ud5 actividad 9 documenta la relación de productos que ... · microsoft proxy server ....

2011-2012

José Jiménez Arias

IES Gregorio Prieto

2011-2012

UD5 Actividad 9 Documenta la relación de productos que tiene

y ha tenido Microsoft en relación a servidores “Proxy”

UD5 Actividad 9 Documenta la relación de productos que tiene y ha tenido Microsoft en relación a servidores “Proxy”

Alumno: José Jiménez Arias Módulo: Seguridad Y Alta Disponibilidad

2011-2012

2

-Documenta la relación de productos que tiene y ha tenido Microsoft en relación a servidores “Proxy”. -¿Qué función tiene actualmente Microsoft Forefront TMG

Threat Management Gateway?.

Microsoft Forefront Threat Management Gateway línea de productos se originó con

Microsoft Proxy Server . Desarrollado bajo el nombre código de "Catapult", Microsoft

Proxy Server 1.0 se lanzó por primera vez en enero de 1997, y fue diseñado para

ejecutarse en Windows NT 4.0 . Microsoft Proxy Server v1.0 es un producto de base

diseñado para proporcionar acceso a Internet para los clientes en un entorno de LAN a

través de TCP / IP . También se prestó apoyo para IPX / SPX de redes (utilizado

principalmente en el legado de Novell NetWare ambientes), a través de un WinSock

traducción de cliente / túnel que permitía a las aplicaciones TCP / IP, tales como los

navegadores web, para operar de manera transparente sin ningún tipo de protocolo

TCP / IP en el alambre. Aunque bien integrado en Windows NT4, Microsoft Proxy

Server v1.0 sólo tenía una funcionalidad básica, y se produjo en una sola edición. El

soporte extendido para Microsoft Proxy Server v1.0 finalizó el 31 de marzo de 2002.

Microsoft Proxy Server v2.0 se lanzó en diciembre de 1997, y buscando una mayor

integración de la cuenta de NT, la mejora de filtrado de paquetes de apoyo y soporte

para una amplia gama de protocolos de red . Microsoft Proxy Server v2.0 salido de la

fase de soporte extendido y llegó a final de la vida el 31 de diciembre de 2004.

ISA Server 2000:

El 18 de marzo de 2001, Microsoft lanzó Microsoft Internet Security and Acceleration

Server 2000 (ISA Server 2000) . ISA Server 2000 introdujo los estándares y la Empresa

ediciones, con la funcionalidad de nivel empresarial tales como alta disponibilidad de

clústeres no está incluido en la edición estándar . ISA Server 2000 requiere Windows

2000 (cualquier edición), y también se pueden ejecutar en Windows Server 2003 . De

conformidad con el soporte técnico de Microsoft de la política del ciclo de vida, ISA

Server 2000 fue el primer producto de ISA Server para que utilice el ciclo de vida de

soporte de 10 años con 5 años de Mainstream apoyo y cinco años de extendido de

soporte. ISA Server 2000 llegó a final de la vida el 12 de abril de 2011.



2011-2012

3

ISA Server 2004: Microsoft para servidores de Internet Security and Acceleration 2004 (ISA Server 2004) salió el 8 de septiembre de 2004. ISA Server 2004 introduce una serie de múltiples redes de apoyo aclaración necesaria , virtual integrada de configuración de red privada, el usuario de autenticación extensible y modelos, la capa de aplicación firewall de apoyo, de Active Directory de integración, SecureNAT aclaración necesaria , y mejorar la presentación de informes y funciones de administración. Las reglas de configuración de la base también se han simplificado considerablemente en la versión de ISA Server 2000. ISA Server 2004 Enterprise Edition incluye soporte matriz, integrado Network Load

Balancing (NLB), y Cache Array Routing Protocol(CARP). Una de las principales

capacidades de ISA Server 2004, Edición llamado servidor seguro, era su capacidad

para exponer de forma segura sus servidores internos a Internet. Por ejemplo, algunas

organizaciones utilizan ISA Server 2004 para publicar su Microsoft Exchange Server

servicios como Outlook Web Access (OWA), Outlook Mobile Access (OMA) o

ActiveSync . Uso de la autenticación basada en formularios ( FBA tipo de

autenticación), ISA Server puede ser utilizado para autenticar a los clientes pre-web, de

manera que el tráfico de clientes no autenticados a los servidores publicados no está

permitido.

ISA Server 2004 está disponible en dos ediciones, Standard y Enterprise. Enterprise

Edition incluye funciones que permiten las políticas que se configuran en un nivel de

matriz, en lugar de individuales servidores ISA, y balanceo de carga a través de

múltiples servidores ISA. Cada edición de ISA Server se licencia por procesador. (La

versión incluida en Windows Small Business Server 2000/2003 de Premium incluye

licencias para 2 procesadores).

ISA Server 2004 se ejecuta en Windows Server 2003 Standard o Enterprise Edition.

Hardware del dispositivo que contiene Windows Server 2003 Appliance Edition e ISA

Server Standard Edition está disponible en una variedad de socios de Microsoft.

ISA Server 2006: Microsoft para servidores de Internet Security and Acceleration 2006 (ISA Server 2006)

fue lanzado el 17 de octubre de 2006. Se trata de una versión actualizada de ISA Server

2004, y conserva todas las características de ISA Server 2004, excepto Message

Screener.



2011-2012

4

ISA Server Appliance Edition:

Microsoft también ofrece ISA Server 2006 Appliance Edition, un software diseñado

para ser pre-instalado en un hardware OEM que se vende por el fabricante de

hardware como un solo tipo de dispositivo de servidor de seguridad.

Microsoft Forefront TMG MBE:

Microsoft Forefront Threat Management Gateway medio Business Edition (Forefront

TMG MBE) es la próxima versión de ISA Server, que también se incluye con Windows

Essential Business Server . Esta versión sólo se ejecuta en la edición de 64 bits de

Windows Server 2008 y no soporta características Enterpise edición como el apoyo de

matriz o política de empresa.

Microsoft Forefront TMG 2010:

Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) fue

lanzado el 17 de noviembre de 2009. Se construye sobre la base de ISA Server 2006 y

proporciona una protección Web mejorada, soporte nativo de 64 bits, soporte para

Windows Server 2008 y de Windows Server 2008 R2 , la protección contra malware y

BITS almacenamiento en caché. Service Pack 1 para este producto fue lanzado el 23 de

junio de 2010. Se incluye varias nuevas características para apoyar a Windows Server

2008 R2 y Microsoft SharePoint 2010 líneas de productos. Service Pack dos para este

producto fue lanzado el 10 de octubre de 2011.



2011-2012

5

-Describe su instalación y configuración.

Entidad de certificación: Uno de los mayores requisitos para instalar Forefront en un entorno de grupo de trabajo es que se debe tener instalado un certificado de servidor en el servidor de Forefront TMG. Dado que este certificado sólo se usará internamente, Microsoft recomienda la creación de una entidad de certificación empresarial propia como forma de evitar los costos asociados con la compra de un certificado comercial.

Windows Server tiene todo lo necesario para su configuración como entidad de certificación. Dada la naturaleza confidencial de los certificados de servidor, sin embargo, se deben implementar servicios de certificado en un servidor distinto del que actuará como puerta de enlace de Forefront en el perímetro de la red.

Una vez que haya elegido un servidor para que actúe como entidad de certificación, abra Administrador del servidor. Vaya al contenedor Funciones y haga clic en el vínculo Agregar funciones. Windows iniciará el asistente Agregar funciones. Omita la pantalla de bienvenida del asistente y pasará a otra pantalla que le pedirá que elija las funciones que desea instalar.

Elija la función Servicios de certificados de Active Directory y haga clic en Siguiente. Verá un mensaje de advertencia que le dirá que, una vez que instale los servicios de certificado de Active Directory, no podrá cambiar el nombre ni el estado de dominio del servidor.

Se le pedirá que elija los servicios de la función que desea a implementar. Elija los servicios de Entidad de certificación e Inscripción web de entidad de certificación y haga clic en Siguiente.

En este punto, Windows le preguntará si desea implementar una entidad de certificación independiente o empresarial. Dado que está realizando la configuración para un entorno de grupo de trabajo, elija la opción Independiente. Haga clic en Siguiente, y se le pedirá que elija el tipo de Entidad de certificación. Dado que ésta es la primera entidad de certificación de la organización, elija la opción CA raíz y haga clic en Siguiente.

El asistente, a continuación, le preguntará si desea crear una clave privada nueva o usar una clave privada existente. Cree una nueva clave privada y haga clic en Siguiente.

Cuando Windows muestre la pantalla Criptografía del asistente, haga clic en Siguiente para aceptar los valores predeterminados. A continuación, se le pedirá que proporcione un nombre común para la Entidad de certificación. Escriba un nombre a su elección y anótelo. Más adelante necesitará conocer este nombre cuando implemente Forefront.



2011-2012

6

Se le pedirá que seleccione un período de validez del certificado. Haga clic en Siguiente para aceptar los valores predeterminados. A continuación, el asistente le pedirá que especifique la ubicación de la base de datos del certificado. Use cualquier ubicación que desee, pero debe asegurarse de hacer copias de seguridad de cualquier ubicación que elija.

A continuación, el asistente mostrará una introducción a IIS. Haga clic en Siguiente una vez más y podrá instalar servicios de función adicionales para IIS. Los servicios de función requeridos ya están seleccionados, por lo que sólo debe hacer clic en Siguiente y después en Instalar para implementar los servicios de función requeridos. Cuando el proceso termine, haga clic en Cerrar.

Preparación del servidor: Deberá preparar el servidor antes de instalar Forefront TMG. Empiece con la instalación de todas las revisiones más recientes de Windows Server en el servidor. Esto es importante; Forefront no se instaló correctamente cuando omití sin darme cuenta este paso.

Una vez que el servidor esté actualizado, inserte los medios de instalación de Forefront TMG 2010. Cuando Windows muestre la pantalla de presentación de Forefront, haga clic en el vínculo Run Preparation Tool (Ejecutar herramienta de preparación). Cuando lo haga, Windows iniciará el asistente Forefront TMG Preparation Tool (Herramienta de preparación de Forefront TMG).

Omita la pantalla de bienvenida del asistente y se le pedirá que acepte el contrato de licencia. Verá la pantalla que se muestra en la ilustración 1, que le pregunta el tipo de instalación de Forefront que realizará. Elija la opción Forefront TMG Services and Management (Servicios y administración de Forefront TMG) y haga clic en Siguiente.

Elija la opción ForeFront TMG Services and Management para la instalación.



2011-2012

7

Windows ahora instalará todas las funciones y características necesarias. Cuando el proceso termine, asegúrese de que la casilla Launch Forefront TMG Installation Wizard (Iniciar asistente de instalación de Forefront TMG) esté activada y haga clic en Finalizar.

Instalación de Forefront TMG: A continuación, Windows iniciará el asistente Forefront TMG Enterprise Installation (Instalación empresarial de Forefront TMG). Después de la pantalla de bienvenida y de aceptar el contrato de licencia, haga clic en Siguiente una vez más y deberá proporcionar la clave de producto. Haga clic en Siguiente una vez más y el asistente le pedirá que confirme la ruta de instalación. Suponiendo que todo esté bien, haga clic en Siguiente para ir a la pantalla Define Internal Network (Definir red interna). Forefront TMG está diseñado para implementación en el perímetro de la red, por lo que necesita conocer las direcciones IP incluidas en su red interna. Puede proporcionar su intervalo de direcciones interno haciendo clic en el botón Agregar.

En este punto, se lo dirigirá al cuadro de diálogo Direcciones. Haga clic en el botón Add Adapters (Agregar adaptadores) y elija el adaptador conectado a su red interna, como se muestra en la ilustración 2. Si el adaptador usa una dirección IP dinámica, puede que deba volver al cuadro de diálogo Direcciones y especificar su intervalo de direcciones manualmente.

Elija el adaptador conectado a su red interna.



2011-2012

8

Cuando haya especificado su adaptador y todos los intervalos de direcciones IP internos, haga clic en Siguiente. Puede que vea un mensaje de advertencia que le indica que reinicie algunos de sus servicios. Si lo ve, sólo haga clic en Siguiente una vez más.

En este punto, puede que vea un mensaje que le indica que se está habilitando la administración remota desde su dirección IP. Si ve dicho mensaje en ese momento, asegúrese de anotar la dirección IP antes de hacer clic en Siguiente.

Ahora debe ver un mensaje que le indica que está listo para instalar Forefront. Haga clic en el botón Instalar, y comenzará el proceso de instalación. Como puede ver en la ilustración 2, el asistente le indica el tiempo calculado que tardará la instalación. Cuando el proceso de instalación termine, haga clic en

Configuración de Forefront TMG Ahora que ha instalado Forefront TMG, abra la consola Forefront TMG Management y seleccione el nodo superior en el árbol de consola. Haga clic en el vínculo Launch Getting Started Wizard (Iniciar asistente de introducción), ubicado en el panel Acciones. Cuando lo haga, Forefront iniciará el asistente de introducción, como se muestra en la ilustración 3.

Getting Started Wizard (Asistente de introducción) lo guía a través del proceso de configuración



2011-2012

9

Haga clic en el botón Configure Network Settings (Configurar las opciones de red) para comenzar el proceso de configuración, como se muestra en la ilustración 3. Con esta acción se iniciará el Asistente para configuración de red. Omita la pantalla de bienvenida del asistente y pasará a una pantalla que le pedirá que elija la plantilla de red que mejor representen su topología. Dado que va a configurar el servidor de Forefront para que proporcione protección en el perímetro, seleccione Firewall perimetral como se muestra en la ilustración 4.

Seleccione la opción Firewall perimetral

Se le pedirá que seleccione el adaptador de red conectado a su red interna. Esto también le permite especificar rutas adicionales, pero hacer esto rara vez es necesario en un entorno de grupo de trabajo.

Después de realizar la selección, haga clic en Siguiente y verá una pantalla que le pedirá que elija el adaptador de red conectado a Internet. Realice su selección y haga clic en Siguiente y, a continuación, en Finalizar.



2011-2012

10

Configuración de los valores del sistema Ahora es momento de configurar los valores del sistema. Haga clic en el botón Configure System Settings (Configurar los valores del sistema) que se muestra en la ilustración 3. Cuando lo haga, Windows iniciará System Configuration Wizard (Asistente para configuración del sistema). Omita la pantalla de bienvenida del asistente y verá una pantalla similar a la que se muestra en la ilustración 5. En un entorno de dominio, debe proporcionar un nombre de dominio y un sufijo DNS. Dado que estamos configurando Forefront en un grupo de trabajo, no necesitamos hacer nada. Haga clic en Siguiente y después en Finalizar para completar la configuración del sistema.

Compruebe que Forefront esté configurado para una implementación de grupo de trabajo.

Definir opciones de implementación El último paso en el proceso de configuración es la definición de las opciones de implementación. Haga clic en el botón Define Deployment Options (Definir opciones de implementación) que se muestra en la ilustración 3. Cuando Windows inicie el Asistente para implementación, haga clic en Siguiente para omitir la pantalla de bienvenida.



2011-2012

11

A continuación, se le preguntará si desea usar Microsoft Update para comprobar si existen actualizaciones de antivirus. Es muy recomendable elegir Sí. Haga clic en Siguiente y pasará a la pantalla que se muestra en la ilustración 6.

Activar la licencia gratuita y habilitar la inspección de malware.

Como se puede ver en la ilustración 6, debe activar su licencia de Forefront. Habilite el Network Inspection System (Sistema de inspección de redes), que buscará código malintencionado en el nivel de paquetes HTTP/HTTPS. También debe activar la casilla Enable Malware Inspection (Habilitar inspección de Malware); también puede habilitar el filtrado de URL si lo desea.

Deberá configurar una opción para controlar la frecuencia con la que Forefront busca actualizaciones de antivirus. De manera predeterminada, la actualización revisará cada 15 minutos. También puede configurar una notificación si las revisiones de la actualización fallan durante un tiempo prolongado.



2011-2012

12

A continuación, el asistente le preguntará si desea participar en el Programa para la mejora de la experiencia del usuario de Microsoft. Realice su selección, haga clic en Siguiente y después en Finalizar para terminar el proceso de configuración. Haga clic en cerrar para cerrar Getting Started Wizard (Asistente de introducción).

Windows ahora iniciará automáticamente el Asistente para directivas de acceso web. Este asistente permite controlar los tipos de filtrado web que realiza Forefront. Haga clic en Siguiente para omitir la pantalla de bienvenida y verá una pantalla que le preguntará si desea crear una regla predeterminada que bloquee posibles URL malintencionados. Haga clic en Sí y, a continuación, en Siguiente.

En este punto, verá una pantalla que le preguntará acerca de los tipos de sitios web a los cuales desearía bloquear el acceso. Por ejemplo, puede bloquear el acceso a sitios que contengan lenguaje inflamatorio o cualquier cosa obscena. La lista de contenido bloqueado se llena automáticamente, pero puede ajustarla según sea necesario.

A continuación, el asistente le preguntará si desea aplicar reglas de inspección de malware a las directivas de acceso web. Se recomienda elegir Sí, al igual que activar la casilla, para bloquear archivos ZIP cifrados que puedan contener archivos malintencionados.

Se le preguntará si desea que los usuarios usen sesiones HTTP de SSL cifrado (HTTPS). Se recomienda inspeccionar el contenido de HTTPS, pero las precauciones de Forefront que hacen esto podrían tener consecuencias legales. Considere su decisión cuidadosamente.

Si elige inspecciones HTTPS, se le preguntará si desea o no notificar al usuario de dichas inspecciones. También se informará que se requiere un certificado para el proceso de inspección.

Puede hacer que Forefront genere un certificado autofirmado o usar un certificado personalizado. El uso de un certificado autofirmado ni siquiera es una opción en un entorno de grupo de trabajo, por lo que deberá elegir la opción Certificado personalizado. A continuación, deberá proporcionar el nombre de su entidad de certificación. Éste es el nombre descriptivo que definió cuando creó la entidad de certificación, no necesariamente el nombre del equipo del servidor.

Por último, verá una pantalla que indica que deberá exportar e implementar manualmente el certificado. Proporcione una carpeta de destino en el asistente, en la cual se pueda descargar el certificado, y haga clic en Siguiente. Cuando se le pida, habilite la regla Almacenamiento en caché de Web para finalizar el proceso.

Este procedimiento instala Forefront TMG de manera tal que puede hacer que inspeccione paquetes HTTP/HTTPS cuando pasan por el perímetro de la red. Tenga en cuenta, sin embargo, que Forefront TMG ofrece muchas características adicionales, como la capacidad de inspeccionar mensajes de correo electrónico. Ésta es una implementación más simple, adecuada para proteger grupos de trabajo.

ud5 actividad 9 documenta la relación de productos que ... · microsoft proxy server ....

Documents