Microsoft Proxy Server ISA Server 2000

Anuncio
Documenta la relación de productos que tiene y ha tenido Microsoft en relación a
servidores “Proxy”. ¿Qué función tiene actualmente Microsoft Forefront TMG Treat
Management Gateway?. Describe su instalación y configuración.
Microsoft Proxy Server
El Microsoft Forefront Threat Management Gateway línea de productos se originó con
Microsoft Proxy Server . Desarrollado bajo el nombre código de "Catapult", Microsoft Proxy
Server 1.0 se lanzó por primera vez en enero de 1997, y fue diseñado para ejecutarse en
Windows NT 4.0 . Microsoft Proxy Server v1.0 es un producto de base diseñado para
proporcionar acceso a Internet para los clientes en un entorno de LAN a través de TCP / IP .
También se prestó apoyo para IPX / SPX de redes (utilizado principalmente en el legado de
Novell NetWare ambientes), a través de un WinSock traducción de cliente / túnel que permitía
a las aplicaciones TCP / IP, tales como los navegadores web, para operar de manera
transparente sin ningún tipo de protocolo TCP / IP en el alambre. Aunque bien integrado en
Windows NT4, Microsoft Proxy Server v1.0 sólo tenía una funcionalidad básica, y se produjo en
una sola edición. El soporte extendido para Microsoft Proxy Server v1.0 finalizó el 31 de marzo
de 2002.
Microsoft Proxy Server v2.0 se lanzó en diciembre de 1997, y buscando una mayor integración
de la cuenta de NT, la mejora de filtrado de paquetes de apoyo y soporte para una amplia
gama de protocolos de red . Microsoft Proxy Server v2.0 salido de la fase de soporte extendido
y llegó a final de la vida el 31 de diciembre de 2004.
ISA Server 2000
El 18 de marzo de 2001, Microsoft lanzó Microsoft Internet Security and Acceleration Server
2000 (ISA Server 2000) . ISA Server 2000 introdujo los estándares y la Empresa ediciones, con
la funcionalidad de nivel empresarial tales como alta disponibilidad de clústeres no está
incluido en la edición estándar . ISA Server 2000 requiere Windows 2000 (cualquier edición), y
también se pueden ejecutar en Windows Server 2003 . De conformidad con el soporte técnico
de Microsoft de la política del ciclo de vida, ISA Server 2000 fue el primer producto de ISA
Server para que utilice el ciclo de vida de soporte de 10 años con 5 años de Mainstream apoyo
y cinco años de extendido de soporte. ISA Server 2000 llegó a final de la vida el 12 de abril de
2011.
ISA Server 2004
Microsoft para servidores de Internet Security and Acceleration 2004 (ISA Server 2004) salió el
8 de septiembre de 2004. ISA Server 2004 introduce una serie de múltiples redes de apoyo
aclaración necesaria , virtual integrada de configuración de red privada, el usuario de
autenticación extensible y modelos, la capa de aplicación firewall de apoyo, de Active
Directory de integración, SecureNAT aclaración necesaria , y mejorar la presentación de
informes y funciones de administración. Las reglas de configuración de la base también se han
simplificado considerablemente en la versión de ISA Server 2000.
ISA Server 2004 Enterprise Edition incluye soporte matriz, integrado Network Load Balancing
(NLB), y Cache Array Routing Protocol(CARP). Una de las principales capacidades de ISA Server
2004, Edición llamado servidor seguro, era su capacidad para exponer de forma segura sus
servidores internos a Internet. Por ejemplo, algunas organizaciones utilizan ISA Server 2004
para publicar su Microsoft Exchange Server servicios como Outlook Web Access (OWA),
Outlook Mobile Access (OMA) o ActiveSync . Uso de la autenticación basada en formularios (
FBA tipo de autenticación), ISA Server puede ser utilizado para autenticar a los clientes pre-
Luis Alfonso Sánchez Brazales
web, de manera que el tráfico de clientes no autenticados a los servidores publicados no está
permitido.
ISA Server 2004 está disponible en dos ediciones, Standard y Enterprise. Enterprise Edition
incluye funciones que permiten las políticas que se configuran en un nivel de matriz, en lugar
de individuales servidores ISA, y balanceo de carga a través de múltiples servidores ISA. Cada
edición de ISA Server se licencia por procesador. (La versión incluida en Windows Small
Business Server 2000/2003 de Premium incluye licencias para 2 procesadores).
ISA Server 2004 se ejecuta en Windows Server 2003 Standard o Enterprise Edition. Hardware
del dispositivo que contiene Windows Server 2003 Appliance Edition e ISA Server Standard
Edition está disponible en una variedad de socios de Microsoft.
ISA Server 2006
Microsoft para servidores de Internet Security and Acceleration 2006 (ISA Server 2006) fue
lanzado el 17 de octubre de 2006. 12 Se trata de una versión actualizada de ISA Server 2004, y
conserva todas las características de ISA Server 2004, excepto Message Screener.
ISA Server Appliance Edition
Microsoft también ofrece ISA Server 2006 Appliance Edition, un software diseñado para ser
pre-instalado en un hardware OEM que se vende por el fabricante de hardware como un solo
tipo de dispositivo de servidor de seguridad.
Microsoft Forefront TMG MBE
Microsoft Forefront Threat Management Gateway medio Business Edition (Forefront TMG
MBE) es la próxima versión de ISA Server, que también se incluye con Windows Essential
Business Server . Esta versión sólo se ejecuta en la edición de 64 bits de Windows Server 2008
y no soporta características Enterpise edición como el apoyo de matriz o política de empresa.
Microsoft Forefront TMG 2010
Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) fue lanzado el
17 de noviembre de 2009. Se construye sobre la base de ISA Server 2006 y proporciona una
protección Web mejorada, soporte nativo de 64 bits, soporte para Windows Server 2008 y de
Windows Server 2008 R2 , la protección contra malware y BITS almacenamiento en caché.
Service Pack 1 para este producto fue lanzado el 23 de junio de 2010. Se incluye varias nuevas
características para apoyar a Windows Server 2008 R2 y Microsoft SharePoint 2010 líneas de
productos. Service Pack dos para este producto fue lanzado el 10 de octubre de 2011.
¿Qué función tiene actualmente Microsoft Forefront TMG Treat
Managment Gateway?
Microsoft Forefront Threat Management Gateway (Forefront TMG) , anteriormente conocido
como Microsoft Internet Security and Acceleration Server (ISA Server) , es una seguridad de
red y solución de protección de Microsoft Windows , descrita por Microsoft como " permite a
las empresas, al permitir a los empleados a utilizar de manera segura y productiva Internet
para los negocios sin la preocupación de malware y otras amenazas.
Microsoft diseñó Forefront para implementarlo en un dominio de Windows. Aunque se puede
usar en el contexto de un grupo de trabajo empresarial, existen algunas limitaciones menores
que normalmente no se encontrarían en un entorno de dominio.
Luis Alfonso Sánchez Brazales
Por ejemplo, si se va a implementar Forefront en un entorno de grupo de trabajo, no se podrá
usar la detección de proxy web automática. De manera similar, sin un dominio de Active
Directory, no es posible configurar Forefront mediante directiva de grupo. En su lugar, se
deben usar directivas de seguridad locales en cada máquina individual que ejecute Forefront.
Otras limitaciones exigen una consideración más cuidadosa. Por ejemplo, los equipos que
ejecutan Forefront TMG Standard generalmente están unidos a Enterprise Management
Server. Sin embargo, no es posible realizar la replicación Enterprise Management Server en un
entorno de grupo de trabajo.
A menudo en las organizaciones el tratamiento de cada departamento o rol de empresa, en lo
concerniente al acceso a Internet, presenta unas peculiaridades que hacen necesario aplicar
excepciones a las condiciones generales. Así por necesidad determinadas áreas como la de
seguridad necesitarán tener acceso a web maliciosas para la realización de pruebas o la
descarga de aplicaciones con la que realizar determinados test. En otras circunstancias roles o
usuarios VIP podrían solicitar condiciones particulares para el acceso a determinadas web
como pueden ser las de Poker Online.
La características aportadas por MS Forefront TMG ofrece dos opciones para garantizar el
acceso. Permite el establecimiento de filtrados por categorización de URLs o haciendo uso del
objeto gestionado conjunto de URL, de tal forma que estas pueden integrarse en las reglas del
firewall para permitir o denegar el acceso en función de dichas características. Tomando como
ejemplo vínculos a Juegos de Poker, se podrían establecer condiciones para que determinados
usuarios de la organización tuvieran acceso a las mismas, mientras que el resto no.
En el caso del servicio de reputación de Microsoft (MSR), estas web se encuentran
categorizada como de Apuestas. Por lo tanto para hacer factible el acceso a determinados
usuarios, sería necesario la creación de una regla de acceso haciendo factible el acceso a los
usuarios correspondientes a dicha categoría tal y como se muestra en la siguiente imagen.
INSTALACIÓN Y CONFIGURACIÓN
Entidad de certificación
Uno de los mayores requisitos para instalar Forefront en un entorno de grupo de trabajo es
que se debe tener instalado un certificado de servidor en el servidor de Forefront TMG. Dado
que este certificado sólo se usará internamente, Microsoft recomienda la creación de una
entidad de certificación empresarial propia como forma de evitar los costos asociados con la
compra de un certificado comercial.
Windows Server tiene todo lo necesario para su configuración como entidad de certificación.
Dada la naturaleza confidencial de los certificados de servidor, sin embargo, se deben
implementar servicios de certificado en un servidor distinto del que actuará como puerta de
enlace de Forefront en el perímetro de la red.
Una vez que haya elegido un servidor para que actúe como entidad de certificación, abra
Administrador del servidor. Vaya al contenedor Funciones y haga clic en el vínculo Agregar
funciones. Windows iniciará el asistente Agregar funciones. Omita la pantalla de bienvenida
del asistente y pasará a otra pantalla que le pedirá que elija las funciones que desea instalar.
Elija la función Servicios de certificados de Active Directory y haga clic en Siguiente. Verá un
mensaje de advertencia que le dirá que, una vez que instale los servicios de certificado de
Active Directory, no podrá cambiar el nombre ni el estado de dominio del servidor.
Luis Alfonso Sánchez Brazales
Se le pedirá que elija los servicios de la función que desea a implementar. Elija los servicios de
Entidad de certificación e Inscripción web de entidad de certificación y haga clic en Siguiente.
En este punto, Windows le preguntará si desea implementar una entidad de certificación
independiente o empresarial. Dado que está realizando la configuración para un entorno de
grupo de trabajo, elija la opción Independiente. Haga clic en Siguiente, y se le pedirá que elija
el tipo de Entidad de certificación. Dado que ésta es la primera entidad de certificación de la
organización, elija la opción CA raíz y haga clic en Siguiente.
El asistente, a continuación, le preguntará si desea crear una clave privada nueva o usar una
clave privada existente. Cree una nueva clave privada y haga clic en Siguiente.
Cuando Windows muestre la pantalla Criptografía del asistente, haga clic en Siguiente para
aceptar los valores predeterminados. A continuación, se le pedirá que proporcione un nombre
común para la Entidad de certificación. Escriba un nombre a su elección y anótelo. Más
adelante necesitará conocer este nombre cuando implemente Forefront.
Se le pedirá que seleccione un período de validez del certificado. Haga clic en Siguiente para
aceptar los valores predeterminados. A continuación, el asistente le pedirá que especifique la
ubicación de la base de datos del certificado. Use cualquier ubicación que desee, pero debe
asegurarse de hacer copias de seguridad de cualquier ubicación que elija.
A continuación, el asistente mostrará una introducción a IIS. Haga clic en Siguiente una vez
más y podrá instalar servicios de función adicionales para IIS. Los servicios de función
requeridos ya están seleccionados, por lo que sólo debe hacer clic en Siguiente y después en
Instalar para implementar los servicios de función requeridos. Cuando el proceso termine,
haga clic en Cerrar.
Preparación del servidor
Deberá preparar el servidor antes de instalar Forefront TMG. Empiece con la instalación de
todas las revisiones más recientes de Windows Server en el servidor. Esto es importante;
Forefront no se instaló correctamente cuando omití sin darme cuenta este paso.
Una vez que el servidor esté actualizado, inserte los medios de instalación de Forefront TMG
2010. Cuando Windows muestre la pantalla de presentación de Forefront, haga clic en el
vínculo Run Preparation Tool (Ejecutar herramienta de preparación). Cuando lo haga, Windows
iniciará el asistente Forefront TMG Preparation Tool (Herramienta de preparación de Forefront
TMG).
Omita la pantalla de bienvenida del asistente y se le pedirá que acepte el contrato de licencia.
Verá la pantalla que se muestra en la ilustración 1, que le pregunta el tipo de instalación de
Forefront que realizará. Elija la opción Forefront TMG Services and Management (Servicios y
administración de Forefront TMG) y haga clic en Siguiente.
Luis Alfonso Sánchez Brazales
Windows ahora instalará todas las funciones y características necesarias. Cuando el proceso
termine, asegúrese de que la casilla Launch Forefront TMG Installation Wizard (Iniciar
asistente de instalación de Forefront TMG) esté activada y haga clic en Finalizar.
Instalación de Forefront TMG
A continuación, Windows iniciará el asistente Forefront TMG Enterprise Installation
(Instalación empresarial de Forefront TMG). Después de la pantalla de bienvenida y de aceptar
el contrato de licencia, haga clic en Siguiente una vez más y deberá proporcionar la clave de
producto. Haga clic en Siguiente una vez más y el asistente le pedirá que confirme la ruta de
instalación. Suponiendo que todo esté bien, haga clic en Siguiente para ir a la pantalla Define
Internal Network (Definir red interna).
Forefront TMG está diseñado para implementación en el perímetro de la red, por lo que
necesita conocer las direcciones IP incluidas en su red interna. Puede proporcionar su intervalo
de direcciones interno haciendo clic en el botón Agregar.
En este punto, se lo dirigirá al cuadro de diálogo Direcciones. Haga clic en el botón Add
Adapters (Agregar adaptadores) y elija el adaptador conectado a su red interna, como se
muestra en lailustración 2. Si el adaptador usa una dirección IP dinámica, puede que deba
volver al cuadro de diálogo Direcciones y especificar su intervalo de direcciones manualmente.
Luis Alfonso Sánchez Brazales
Cuando haya especificado su adaptador y todos los intervalos de direcciones IP internos, haga
clic en Siguiente. Puede que vea un mensaje de advertencia que le indica que reinicie algunos
de sus servicios. Si lo ve, sólo haga clic en Siguiente una vez más.
En este punto, puede que vea un mensaje que le indica que se está habilitando la
administración remota desde su dirección IP. Si ve dicho mensaje en ese momento, asegúrese
de anotar la dirección IP antes de hacer clic en Siguiente.
Ahora debe ver un mensaje que le indica que está listo para instalar Forefront. Haga clic en el
botón Instalar, y comenzará el proceso de instalación. Como puede ver en la ilustración 2, el
asistente le indica el tiempo calculado que tardará la instalación. Cuando el proceso de
instalación termine, haga clic en
Configuración de Forefront TMG
Ahora que ha instalado Forefront TMG, abra la consola Forefront TMG Management y
seleccione el nodo superior en el árbol de consola. Haga clic en el vínculo Launch Getting
Started Wizard (Iniciar asistente de introducción), ubicado en el panel Acciones. Cuando lo
haga, Forefront iniciará el asistente de introducción, como se muestra en la ilustración 3.
Luis Alfonso Sánchez Brazales
Haga clic en el botón Configure Network Settings (Configurar las opciones de red) para
comenzar el proceso de configuración, como se muestra en la ilustración 3. Con esta acción se
iniciará el Asistente para configuración de red. Omita la pantalla de bienvenida del asistente y
pasará a una pantalla que le pedirá que elija la plantilla de red que mejor representen su
topología. Dado que va a configurar el servidor de Forefront para que proporcione protección
en el perímetro, seleccione Firewall perimetral como se muestra en la ilustración 4.
Luis Alfonso Sánchez Brazales
Se le pedirá que seleccione el adaptador de red conectado a su red interna. Esto también le
permite especificar rutas adicionales, pero hacer esto rara vez es necesario en un entorno de
grupo de trabajo.
Después de realizar la selección, haga clic en Siguiente y verá una pantalla que le pedirá que
elija el adaptador de red conectado a Internet. Realice su selección y haga clic en Siguiente y, a
continuación, en Finalizar.
Configuración de los valores del sistema
Ahora es momento de configurar los valores del sistema. Haga clic en el botón Configure
System Settings (Configurar los valores del sistema) que se muestra en la ilustración 3. Cuando
lo haga, Windows iniciará System Configuration Wizard (Asistente para configuración del
sistema).
Omita la pantalla de bienvenida del asistente y verá una pantalla similar a la que se muestra en
lailustración 5. En un entorno de dominio, debe proporcionar un nombre de dominio y un
sufijo DNS. Dado que estamos configurando Forefront en un grupo de trabajo, no necesitamos
hacer nada. Haga clic en Siguiente y después en Finalizar para completar la configuración del
sistema.
Luis Alfonso Sánchez Brazales
Definir opciones de implementación
El último paso en el proceso de configuración es la definición de las opciones de
implementación. Haga clic en el botón Define Deployment Options (Definir opciones de
implementación) que se muestra en la ilustración 3. Cuando Windows inicie el Asistente para
implementación, haga clic en Siguiente para omitir la pantalla de bienvenida.
A continuación, se le preguntará si desea usar Microsoft Update para comprobar si existen
actualizaciones de antivirus. Es muy recomendable elegir Sí. Haga clic en Siguiente y pasará a la
pantalla que se muestra en la ilustración 6.
Luis Alfonso Sánchez Brazales
Como se puede ver en la ilustración 6, debe activar su licencia de Forefront. Habilite el
Network Inspection System (Sistema de inspección de redes), que buscará código
malintencionado en el nivel de paquetes HTTP/HTTPS. También debe activar la casilla Enable
Malware Inspection (Habilitar inspección de Malware); también puede habilitar el filtrado de
URL si lo desea.
Deberá configurar una opción para controlar la frecuencia con la que Forefront busca
actualizaciones de antivirus. De manera predeterminada, la actualización revisará cada 15
minutos. También puede configurar una notificación si las revisiones de la actualización fallan
durante un tiempo prolongado
A continuación, el asistente le preguntará si desea participar en el Programa para la mejora de
la experiencia del usuario de Microsoft. Realice su selección, haga clic en Siguiente y después
en Finalizar para terminar el proceso de configuración. Haga clic en cerrar para cerrar Getting
Started Wizard (Asistente de introducción).
Windows ahora iniciará automáticamente el Asistente para directivas de acceso web. Este
asistente permite controlar los tipos de filtrado web que realiza Forefront. Haga clic en
Siguiente para omitir la pantalla de bienvenida y verá una pantalla que le preguntará si desea
crear una regla predeterminada que bloquee posibles URL malintencionados. Haga clic en Sí y,
a continuación, en Siguiente.
En este punto, verá una pantalla que le preguntará acerca de los tipos de sitios web a los
cuales desearía bloquear el acceso. Por ejemplo, puede bloquear el acceso a sitios que
contengan lenguaje inflamatorio o cualquier cosa obscena. La lista de contenido bloqueado se
llena automáticamente, pero puede ajustarla según sea necesario.
Luis Alfonso Sánchez Brazales
A continuación, el asistente le preguntará si desea aplicar reglas de inspección de malware a
las directivas de acceso web. Se recomienda elegir Sí, al igual que activar la casilla, para
bloquear archivos ZIP cifrados que puedan contener archivos malintencionados.
Se le preguntará si desea que los usuarios usen sesiones HTTP de SSL cifrado (HTTPS). Se
recomienda inspeccionar el contenido de HTTPS, pero las precauciones de Forefront que
hacen esto podrían tener consecuencias legales. Considere su decisión cuidadosamente.
Si elige inspecciones HTTPS, se le preguntará si desea o no notificar al usuario de dichas
inspecciones. También se informará que se requiere un certificado para el proceso de
inspección.
Puede hacer que Forefront genere un certificado autofirmado o usar un certificado
personalizado. El uso de un certificado autofirmado ni siquiera es una opción en un entorno de
grupo de trabajo, por lo que deberá elegir la opción Certificado personalizado. A continuación,
deberá proporcionar el nombre de su entidad de certificación. Éste es el nombre descriptivo
que definió cuando creó la entidad de certificación, no necesariamente el nombre del equipo
del servidor.
Por último, verá una pantalla que indica que deberá exportar e implementar manualmente el
certificado. Proporcione una carpeta de destino en el asistente, en la cual se pueda descargar
el certificado, y haga clic en Siguiente. Cuando se le pida, habilite la regla Almacenamiento en
caché de Web para finalizar el proceso.
Este procedimiento instala Forefront TMG de manera tal que puede hacer que inspeccione
paquetes HTTP/HTTPS cuando pasan por el perímetro de la red. Tenga en cuenta, sin embargo,
que Forefront TMG ofrece muchas características adicionales, como la capacidad de
inspeccionar mensajes de correo electrónico. Ésta es una implementación más simple,
adecuada para proteger grupos de trabajo.
Luis Alfonso Sánchez Brazales
Descargar