Publicación de aplicaciones &

TSGateway

Juan GarridoConsultor Seguridad y Sistemashttp://windowstips.wordpress.com http://www.informatica64.com

Agenda Introducción Aplicaciones Remotas Acceso a aplicaciones

TS Web Access RDP MSI

TSGateway Problemática de nuestros clientes y partners Rol Gateway Autenticación Integración con TS Web Access

OficinaCasera

• Proporciona acceso corporativo a aplicaciones y datos vía una pagina

Web segura.• Mejora la productividad y

flexibilidad del empleado

Oficinacorporativa

• Gestión de aplicaciones simplificada (actualizaciones solo en el servidor)

• Mas fácil de cumplir con las regulaciones de seguridad en datos

(sin datos en local)

OficinaRemota

• Integración de las aplicaciones remotas en el escritorio local mejora la

productividad• Menos gestión de datos y aplicaciones

en la oficina remota

Presentation

Virtualization with

Terminal Services

• Aeropuerto.– Acceso sencillo y seguro sin problemas de VPN vía una Web

Segura

En Cualquier

Parte

Terminal Services en Windows Server 2008

Mejorar la seguridad y la agilidad

Servicios de Terminal en W2K8El nuevo desarrollo de TS en W2k8 se ha focalizado en 2 áreas claves1. Mejorar la plataforma y permitir el valor añadido

de los partners2. Mejorar la experiencia a los escenarios menos

complejos• Re-factorización del núcleo

• Expansión de interfaces WMI• Gestión mejorada

• Framwork para la redirección de dispositivos PnPPlataforma • TS Remote App™

• TS Gateway• TS Web Access• TS Easy Print• TS Session BrokerFuncionalidades

TS Server

TS Session Broker

TS License Server

TS Web Access

Load Balancer

TS Server

TS RemoteApps MMC

Publish fichero RDP al paquete

MSI

Active Directory

.

Iniciar “RemoteApps “ desde el menu de

inicio o el escritorio

Iniciar “RemoteApps”

desde una página Web

Publicar fichero RDP al Servidor TS

Obtener fichero RDP

TS Gateway

(RDP+SSL) +(RPC+HTTPS) (443)

RDP+SSL (3389)

Forzado de Políticas de

Accesos Remoto

Resumen de Sub-Roles TS en Windows Server 2008

MSI con fichero RDP empujado al escritorio

ActiveX

• La consola “RemoteApp” se usa para hacer que las aplicaciones estén disponibles

• También se usa para que las aplicaciones estén disponibles vía “TS Web Access” (Acceso Web”

Terminal Services RemoteApp™

Terminal Server

• Aplicaciones Remotas integradas en el equipo local

• Configuración centralizada del servidor de terminales desde la consola

• Parece que los programas se ejecutan en local

• Solo soportado con el Cliente Remoto V6

Requiere el cliente de

acceso remoto

Ventajas

Despliegue de aplicaciones sencillo y rápido Gestión Central de aplicaciones de Negocio. Despliegue ligero de aplicaciones de trabajo

intensivo con datos Acceso desde cualquier parte a los programas Planificación en etapas de la actualización de

aplicaciones Consolidación de aplicaciones Se integra con los programas locales

Arrastrar y Soltar (Beta 3) Integración con al bandeja del Sistema Dispositivos Locales y Ficheros Disponibles

Instalación y configuración Instalar el Role con el Server

Manager Instalar las aplicaciones

Si la aplicación NO se instala con un paquete de instalación de Windows1. change user /install 2. Instalar aplicación 3. change user /execute

Realizar configuraciones globales del servidor

Añadir programas a la lista para publicarlos

DEMO

Instalar TS Remote Apps

Remote Apps

TS Web Access Publicación o despliegue de aplicaciones

a través de una pagina Web.

TS Web Access Requiere que IIS este instalado en el

equipo Solo es una página WEB, NO

proporciona ningún tipo de canal de comunicaciones como en el caso de TS Gateway

El cliente ha de ser Vista SP1 o W2K8 Finalmente desde la RC0:

Ya NO admite dos tipos de despliegue Despliegue Sencillo Despliegue mediante Directorio Activo

No se puede personalizar en función del usuario.

Publicación de aplicaciones Puede ser mediante paquetes RDP o

MSI RDP es simplemente un fichero con los

parámetros de conexión MSI es un mínimo paquete de

instalación del RDP Se pueden publicar simplemente

compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos

El AD es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

DEMO

1. Publicación con TS Web Access2. Generación e instalación RDP3. Generación y publicación MSI4. Certificar RDP

Acceso a las aplicaciones

TS Web Access vs TS Gateway• TS Web Access proporcinal una interface web

sencilla para lanzar aplicaciones• TS Web Access NO proporciona el tunel de

transporte RDP.

1

2

3

4

Mensajeria: Email y IM

Sitios Web Intranet/Aplicaciones

Aplicaciones de Servicios Web

Ficheros y Documentos

A

B

“Quiero proporcionar a mis empleados, socios de negocio, y clientes acceceso seguro…”

PC Gestionado

PC no Gestionado

…desde___________…a ___________

C Otro sistema Aplicaciones de negsocio

Cliente/Servidor

5

Acceso Offline

Mucho ancho de bandaX

Z

Poco ancho de bandaY

…Tipo de red___________

Enunciado del Problema

Solucionado con TS Gateway Reduce el despliegue en cliente y los costos

de gestión Proporciona acceso desde mas sitios Mayor control y seguridad a los

administradores

Dispositivos Gestionados Dispositivos No Gestionados

Tipo de Dispositivo de Acceso

Nivel de Accesode Red

Ilimitado. Acceso total a

la Red

PPTP o L2TP/IPSec

IP sobre SSL

PC Corporativo PC Casero PC Partner Kiosk

Outlook - RPC/HTTPS

Solo para NavegadoresHTTP-Proxy

No-Client-State

Client State

Acceso limitado con

control granular

TS+TS Gateway

Comparativa de Soluciones

Mejoras frente a soluciones VPN

Los usuarios pueden acceder a las aplicaciones corporativas y los equipos corporativos desde el navegador de Internet

Amistoso con equipos de Casa Cruza firewalls y NATs (w/ HTTPS:443) Control de acceso granular en el perímetro Políticas de Autorización de Conexión Políticas de Autorización a Recursos (RAP)

TS Gateway Remote AccessDMZInternet Red

InternaTerminal

Server

Hotel F

irew

all E

xter

no

Fire

wal

l Int

erno

Casa

Business Partner/Client Site

Other RDPHosts

TerminalServer

Internet

Terminal Services

Gateway Server Network Policy Server

Active Directory DC

Tunel RDP sobre

RPC/HTTPS

Pasa tráfico RDP/SSL al

TS

Deshace el RPC/HTTPS

TS Gateway Con TS Web Access El host RDP se puede situar tras un

Firewall HTTP/S se usa para atravesar el

Firewall Se chequean AD / ISA / NAP antes de

permitir la conexión El escritorio y las aplicaciones no se

ejecutan dentro de IE

AD / IAS / NAP

El Usuario navega a TS Web Access

El usuario inicia la conexión HTTPS al TS Gateway

Terminal Servers o XP /

Vista

TS Gateway

TS Web

AccessIntern

etDMZ Red Interna

Network

RDP Sobre HTTP/S se establece a TSG RDP 3389 a host

Chequeo AD / IAS / NAP

Cliente (TS) Vista

RDC

Seguridad Fuerte Autenticación mediante contraseña o

smartcards Usa cifrado estándar de la industria

(SSL, HTTPS) El tráfico RDP sigue cifrado de

extremo a extremo desde el cliente al servidor

La salud del equipo cliente se puede chequear mediante NAP

Se puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZ

DespliegueInstalación

1. Instalar el Role TS Gateway2. Obtener un Certificado para el Servidor

TS Gateway3. Configurar el Certificado en IIS4. Crear una política de acceso de clientes

(CAP)5. Crear una política de acceso a equipos

(RAP)6. Limitar el numero de conexiones por el TS

Gateway (Opcional)7. Monitorizar las conexiones por el TS

Gateway

DEMO

Instalación y configuración

TS Gateway

Planificación para Despliegue

Se debe desplegar un servidor de licencias de TS 2008 TS solo funcionara durante 180 días sin no se activa el SL El SL 2008 puede usarse con servidores de terminal 2003 y sus

claves Hay que instalar las licencias antes de 90 días en cualquier SL Claves de Prueba se pueden conseguir para B3 en

http://licensecode.one.microsoft.com Las licencias de los dispositivos son tracedas y obligadas

Actualizar el SL y el TS antes de los 180 días / 90 días en que expira.

Las conexiones fallarán si se usan licencias de dispositivos

Las licencias de los usuarios son traceadas Se permitirán las conexiones aun después de los 180 /

90 días Un informe indicara que se esta fuera de plazo

Licenciamiento

Actualizar y obtener claves RTM cuando este disponible

Planificación para Despliegue

• Facil de configurar• Requiere que se instale el certificado en el clienteAuto Firmado

• Se debe de comprar• Los certificados “Comodín” se pueden usar para

todos los roles de TS• No hay que instalarlo en el cliente

De un Tercero (ejem. Verisign)

• Complejo de configurar ( A no ser que ya se tenga un “Certificate Server)

• La instalación en cliente se puede automatizar en los clientes gestionados

Certificate Server

Elegir los certificados

Recuerda que el nombre del certificado ha de coincidir con el servidor:

• El certificado del Gateway ha de coincidir con el nombre externo de la máquina

• Los certificados de acceso Web tienen que coincidir con el nombre externo del sitio cuando se usa HTTPS – considerar el uso de HTTP internamente

• Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro certificado)

• Los certificados comodín pueden usarse para simplificar , pero ojo con los riesgos.

Planificación para el despliegue

Clientes El cliente viene de serie en Windows Vista

Necesaria la actualización del cliente XP http://www.microsoft.com/downloads/details.as

px?FamilyID=26f11f0c-0d18-4306-abcf-d4f18c8f5df9&DisplayLang=en

Para Mac http://www.microsoft.com/mac/downloads.aspx?

pid=download&location=/mac/download/MISC/RDC2.0_Public_Beta_download.xml

En todos los casos es necesario que el cliente confíe en el certificado del TS Gateway, cualquiera que sea este

Recursos Guía paso a paso TS Remote App http://www.microsoft.com/downloads/details.aspx

?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en

Technical Library http://technet2.microsoft.com/windowsserver200

8/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true

Terminal Server Blog http://blogs.msdn.com/ts/default.aspx

Foro http://forums.microsoft.com/TechNet/ShowForum.

aspx?ForumID=580&SiteID=17

Recursos Guía paso a paso TS Gateway

http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en

Technical Library http://technet2.microsoft.com/windowsserver200

8/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true

Terminal Server Blog http://blogs.msdn.com/ts/default.aspx

Foro http://forums.microsoft.com/TechNet/ShowForum.

aspx?ForumID=580&SiteID=17

http://Windowstips.wordpress.com

TechNews de Informática 64

Suscripción gratuita en technews@informatica64.com

Más acciones desde TechNet

Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:

http://www.microsoft.es/technet/jornadas/webcasts/webcasts_ant.asp

Para información y registro de Futuros Webcast de éste y otros temas diríjase a:

http://www.microsoft.es/technet/jornadas/webcasts/default.asp

Para mantenerse informado sobre todos los Eventos, Seminarios y webcast

suscríbase a nuestro boletín TechNet Flash en ésta dirección:

http://www.microsoft.es/technet/boletines/default.mspx

Descubra los mejores vídeos para TI gratis y a un solo clic:

http://www.microsoft.es/technet/itsshowtime/default.aspx

Para acceder a toda la información, betas, actualizaciones, recursos, puede

suscribirse a Nuestra Suscripción TechNet en:

http://www.microsoft.es/technet/recursos/cd/default.mspx