Tema 5 SAD - · PDF fileVamos a configurar algunos parámetros básicos,...
22
Tema 5 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto Tema 5 SAD SERVIDORES PROXY
Transcript of Tema 5 SAD - · PDF fileVamos a configurar algunos parámetros básicos,...
Tema 5 SAD
Vicente Sánchez Patón
I.E.S Gregorio Prieto
Tema 5 SAD
SERVIDORES PROXY
1. Instalación y configuración del servidor Proxy “Squid” en GNU/Linux,
realizando:
- Configuración de parámetros generales.
- Archivos de log.
- Autenticación de usuarios.
- Filtros web mediante listas de control de acceso.
Primero instalaremos el servicio proxy en el servidor para ello ejecutamos el
siguiente comando.
El fichero de configuración de squip es el /etc/squip/squip.conf, solo tiene
este fichero de configuración en él se centraliza toda la configuración del
servidor squip.
Vamos a configurar algunos parámetros básicos, empezaremos por ver el
puerto por el que escucha squip, como vemos en la imagen ese puerto es el
3128, podemos cambiarlo, pero lo dejaremos así.
También le podemos configurar la memoria RAM que usara como cache, lo
recomendable es ponerle 1/3 de la RAM del ordenador, en nuestro caso será
de 252MB, 1/3 de 756MB, por defecto vemos que tiene 8MB y esta
comentada la línea.
Este parámetro asigna una zona de disco para squid, la ruta es donde estará
los directorios de la cache, le pondremos 1000 MB, donde la esta cantidad
no puede ser menor que la cache mem, el 16 quiere decir la cantidad de
directorios que permitimos y el 256 los subdirectorios, la configuración por
defecto es la siguiente.
Podemos crear ACL’s en el servidor squip para gestionar el trafico que pase
por él, por ejemplo podemos configurar una ACL que permita el paso de una
dirección de red perteneciente a una LAN a través de él, la ACL seria de la
siguiente forma, donde permitlan es el nombre que le damos a la ACL.
También podemos configurar una ACL en forma tal que actué como un filtro
de palabras buscando en los paquetes que pasen por él, dicha palabra, para
ello ponemos la siguiente ACL.
En esta ACL vemos que el nombre es noway, url_regex es un parámetro de
configuración para este tipo de ACL, y la ruta es la del fichero que contiene
las palabras que no permitimos.
También podemos añadir sentencias http, que son parecidas a las ACL pero
solo a nivel de web, por ejemplo podemos configurar una que no permita las
conexiones que contengan alguna palabra anteriormente prohibida, la
sentencia quedaría de la siguiente manera.
Podemos ver en la sentencia que hacemos referencia a la ACL anteriormente
creada.
La siguiente sentencia http, será para permitir conexiones a la red lan
192.168.16.0, la sentencia será la siguiente. Como vemos también hacemos
referencia a otra ACL, en este caso en al que permitíamos el trafico por el
servidor proxy de dicha lan.
Vamos a crear el fichero /etc/squip/noperm, donde ubicaremos las palabras
no permitidas, se pondrían tantas como quisieramos.
Con este parámetro le indicamos que la URL de acceso denegado será en
español, en mi caso la he modificado por mí.
AUTENTICACION
Descimentamos la siguiente línea, y al final ponemos la siguiente ruta donde
será un archivo, donde asignaremos las claves de los usuarios:
Nos creamos el fichero claves, y le damos permisos.
Ahora agregamos un usuario Vicente, con una contraseña con la siguiente
forma:
Guardamos los cambios y reiniciamos servicios.
Hará falta enrutar el servidor ya que este tendrá dos tarjetas una que dará
hacia nuestra red interna y otra que dará a un router para salir a internet,
para enrutarlas usaremos iptables las sentencias son las siguientes,
imaginado que tenemos este escenario.
2. Configuración de un cliente Proxy en GNU/Linux y un cliente Proxy en
Windows.
GNU/Linux y Windows con Firefox
La configuración de ambos clientes es la misma si usan el navegador firefox,
si usan otro navegado la configuración puede variar un poco en cuanto a la
ubicación de la misma, pero será la misma en ambos S.O. ya que no depende
del S.O. cliente sino del navegador que utilicen.
Para configurar el cliente irefox accedemos al navegador, y seguimos la
siguiente rura: “editar” > “preferencias” > “avanzado” > “red” > “ajustes” >
“configuración manual de proxy”, y en esta ventana rellenamos con la ip del
servidor proxy y el puerto de escucha.
3. Descarga archivo de listas negras de sitios web y anexa las mismas a la
configuración de Squid. http://urlblacklist.com/ . Prueba dichas listas
negras.
En este apartado trabajaremos con webmin.
Descargamos las listas negras de la página oficial para después anexarlas a
la configuración de squid.
Ya tenemos descargadas en nuestro equipo las listas negras, a continuación
vamos a cargar en una acl la lista negra que contiene direcciones de armas y
luego comprobaremos que funciona.
Creamos una nueva acl de tipo expresión regular URL y a continuación
indicamos la ruta del archivo que contiene la lista negra que queremos
cargar.
Ponemos esta acl en primer lugar, después de haber indicado que se
deniegue dicha acl.
Elegimos una dirección de las que aparecen en el fichero.
Esta es la manera de configurar squid para no permitir el acceso a las URL
de la lista negra, aremos tantas ACL’s como sean necesarias.
4. Documenta la relación de productos que tiene y ha tenido Microsoft en
relación a servidores “Proxy”. ¿Qué función tiene actualmente Microsoft
Forefront TMG Treat Management Gateway?. Describe su instalación y
configuración.
Microsoft Proxy Server El Microsoft Forefront Threat Management
Gateway línea de productos se originó con Microsoft Proxy Server .
Desarrollado bajo el nombre código de "Catapult", Microsoft Proxy Server
1.0 se lanzó por primera vez en enero de 1997, y fue diseñado para
ejecutarse en Windows NT 4.0 . Microsoft Proxy Server v1.0 es un
producto de base diseñado para proporcionar acceso a Internet para los
clientes en un entorno de LAN a través de TCP / IP . También se prestó
apoyo para IPX / SPX de redes (utilizado principalmente en el legado de
Novell NetWare ambientes), a través de un WinSock traducción de cliente
/ túnel que permitía a las aplicaciones TCP / IP, tales como los navegadores
web, para operar de manera transparente sin ningún tipo de protocolo TCP /
IP en el alambre. Aunque bien integrado en Windows NT4, Microsoft Proxy
Server v1.0 sólo tenía una funcionalidad básica, y se produjo en una sola
edición. El soporte extendido para Microsoft Proxy Server v1.0 finalizó el
31 de marzo de 2002. Microsoft Proxy Server v2.0 se lanzó en diciembre
de 1997, y buscando una mayor integración de la cuenta de NT, la mejora de
filtrado de paquetes de apoyo y soporte para una amplia gama de protocolos
de red . Microsoft Proxy Server v2.0 salido de la fase de soporte extendido
y llegó a final de la vida el 31 de diciembre de 2004.
ISA Server 2000 El 18 de marzo de 2001, Microsoft lanzó Microsoft
Internet Security and Acceleration Server 2000 (ISA Server 2000) . ISA
Server 2000 introdujo los estándares y la Empresa ediciones, con la
funcionalidad de nivel empresarial tales como alta disponibilidad de
clústeres no está incluido en la edición estándar . ISA Server 2000
requiere Windows 2000 (cualquier edición), y también se pueden ejecutar
en Windows Server 2003 . De conformidad con el soporte técnico de
Microsoft de la política del ciclo de vida, ISA Server 2000 fue el primer
producto de ISA Server para que utilice el ciclo de vida de soporte de 10
años con 5 años de Mainstream apoyo y cinco años de extendido de soporte.
ISA Server 2000 llegó a final de la vida el 12 de abril de 2011.
ISA Server 2004
Microsoft para servidores de Internet Security and Acceleration 2004
(ISA Server 2004) salió el 8 de septiembre de 2004. ISA Server 2004
introduce una serie de múltiples redes de apoyo aclaración necesaria ,
virtual integrada de configuración de red privada, el usuario de
autenticación extensible y modelos, la capa de aplicación firewall de apoyo,
de Active Directory de integración, SecureNAT aclaración necesaria , y
mejorar la presentación de ISA Server 2000. informes y funciones de
administración. Las reglas de configuración de la base también se han
simplificado considerablemente en la versión de ISA Server 2000.
ISA Server 2004 Enterprise Edition incluye soporte matriz, integrado
Network Load Balancing (NLB), y Cache Array Routing Protocol(CARP). Una
de las principales capacidades de ISA Server 2004, Edición llamado
servidor seguro, era su capacidad para exponer de forma segura sus
servidores internos a Internet. Por ejemplo, algunas organizaciones utilizan
ISA Server 2004 para publicar su Microsoft Exchange Server servicios
como Outlook Web Access (OWA), Outlook MobileAccess (OMA) o
ActiveSync . Uso de la autenticación basada en formularios ( FBA tipo de
autenticación), ISA Server puede ser utilizado para autenticar a los
clientes pre-web, de manera que el tráfico de clientes no autenticados a los
servidores publicados no está permitido. ISA Server 2004 está disponible
en dos ediciones, Standard y Enterprise. Enterprise Edition incluye
funciones que permiten las políticas que se configuran en un nivel de matriz,
en lugar de individuales servidores ISA, y balanceo de carga a través de
múltiples servidores ISA. Cada edición de ISA Server se licencia por
procesador. (La versión incluida en Windows Small Business Server
2000/2003 de Premium incluye licencias para 2 procesadores). ISA Server
2004 se ejecuta en Windows Server 2003 Standard o Enterprise Edition.
Hardware del dispositivo que contiene Windows Server 2003 Appliance
Edition e ISA Server Standard Edition está disponible en una variedad de
socios de Microsoft.
ISA Server 2006
Microsoft para servidores de Internet Security and Acceleration 2006
(ISA Server 2006) fue lanzado el 17 de octubre de 2006. 12 Se trata de
una versión actualizada de ISA Server 2004, y conserva todas las
características de ISA Server 2004, excepto Message Screener.
ISA Server Appliance Edition
Microsoft también ofrece ISA Server 2006 Appliance Edition, un software
diseñado para ser pre-instalado en un hardware OEM que se vende por el
fabricante de hardware como un solo tipo de dispositivo de servidor de
seguridad.
Microsoft Forefront TMG MBE
Microsoft Forefront Threat Management Gateway medio Business Edition
(Forefront TMG MBE) es la próxima versión de ISA Server, que también se
incluye con Windows Essential Business Server. Esta versión sólo se ejecuta
en la edición de 64 bits de Windows Server 2008 y no soporta
características Enterpise edición como el apoyo de matriz o política de
empresa.
Microsoft Forefront TMG 2010
Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG
2010) fue lanzado el 17 de noviembre de 2009. Se construye sobre la base
de ISA Server 2006 y proporciona una protección Web mejorada, soporte
nativo de 64 bits, soporte para Windows Server 2008 y de Windows Server
2008 R2 , la protección contra malware y BITS almacenamiento en caché.
Service Pack 1 para este producto fue lanzado el 23 de junio de 2010. Se
incluye varias nuevas características para apoyar a Windows Server 2008
R2 y Microsoft SharePoint 2010 líneas de productos. Service Pack dos para
este producto fue lanzado el 10 de octubre de 2011.
Microsoft Forefront Threat Management Gateway (Forefront TMG)
Anteriormente conocido como Microsoft Internet Security and
Acceleration Server (ISA Server) , es una seguridad de red y solución de
protección de Microsoft Windows , descrita por Microsoft como " permite a
las empresas, al permitir a los empleados a utilizar de manera segura y
productiva Internet para los negocios sin la preocupación de malware y
otras amenazas. Microsoft diseñó Forefront para implementarlo en un
dominio de Windows. Aunque se puede usar en el contexto de un grupo de
trabajo empresarial, existen algunas limitaciones menores que normalmente
no se encontrarían en un entorno de dominio. Por ejemplo, si se va a
implementar Forefront en un entorno de grupo de trabajo, no se podrá usar
la detección de proxy web automática. De manera similar, sin un dominio de
Active Directory, no es posible configurar Forefront mediante directiva de
grupo. En su lugar, se deben usar directivas de seguridad locales en cada
máquina individual que ejecute Forefront. Otras limitaciones exigen una
consideración más cuidadosa. Por ejemplo, los equipos que ejecutan
Forefront TMG Standard generalmente están unidos a Enterprise
Management Server. Sin embargo, no es posible realizar la replicación
Enterprise Management Server en un entorno de grupo de trabajo.
A menudo en las organizaciones el tratamiento de cada departamento o rol
de empresa, en lo concerniente al acceso a Internet, presenta unas
peculiaridades que hacen necesario aplicar excepciones a las condiciones
generales. Así por necesidad determinadas áreas como la de seguridad
necesitarán tener acceso a web maliciosas para la realización de pruebas o
la descarga de aplicaciones con la que realizar determinados test. En otras
circunstancias roles o usuarios VIP podrían solicitar condiciones
particulares para el acceso a determinadas web como pueden ser las de
Poker Online. La característica aportada por MS Forefront TMG ofrece dos
opciones para garantizar el acceso. Permite el establecimiento de filtrados
por categorización de URLs o haciendo uso del objeto gestionado conjunto
de URL, de tal forma que estas pueden integrarse en las reglas del firewall
para permitir o denegar el acceso en función de dichas características.
Tomando como ejemplo vínculos a Juegos de Poker, se podrían establecer
condiciones para que determinados usuarios de la organización tuvieran
acceso a las mismas, mientras que el resto no.
En el caso del servicio de reputación de Microsoft (MSR), estas web se
encuentran categorizadas como de Apuestas. Por lo tanto para hacer
factible el acceso a determinados usuarios, sería necesario la creación de
una regla de acceso haciendo factible el acceso a los usuarios
correspondientes a dicha categoría tal y como se muestra en la siguiente
imagen.
INSTALACIÓN Y CONFIGURACIÓN Entidad de certificación
Uno de los mayores requisitos para instalar Forefront en un entorno de
grupo de trabajo es que se debe tener instalado un certificado de servidor
en el servidor de Forefront TMG. Dado que este certificado sólo se usará
internamente, Microsoft recomienda la creación de una entidad de
certificación empresarial propia como forma de evitar los costos asociados
con la compra de un certificado comercial.
Windows Server tiene todo lo necesario para su configuración como entidad
de certificación. Dada la naturaleza confidencial de los certificados de
servidor, sin embargo, se deben implementar servicios de certificado en un
servidor distinto del que actuará como puerta de enlace de Forefront en el
perímetro de la red. Una vez que haya elegido un servidor para que actúe
como entidad de certificación, abra Administrador del servidor. Vaya al
contenedor Funciones y haga clic en el vínculo Agregar funciones. Windows
iniciará el asistente Agregar funciones. Omita la pantalla de bienvenida del
asistente y pasará a otra pantalla que le pedirá que elija las funciones que
desea instalar. Elija la función Servicios de certificados de Active
Directory y haga clic en Siguiente. Verá un mensaje de advertencia que le
dirá que, una vez que instale los servicios de certificado de Active
Directory, no podrá cambiar el nombre ni el estado de dominio del servidor.
Se le pedirá que elija los servicios de la función que desea a implementar.
Elija los servicios de Entidad de certificación e Inscripción web de
entidad de certificación y haga clic en Siguiente.
En este punto, Windows le preguntará si desea implementar una entidad de
certificación independiente o empresarial. Dado que está realizando la
configuración para un entorno de grupo de trabajo, elija la opción
Independiente. Haga clic en Siguiente, y se le pedirá que elija el tipo de
Entidad de certificación. Dado que ésta es la primera entidad de
certificación de la organización, elija la opción CA raíz y haga clic en
Siguiente. El asistente, a continuación, le preguntará si desea crear una
clave privada nueva o usar una clave privada existente. Cree una nueva clave
privada y haga clic en Siguiente. Cuando Windows muestre la pantalla
Criptografía del asistente, haga clic en Siguiente para aceptar los valores
predeterminados. A continuación, se le pedirá que proporcione un nombre
común para la Entidad de certificación. Escriba un nombre a su elección y
anótelo. Más adelante necesitará conocer este nombre cuando implemente
Forefront. Se le pedirá que seleccione un período de validez del certificado.
Haga clic en Siguiente para aceptar los valores predeterminados. A
continuación, el asistente le pedirá que especifique la ubicación de la base
de datos del certificado. Use cualquier ubicación que desee, pero debe
asegurarse de hacer copias de seguridad de cualquier ubicación que elija.
A continuación, el asistente mostrará una introducción a IIS. Haga clic en
Siguiente una vez más y podrá instalar servicios de función adicionales para
IIS. Los servicios de función requeridos ya están seleccionados, por lo que
sólo debe hacer clic en Siguiente y después en Instalar para implementar
los servicios de función requeridos. Cuando el proceso termine, haga clic en
Cerrar.
Preparación del servidor
Deberá preparar el servidor antes de instalar Forefront TMG. Empiece con
la instalación de todas las revisiones más recientes de Windows Server en
el servidor. Esto es importante; Forefront no se instaló correctamente
cuando omití sin darme cuenta este paso. Una vez que el servidor esté
actualizado, inserte los medios de instalación de Forefront TMG 2010.
Cuando Windows muestre la pantalla de presentación de Forefront, haga
clic en el vínculo Run Preparation Tool (Ejecutar herramienta de
preparación). Cuando lo haga, Windows iniciará el asistente Forefront TMG
Preparation Tool (Herramienta de preparación de Forefront TMG).
Omita la pantalla de bienvenida del asistente y se le pedirá que acepte el
contrato de licencia. Verá la pantalla que se muestra en la ilustración 1, que
le pregunta el tipo de instalación de Forefront que realizará. Elija la opción
Forefront TMG Services and Management (Servicios y administración de
Forefront TMG) y haga clic en Siguiente.
Ilustración 1 Elija la opción ForeFront TMG Services and Management para
la instalación
Windows ahora instalará todas las funciones y características necesarias.
Cuando el proceso termine, asegúrese de que la casilla Launch Forefront
TMG Installation Wizard (Iniciar asistente de instalación de Forefront
TMG) esté activada y haga clic en Finalizar.
Instalación de Forefront TMG
A continuación, Windows iniciará el asistente Forefront TMG Enterprise
Installation (Instalación empresarial de Forefront TMG). Después de la
pantalla de bienvenida y de aceptar el contrato de licencia, haga clic en
Siguiente una vez más y deberá proporcionar la clave de producto. Haga clic
en Siguiente una vez más y el asistente le pedirá que confirme la ruta de
instalación. Suponiendo que todo esté bien, haga clic en Siguiente para ir a
la pantalla Define Internal Network (Definir red interna). Forefront TMG
está diseñado para implementación en el perímetro de la red, por lo que
necesita conocer las direcciones IP incluidas en su red interna. Puede
proporcionar su intervalo de direcciones interno haciendo clic en el botón
Agregar. En este punto, se lo dirigirá al cuadro de diálogo Direcciones. Haga
clic en el botón Add Adapters (Agregar adaptadores) y elija el adaptador
conectado a su red interna, como se muestra en lailustración 2. Si el
adaptador usa una dirección IP dinámica, puede que deba volver al cuadro de
diálogo Direcciones y especificar su intervalo de direcciones manualmente.
Ilustración 2 Elija el adaptador conectado a su red interna
Cuando haya especificado su adaptador y todos los intervalos de direcciones
IP internos, haga clic en Siguiente. Puede que vea un mensaje de
advertencia que le indica que reinicie algunos de sus servicios. Si lo ve, sólo
haga clic en Siguiente una vez más. En este punto, puede que vea un mensaje
que le indica que se está habilitando la administración remota desde su
dirección IP. Si ve dicho mensaje en ese momento, asegúrese de anotar la
dirección IP antes de hacer clic en Siguiente. Ahora debe ver un mensaje
que le indica que está listo para instalar Forefront. Haga clic en el botón
Instalar, y comenzará el proceso de instalación. Como puede ver en la
ilustración 2, el asistente le indica el tiempo calculado que tardará la
instalación.
Configuración de Forefront TMG
Ahora que ha instalado Forefront TMG, abra la consola Forefront TMG
Management y seleccione el nodo superior en el árbol de consola. Haga clic
en el vínculo Launch Getting Started Wizard (Iniciar asistente de
introducción), ubicado en el panel Acciones. Cuando lo haga, Forefront
iniciará el asistente de introducción, como se muestra en la ilustración 3.
Ilustración 3 Getting Started Wizard (Asistente de introducción) lo guía a
través del proceso de configuración.
Haga clic en el botón Configure Network Settings (Configurar las opciones
de red) para comenzar el proceso de configuración, como se muestra en la
ilustración 3. Con esta acción se iniciará el Asistente para configuración de
red. Omita la pantalla de bienvenida del asistente y pasará a una pantalla
que le pedirá que elija la plantilla de red que mejor representen su
topología. Dado que va a configurar el servidor de Forefront para que
proporcione protección en el perímetro, seleccione Firewall perimetral como
se muestra en la ilustración 4.
Ilustración 4 Seleccione la opción Firewall perimetral.
Se le pedirá que seleccione el adaptador de red conectado a su red interna.
Esto también le permite especificar rutas adicionales, pero hacer esto rara
vez es necesario en un entorno de grupo de trabajo. Después de realizar la
selección, haga clic en Siguiente y verá una pantalla que le pedirá que elija el
adaptador de red conectado a Internet. Realice su selección y haga clic en
Siguiente y, a continuación, en Finalizar.
Configuración de los valores del sistema
Ahora es momento de configurar los valores del sistema. Haga clic en el
botón Configure System Settings (Configurar los valores del sistema) que
se muestra en la ilustración 3. Cuando lo haga, Windows iniciará System
Configuration Wizard (Asistente para configuración del sistema). Omita la
pantalla de bienvenida del asistente y verá una pantalla similar a la que se
muestra en lailustración 5. En un entorno de dominio, debe proporcionar un
nombre de dominio y un sufijo DNS. Dado que estamos configurando
Forefront en un grupo de trabajo, no necesitamos hacer nada. Haga clic en
Siguiente y después en Finalizar para completar la configuración del
sistema.
Ilustración 5 Compruebe que Forefront esté configurado para una
implementación de grupo de trabajo.
Definir opciones de implementación
El último paso en el proceso de configuración es la definición de las opciones
de implementación. Haga clic en el botón Define Deployment Options
(Definir opciones de implementación) que se muestra en la ilustración 3.
Cuando Windows inicie el Asistente para implementación, haga clic en
Siguiente para omitir la pantalla de bienvenida. A continuación, se le
preguntará si desea usar Microsoft Update para comprobar si existen
actualizaciones de antivirus. Es muy recomendable elegir Sí. Haga clic en
Siguiente y pasará a la pantalla que se muestra en la ilustración 6.
Ilustración 6 Activar la licencia gratuita y habilitar la inspección de
malware.
Como se puede ver en la ilustración 6, debe activar su licencia de Forefront.
Habilite el Network Inspection System (Sistema de inspección de redes),
que buscará código malintencionado en el nivel de paquetes HTTP/HTTPS.
También debe activar la casilla Enable Malware Inspection (Habilitar
inspección de Malware); también puede habilitar el filtrado de URL si lo
desea. Deberá configurar una opción para controlar la frecuencia con la que
Forefront busca actualizaciones de antivirus. De manera predeterminada, la
actualización revisará cada 15 minutos. También puede configurar una
notificación si las revisiones de la actualización fallan durante un tiempo
prolongado. A continuación, el asistente le preguntará si desea participar en
el Programa para la mejora de la experiencia del usuario de Microsoft.
Realice su selección, haga clic en Siguiente y después en Finalizar para
terminar el proceso de configuración. Haga clic en cerrar para cerrar
Getting Started Wizard (Asistente de introducción).
Windows ahora iniciará automáticamente el Asistente para directivas de
acceso web. Este asistente permite controlar los tipos de filtrado web que
realiza Forefront. Haga clic en Siguiente para omitir la pantalla de
bienvenida y verá una pantalla que le preguntará si desea crear una regla
predeterminada que bloquee posibles URL malintencionados. Haga clic en Sí
y, a continuación, en Siguiente.
En este punto, verá una pantalla que le preguntará acerca de los tipos de
sitios web a los cuales desearía bloquear el acceso. Por ejemplo, puede
bloquear el acceso a sitios que contengan lenguaje inflamatorio o cualquier
cosa obscena. La lista de contenido bloqueado se llena automáticamente,
pero puede ajustarla según sea necesario.
A continuación, el asistente le preguntará si desea aplicar reglas de
inspección de malware a las directivas de acceso web. Se recomienda elegir
Sí, al igual que activar la casilla, para bloquear archivos ZIP cifrados que
puedan contener archivos malintencionados. Se le preguntará si desea que
los usuarios usen sesiones HTTP de SSL cifrado (HTTPS). Se recomienda
inspeccionar el contenido de HTTPS, pero las precauciones de Forefront
que hacen esto podrían tener consecuencias legales. Considere su decisión
cuidadosamente. Si elige inspecciones HTTPS, se le preguntará si desea o
no notificar al usuario de dichas inspecciones. También se informará que se
requiere un certificado para el proceso de inspección. Puede hacer que
Forefront genere un certificado autofirmado o usar un certificado
personalizado. El uso de un certificado autofirmado ni siquiera es una opción
en un entorno de grupo de trabajo, por lo que deberá elegir la opción
Certificado personalizado. A continuación, deberá proporcionar el nombre
de su entidad de certificación. Éste es el nombre descriptivo que definió
cuando creó la entidad de certificación, no necesariamente el nombre del
equipo del servidor.
Por último, verá una pantalla que indica que deberá exportar e implementar
manualmente el certificado. Proporcione una carpeta de destino en el
asistente, en la cual se pueda descargar el certificado, y haga clic en
Siguiente. Cuando se le pida, habilite la regla Almacenamiento en caché de
Web para finalizar el proceso. Este procedimiento instala Forefront TMG
de manera tal que puede hacer que inspeccione paquetes HTTP/HTTPS
cuando pasan por el perímetro de la red. Tenga en cuenta, sin embargo, que
Forefront TMG ofrece muchas características adicionales, como la
capacidad de inspeccionar mensajes de correo electrónico. Ésta es una
implementación más simple, adecuada para proteger grupos de trabajo.
