2º ASIR UD5-SAD

1 VICEN MORALES

PRÁCTICA 9.- Documenta la relación de productos que tiene y ha tenido Microsoft en relación a servidores “Proxy”. ¿Qué función tiene actualmente Microsoft Forefront TMG Treat Managment Gateway?. Describe su instalación y configuración

PRODUCTOS

Microsoft Internet Security and Acceleration Server (ISA Server) es un firewall de stateful packet inspection (es decir, analiza el encabezado de los paquetes IP) y de application layer (analizan la trama de datos en busca de tráfico sospechoso). Adicionalmente, ISA Server es un firewall de red, VPN y web cache.

Actualmente, ISA Server 2006 es la última versión, manteniendo siempre el esquema de ediciones estándar y enterprise, y los appliances de distintos fabricantes de hardware.

A partir de febrero de 2007, Microsoft liberó una edición especial de ISA Server llamada Intelligent Application Gateway 2007. IAG 2007 es un servicio de VPN por medio de SSL, además de incorporar políticas de seguridad como zonas de cuarentena, chequeos de seguridad en las conexiones entrantes, y definición de perfiles de uso de las aplicaciones publicadas. IAG 2007 es el producto de la adquisición que realizó Microsoft de la empresa Whale Communications en Junio de 2006. Microsoft IAG 2007 solamente está disponible por medio de appliances.

Microsoft Forefront Threat Management Gateway (TMG) es un completo

gateway de seguridad web desarrollado por Microsoft que ayuda a

proteger a las empresas de las amenazas que existen actualmente en

internet. Simple manejo e interfaz con la que se puede habilitar una

seguridad perimetral perfecta a prueba de ataques gracias al firewall

2º ASIR UD5-SAD

2 VICEN MORALES

integrado, VPN, prevención de accesos no autorizados, antivirus y anti-

spam.

Microsoft Forefront TMG estará también integrado en la nueva suite completa de Forefront conocida con el nombre en clave de Microsoft Forefront STIRLING.

Características

Protección ante múltiples de ataques gracias a tener integrado un anti-malware y antivirus, protecciones contra ataques de nivel de red y nivel de aplicación y firewall multicapa.

Altamente seguro gracias a la protección contra ataques de usuarios web, un sistema altamente fiable y seguro para la publicación por parte de usuarios remotos y un sistema avanzado para VPN.

Gestión simplificada gracias a wizards que le ayudarán a configurarlo, un servicio centralizado y un sistema de envío de e-mails integrado.

Inspección HTTPS. Inspecciones paquetes cifrados con SSL para descubrir malware, limitar el acceso a ciertas webs a sus empleados e incluso pudiendo creando exclusiones a webs sensibles, como las bancarias, evitando la inspección por parte de Forefront TMG.

Entre otras novedades ISP redundancy, sistema de inspección de red, 64 bit, gestión centralizada de versiones Standard y Enterprise

INSTALACIÓN

En este documento veremos una de las instalaciones más cotidianas a la hora de desplegar una instalación de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el acceso de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le conectará mediante HTTPS desde Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS).

2º ASIR UD5-SAD

3 VICEN MORALES

En este documento veremos una situación típica, tenemos ya una DMZ e introduciremos en ella un host en el que instalaremos Microsoft Forefront Threat Management Gateway 2010 con una pata ethernet en la que le entrarán peticiones desde el exterior (Red Internet) y él trasladará al interior (Red LAN). En este documento se permitirán las conexiones de OWA (Outlook Web App) desde el exterior y las redirigiremos al array que tenemos de los servidores de Acceso de Cliente (CAS Array bajo NLB), si no tenemos un cluster de este tipo lo reenviaremos contra nuestro servidor Exchange con el rol de Acceso de Cliente.

Instalación de Microsoft Forefront TMG 2010,

2º ASIR UD5-SAD

4 VICEN MORALES

Tenemos un equipo ya listo en la DMZ, al que simplemente le hemos instalado Windows y configurado un nombre de equipo, dirección IP del rango DMZ (sin configurar DNS’s, ni meter en dominio, con las entradas en el archivo ‘hosts’ correspondientes…). Introducimos el DVD de Microsoft Forefront Threat Management Gateway 2010 y en el autorun seleccionamos “Ejecutar la herramienta de preparación”

Comenzará un asistente para preparar el equipo local con todos los requisitos necesarios y nos los instalará, “Siguiente”,

2º ASIR UD5-SAD

5 VICEN MORALES

“Acepto los términos de licencia” & “Siguiente”

Marcamos la primera opción “Servicios y Administración de Forefront TMG” & “Siguiente”,

2º ASIR UD5-SAD

6 VICEN MORALES

… lo dicho esperamos unos minutos mientras nos instala y configura las características necesarias…

Seleccionamos “Iniciar el Asistente para la instalación de Forefront TMG” & “Finalizar”,

2º ASIR UD5-SAD

7 VICEN MORALES

Y comenzaría el asistente de instalación de TMG, “Siguiente”,

“Acepto los términos del contrato de licencia” & “Siguiente”,

2º ASIR UD5-SAD

8 VICEN MORALES

Indicamos los datos necesarios, así como el número de serie, “Siguiente”,

Seleccionamos el path de instalación (por defecto %ProgramFiles%\Microsoft Forefront Threat Management Gateway), “Siguiente”,

2º ASIR UD5-SAD

9 VICEN MORALES

Indicaremos en este momento que rango IP pertenece a la ‘red interna’, pulsamos “Agregar…”

Agregamos lo que nos interese, o el adaptador dedicado o el rango IP de la DMZ, para ello “Agregar intervalo…”,

2º ASIR UD5-SAD

10 VICEN MORALES

Indicamos el rango de la DMZ, IP inicial a IP final, “Aceptar”,

“Aceptar”,

2º ASIR UD5-SAD

11 VICEN MORALES

“Siguiente”,

Deberemos tener en cuenta que los servicios especificados se reiniciarán (por si los estamos usando en producción),

2º ASIR UD5-SAD

12 VICEN MORALES

Y listo para comenzar la instalación!

… esperamos un buen rato…

2º ASIR UD5-SAD

13 VICEN MORALES

Y ya tendremos el nuevo ISA instalado! mantenemos marcada la opción “Iniciar la Administración de Forefront TMG cuando se cierre el asistente” & “Finalizar”,

En el asistente de introducción configuraremos primero las opciones de red de nuestro equipo, pulsamos en “Configurar opciones de red”,

2º ASIR UD5-SAD

14 VICEN MORALES

“Siguiente”,

En mi situación actual tengo una pata de red por lo que sólo puedo seleccionar “Adaptador de red único”, las demás opciones serían a utilizar

2º ASIR UD5-SAD

15 VICEN MORALES

en diferentes situaciones o con otros fines, en mi caso simplemente realizaré el traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook Anywhere… “Siguiente”,

Nos mostrará el adaptador de red del equipo con su configuración de red, comprobamos que es correcto “Siguiente”,

2º ASIR UD5-SAD

16 VICEN MORALES

Listo, confirmamos con “Finalizar”,

Ok, “Configurar opciones del sistema”

2º ASIR UD5-SAD

17 VICEN MORALES

Breve asistente para modificar si consideramos necesarias algunas opciones del servidor,

Comprobamos que todo es correcto & “Siguiente”,

2º ASIR UD5-SAD

18 VICEN MORALES

“Finalizar”,

Finalmente acabamos con el asistente “Definir opciones de implementación”,

2º ASIR UD5-SAD

19 VICEN MORALES

“Siguiente”,

Deberemos indicar “Usar el servicio Microsoft Update para buscar actualizaciones” para mantener actualizado el Forefront TMG, “Siguiente”,

2º ASIR UD5-SAD

20 VICEN MORALES

Configuramos el licenciamiento y temas de actualizaciones de TMG, “Siguiente”,

2º ASIR UD5-SAD

21 VICEN MORALES

Si queremos partifipar el el programa de mejora y experiencia… “No” & “Siguiente”,

Si queremos enviar a Microsoft informes de uso de malware, etc… “Ninguno” & “Siguiente”,

2º ASIR UD5-SAD

22 VICEN MORALES

Por fin, listo “Finalizar”,

2º ASIR UD5-SAD

23 VICEN MORALES

Cerramos el asistente, si queremos podemos utilizar el asistente para acceso Web y poder tener conectividad con el TMG o lo configuraremos posteriormente.

Generando un certificado para OWA,

Antes de configurar TMG deberemos tener un certificado válido para el uso de OWA, por lo que necesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA válida generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello será imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que necesitaremos abrir una MMC y agregar el complemento ‘Certificados’ y de ‘cuenta de equipo local’, desde ahí podremos exportar/importar certificados, necesitaremos realizarlo en ‘Personal’ y obviamente tener el certificado de la CA (Certificate Authority – Entidad de emisora de certificados) en ‘Entidades de certificación raíz de confianza’.

Bueno, comenzamos, desde la Consola de administración de Exchange > “Configuración del servidor” > “Nuevo certificado de intercambio…”

2º ASIR UD5-SAD

24 VICEN MORALES

Indicamos el nombre del certificado, “Siguiente”,

“Siguiente”,

2º ASIR UD5-SAD

25 VICEN MORALES

Indicamos el/los servicios que queramos que tenga el certificado, para ello deberemos indicar los nombres de dominios que necesitaremos para OWA, ActiveSync, Outlook Anywhere… en mi caso siempre será el mismo nombre de dominio para todo, lo indicamos & “Siguiente”,

2º ASIR UD5-SAD

26 VICEN MORALES

Confirmamos que el nombre de dominio es correcto & “Siguiente”,

Indicamos los datos del certificado: Organización, Unidad de organización, País o región, Ciudad o localidad, Estado o provincia y donde dejaremos la solicitud del certificado. “Siguiente”,

2º ASIR UD5-SAD

27 VICEN MORALES

“Nuevo” para generar la solicitud del certificado,

“Finalizar”,

2º ASIR UD5-SAD

28 VICEN MORALES

Ahora deberemos ir a una entidad emisora de certificados y presentarle la solicitud que acabamos de generar, obtendremos un certificado para un servidor web listo para ser usado, podremos usar CA’s públicas (recomendado) o utilizar la CA de Microsoft de nuestra red.

Una vez tenemos ya el certificado generado lo importamos, continuamos donde estábamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre el ‘certificado’ > “Completar solicitud pendiente…”

2º ASIR UD5-SAD

29 VICEN MORALES

Seleccionamos el certificado desde “Examinar” & “Completar”,

“Finalizar”,

2º ASIR UD5-SAD

30 VICEN MORALES

Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a un servicio de Exchange, en nuestro caso será para OWA, por lo que lo asignaremos al servicio de IIS. Sobre el certificado > “Asignar servicios a certificado…”

Indicamos el nombre del servidor Exchange que se verá afectado & “Siguiente”

2º ASIR UD5-SAD

31 VICEN MORALES

Indicamos “Internet Information Services” & “Siguiente”,

“Asignar”,

2º ASIR UD5-SAD

32 VICEN MORALES

Y listo!

Todo esto será necesario tenerlo listo antes de configurar TMG, una vez lo tengamos, lo dicho anteriormente, debemos instalar este certificado en el servidor TMG (en la cuenta de equipo) y el de la CA si fuera necesario.

Configuración de Microsoft Forefront TMG 2010 para dar acceso a OWA,

En esta parte del documento veremos cómo permitir el uso de OWA desde el exterior de nuestra organización al interior de forma segura,

2º ASIR UD5-SAD

33 VICEN MORALES

abrimos la consola de administración de Forefront TMG, vamos a “Directiva de firewall” > “Publicar acceso de cliente web de Exchange”

Indicamos un nombre a la regla, “Siguiente”,

2º ASIR UD5-SAD

34 VICEN MORALES

Indicamos la versión de Exchange que tenemos en la organización y marcamos “Outlook Web Access”, “Siguiente”,

2º ASIR UD5-SAD

35 VICEN MORALES

“Publicar un único sitio web o equilibrio de carga” si tenemos un solo servidor con el rol de Acceso de Cliente o tenemos un array de CAS, “Siguiente”,

Indicamos cómo queremos que se conecte el TMG al servidor de acceso de cliente, marcamos la primera opción “Usar SSL”, “Siguiente”,

2º ASIR UD5-SAD

36 VICEN MORALES

Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG por nombre debemos indicar la dirección IP del servidor que tiene OWA, “Siguiente”,

2º ASIR UD5-SAD

37 VICEN MORALES

Indicamos que acepte solicitudes sólo para el nombre de dominio público que utilizaremos para que accedan desde el exterior y lo introducimos, “Siguiente”,

2º ASIR UD5-SAD

38 VICEN MORALES

Creamos una escucha de web para indicar qué solicitudes escucharemos del exterior, “Nueva…”,

2º ASIR UD5-SAD

39 VICEN MORALES

Indicamos el nombre de escucha de la web & “Siguiente”,

Marcamos “Requerir conexiones seguras SSL con los clientes” & “Siguiente”,

2º ASIR UD5-SAD

40 VICEN MORALES

Indicamos la red de escucha que utilizaremos (en este caso al disponer sólo de un adaptador ethernet me daría igual, así que seleccionamos ‘Interna’). “Siguiente”,

2º ASIR UD5-SAD

41 VICEN MORALES

Seleccionamos el certificado que hemos generado anteriormente en el servidor de Acceso de Cliente “Seleccionar certificado…”

2º ASIR UD5-SAD

42 VICEN MORALES

Seleccionamos el único que tendremos & “Seleccionar”. Si aquí no nos sale ningún certificado deberemos comprobar, que tenemos el certificado instalado en la cuenta de equipo, que tenemos su clave privada y que conocemos/confiamos en toda la ruta de certificación.

Indicamos la autenticación que necesitemos y la forma que el TMG validará contra nuestros controladores de dominio (ojo de depende de la forma deberemos permitir dicho tráfico de este equipo al DC de la red), “Siguiente”,

2º ASIR UD5-SAD

43 VICEN MORALES

Desmarcamos SSO (Single Sign On) & “Siguiente”,

2º ASIR UD5-SAD

44 VICEN MORALES

“Finalizar”,

Continuamos con la regla de TMG, “Siguiente”,

2º ASIR UD5-SAD

45 VICEN MORALES

Indicamos la autenticación para validarse con el servidor de OWA, es recomendado configurar ‘Autenticación básica’ que va en texto plano pero ya hemos establecido una sesión SSL por lo que iría cifrada. “Siguiente”

2º ASIR UD5-SAD

46 VICEN MORALES

Deberemos por lo tanto en las propiedades de ‘owa’ configurar el mismo método de autenticación (en la Consola de Administración de Exchange > “Configuración del servidor” > “Acceso de cliente” > Pestaña “Outlook Web App”).

2º ASIR UD5-SAD

47 VICEN MORALES

Indicamos los usuarios a los que se aplicará la regla, “Siguiente”,

2º ASIR UD5-SAD

48 VICEN MORALES

Y finalizamos la regla con “Finalizar”,

Aplicamos los cambios en TMG…

Y podremos comprobar desde el exterior si tenemos los mapeos de puertos (a nivel de firewall) bien configurados cómo podremos acceder a OWA desde el exterior a través del servidor TMG de forma segura! confirmamos como el portal de OWA indica que estamos ‘protegidos por Microsoft Forefront Threat Management Gateway’.