
  
  Definir preferencias IP.


• 
  
  Definir límites de conexiones.

 

Las opciones de firmado de controladores

¿Qué es un dispositivo?

Cualquier pieza de equipamiento añadido al ordenador. Por ejemplo: tarjetas de vídeo, impresoras, mandos de control de juegos, adaptadores de red, un modem, etc…

Los dispositivos los dividimos en dos grandes grupos:

• Enchufar y listo (Plug&play)

Enchufar y listo es una combinación de hard&soft que habilita al sistema del equipo a reconocer, y adaptar la configuración de hardware prácticamente con nula intervención de usuario.

Podemos agregar o quitar dispositivos P&P dinámicamente, sin cambiar configuración manualmente. Con P&P, podemos confiar en que todos los dispositivos trabajarán juntos y el equipo reiniciará sin problemas después de añadir/quitar alguno.

La instalación muchas veces consiste sólo en conectar el dispositivo nada más. Para otros, debemos apagar el equipo antes de conectarlos y reiniciar para su instalación final. La gran mayoría de dispositivos desde 1995 son P&P.

• Los que no son P&P

El ser P&P depende del propio hardware y del controlador del dispositivo. Estos dispositivos no están soportados en la familia Windows Server 2003.

Este nodo se divide a su vez en cuatro subnodos: Redes, Caché, Complementos y General. En el panel medio tenemos los accesos a cada uno de ellos, o también podemos directamente clicar sobre cualquiera de los subnodos.

Si elegimos Definir distribución y propiedades de la red del panel medio, o directamente seleccionamos el subnodo Redes del árbol en el panel izquierdo: nos encontramos que en el panel medio disponemos de un grupo de fichas que incluyen: Redes, Conjunto de redes, Reglas de red y Encadenamiento web. El panel derecho nos muestra como casi siempre, Tareas, plantillas y ayuda.

La ficha de Redes se usa para la creación y configuración de redes en un entorno de multiredes.

La de Conjunto de redes nos permite agrupar redes y aplicar reglas a un grupo, o conjunto, de redes.

La ficha de Reglas de red nos servirá para crear, exportar e importar reglas que definen si, y que tipo de conectividad está permitida entre las distintas redes sea por NAT o conexiones enrutadas.

La de Encadenamiento de web es una ficha que utilizaremos para crear reglas de encadenamiento web que nos permiten enrutar solicitudes desde clientes contra el ISA Server o a una ubicación alternativa.

El subnodo de Caché, que se ve en la captura de imagen, se usa para utilizar el caching en ISA Server.

Deninimos las unidades de caché donde será cacheado el contenido siendo almacenado y la creación de reglas de caché mediante un asistente de Nueva regla de caché. Las reglas se aplicarán a redes específicas y determinarán como los objetos almacenados en la caché se recuperan cuando sean solicitados, al igual que cuando se cacheará el contenido, además de los límites de tamaño para objetos cacheados. Podemos configurar valores generales de caché y exportar e importar reglas de caché. También deshabilitar el caching en conjunto, dejando al ISA Server con la única función de cortafuegos.

Como vemos en las capturas hay dos fichas: Reglas de caché y Trabajos de descarga de contenido.

 

No es díficil configurar nuestro ISA Server para que actúe como un gateway VPN para accesos remotos o VPN entre sitios. El nodo Redes Vprivadas virtuales VPN nos proporciona un interfaz amistoso para realizar las tareas comunes de configuración VPN y el control de acceso de clientes.

Como podemos ver en el panel central se nos muestran la lista de tareas de configuración, en el caso de Clientes VPN son:

• 
  
  Comprobación de qué el acceso de cliente está habilitado.


• 
  
  Especificar usuarios Windows o selección de servidor RADIUS.


• 
  
  Comprobación de propiedades VPN y de configuración de acceso remoto.


• 
  
  Ver las directivas para la red de clientes VPN.


• 
  
  Ver las reglas de red, que especifican las relaciones entre los clientes VPN y el resto de redes.

En el panel derecho podemos configurar el acceso de cliente (especificar el número de conexiones simultáneas, selección de grupos a los que se les permite el acceso y a qué VPNs, protocolos VPN autorizados, y mapeo de usuarios desde espacios no Windows). Podemos deshabilitar el acceso a todas las VPN con un simple clic.

Cuando seleccionamos el nodo de Directiva de Firewall el panel medio nos muestra una lista de las reglas de cortafuegos y en el panel derecho nos aparecen tres fichas: Herramientas, Tareas y Ayuda.

Este nodo es el núcleo de la interfaz de ISA. Desde aquí crearemos las reglas de acceso, reglas de publicación web, de publicación de servidores de correo y otras reglas de publicación para controlar el acceso hacia y desde nuestra red. Como añadido, podemos editar las políticas del sistema, definir las preferencias IP y exportar e importar las reglas de cortafuegos y sistema. Las nuevas reglas de acceso se crean con facilidad con el asistente de nueva regla de acceso.

Ya veremos estas creaciones y las de publicación más adelante.

 

Los cuellos de botella de la Red son difíciles de controlar pues muchas redes son complejas. También, muchos elementos pueden afectar al rendmiento de la red. Podemos monitorizar varios objetos y contadores en la red, como un servidor, segmento de red, redirector y protocolos. Dependiendo del entorno determinaremos cual monitorizar.

Los contadores más comunes que podemos utilizar y que nos conformarán un esquema de como la red se está usando y nos ayudará a descubrir esos cuellos de botella, son:

• Administrador de tareas: %Uso de Red. El porcentaje del ancho de banda de la red en uso por el segmento de red local. Podemos usar este contador para ver el efecto de diversas operaciones en la red, como la validación de usuarios o la sincronización de cuentas de dominio.


• Interfaz de red: Bytes enviados/segundo. Número de Bytes enviados a través de este adaptador de red.


• Interfaz de red: Bytes totales/segundo. Número de Bytes que se están envíando/recibiendo a través de este adaptador de red. Lo usaremos para determinar el rendimiento del adaptador. Debería ser un número alto, para indicar un número de transmisiones con éxito grande.


• Servidor: Bytes recibidos/segundo. Comparar los Bytes recibidos por segundo con el ancho de banda total del adaptador de red para determinar si la conexión de red sufre cuellos de botella. Para permitir espacios vacíos de tráfico no deberíamos utilizar más del 50% de la capacidad. Si este número se acerca a la máxima capacidad de la conexión y el procesador y memoria en uso son moderados, la conexión puede estar causando algún problema.

Viendo los contadores podemos ver la actividad en el servidor para las solicitudes de sesión o acceso a datos. Si determinamos que el subsistema de Red es el causante del cuello de botella debemos tomar algunas decisiones con el ánimo de aliviarlo. Por ejemplo:

• Agregar servidores a la red, de ese modo distribuimos la carga de procesamiento.


• Comprobar y mejorar los componentes de la capa física, como enrutadores, conmutadores y cableado.


• Dividir la red en sub-redes o segmentos de red, encargando a un servidor de cada segmento mediante un adaptador separado. Normalmente se reduce la congestión en el servidor mediante la dispersión de las solicitudes.


• Dividir el tráfico de red en segmentos apropiados. Por ejemplo, configurar la red de modo que sistemas compartidos en el mismo grupo de gente estén en la misma sub-red.


• Aprovechar aquéllos adaptadores de red que no se usan frecuentemente.


• Para un mejor rendimiento, usar adaptadores con el ancho de banda más grande disponibles. Aunque el incremento de ancho de banda puede incrementar el número de transmisiones y aumentar el trabajo del sistema.


• Usar carpetas off-line para trabajar con aplicaciones de red sin estar conectado a la misma. Estas carpetas fuera de línea hacen uso del caché del lado del cliente de ese modo se reduce el tráfico de red.

1. Inicio, Panel de Control, Herramientas administrativas, Rendimiento.


2. Clic derecho en el panel derecho, Agregar contadores.




1. Bajo objetos de rendimiento, seleccionamos Adaptador de red y seleccionamos los contadores, después pulsamos agregar.




• Interfaz de redBytes enviados/seg.


• Interfaz de redBytes totales/seg.


2. Luego seleccionamos Servidor bajo objetos de rendimiento y seleccionamos el contador, Agregar y Cerrar.




• ServidorBytes recibidos/seg.


3. Veremos los contadores en el panel derecho del monitor del sistema, a partir de ahí… cada uno..:-)

Podemos abrir el Administrador de tareas también y ver la ficha Red para ver el uso de la red.

Las comunicaciones a través de la red se están incrementando sensiblemente en cualquier entorno de trabajo. Al igual que el procesador o los discos del sistema, el comportamiento de la red afecta a las operaciones del propio sistema. Un control regular del uso de la red en nuestro sistema, tráfico de red o uso de recursos, puede optimizar el rendimiento de nuestro sistema.

El uso de red viene a ser el % de ancho de banda que se está utilizando en el segmento que está siendo monitorizado.

El ancho de banda de red se mide de distintas formas:

• El ratio al que los Bytes se transfieren hacia y desde el servidor.


• El ratio al que los paquetes de datos se envían mediante el servidor. Frames, paquetes, segmentos y datagramas.


• El ratio al que los archivos se envían y reciben mediante el servidor.

La efectividad del ancho de banda de la red varia dependiendo de la capacidad de transmisión del enlace, de la configuración del servidor y de la carga de trabajo del servidor.

Si controlamos el uso de la red es con el fin de detectar cuellos de botella en la propia red. Estos afectan directamente a la experiencia que recibe el usuario en el equipo cliente y a la red entera. Normalmente limitan el número de clientes que pueden estar conectados simultáneamente al servidor.

Las causas más típicas de los cuellos de botella de red son:

• Sobrecarga en el servidor.


• Sobrecarga en la red.


• Pérdida de integridad de la red.

La ficha de sesiones facilita a los administradores ver quienes están o han estado conectados a través del servicio de Cortafuegos de ISA Server 2004 y qué aplicaciones usan. Esta información se puede filtrar para una lectura más concienzuda. La ventana de sesiones, aunque no había ninguna activa en el momento de captura:

 

En la ficha de Servicios podemos ver los servicios y su estatus. Desde aquí podemos detenerlos e iniciarlos. O utilizar el panel derecho para ello.

 

La ficha de Informes la podemos utilizar para la generación de informes, sea en el momento o mediante la configuración de un horario para ello. Nos encontramos con un nuevo asistente de Informe, qué nos ayuda paso a paso en la creación de un informe. Los horarios de informe pueden ser diarios, semanales o mensuales. Además podemos especificar que información incluir en el informe.

 

La ficha Conectividad nos permite crear, exportar e importar verificadores de conectividad. Estos son objetos que controlar la conectividad entre el Isa Server y específicos equipos o URL. La conectividad se determina vía ping, tcp port, o http.

 

La última de las fichas de Supervisión es la de Registro. Se utiliza para configurar la comprobación de los mensajes de procesos en pantalla de registro para el cortafuegos, Web proxy y SMTP. Podemos editar filtros también para limitar los resultados que vemos, o exportar e importar filtros definidos o las consultas de registro.

1. Inicio, Panel de control, Herramientas administrativas, Rendimiento.


2. Clic derecho en el panel derecho del Monitor del Sistema y seleccionamos Agregar contadores.


3. En el cuadro de diálogo, bajo objetos de rendimiento, seleccionamos Disco físico, seleccionando los siguientes contadores y luego pulsamos Agregar.




• %Disk Time


• Avg. Disk Bytes/Transfer


• Current Disk Queue Length


• Disk Bytes/Sec


4. Vigilar los contadores en el panel derecho del Monitor de Sistema y tomar las medidas apropiadas, si las hay, para resolver cualquier problemilla del disco.