notas de la versión de forefront tmg 2010 rtm
TRANSCRIPT
1
Notas de la versión de Forefront TMG 2010 RTM...................................................................................................................12
Migración, instalación e implementación.............................................................................................................................12
Migración de Forefront TMG RC a RTM....................................................................................................................12
Actualización de una versión de evaluación de Forefront TMG que se instaló desde un recurso compartido de carpeta a la versión con licencia de Forefront TMG RTM..........................................................................................12
Ejecución de la instalación de Forefront TMG desde un recurso compartido de red...............................................12
Instalación de Microsoft .NET Framework 3.5 SP1 en Windows Server 2008 SP2...................................................12
Mensaje de error de la Plataforma de filtrado de Windows tras reiniciar un equipo o los servicios de Forefront TMG................................................................................................................................................................................12
Instalación de la consola de administración..................................................................................................................12
Matrices de Forefront TMG..........................................................................................................................................12
Configuración del Centro de actualizaciones tras la actualización de Forefront TMG RC......................................13
Instalación de Forefront TMG en un equipo en el que se han instalado previamente actualizaciones de Windows..........................................................................................................................................................................................13
Desinstalación..................................................................................................................................................................13
Configuración y operaciones................................................................................................................................................13
Adición y eliminación de direcciones IP........................................................................................................................13
Certificados de autenticación de servidor.....................................................................................................................13
Protección contra malware............................................................................................................................................13
Red privada virtual.........................................................................................................................................................13
Filtro VoIP/SIP...............................................................................................................................................................14
Sistema de inspección de red..........................................................................................................................................14
Protocolo de seguridad de Internet (IPsec)...................................................................................................................14
Cifrado.............................................................................................................................................................................14
Complementos de otros proveedores.............................................................................................................................14
Registro e informes.........................................................................................................................................................14
Accesibilidad.......................................................................................................................................................................15
Adquisición del Service Pack.............................................................................................................................................15
Características disponibles en Forefront TMG 2010 SP1................................................................................................15
Compatibilidad con Forefront Unified Access Gateway (UAG).....................................................................................15
Instalación de Forefront TMG 2010 SP1..........................................................................................................................15
Problemas conocidos..........................................................................................................................................................15
Los siguientes problemas están relacionados con la configuración y el funcionamiento de Forefront TMG SP1:................15
Alerta de BranchCache en Windows Server 2008 SP2................................................................................................15
Invalidación de usuario para regla de denegación.......................................................................................................16
Separación de un servidor de una matriz.....................................................................................................................16
2
Importación de una configuración RTM en matrices de varios servidores................................................................16
Instalación en un escenario de grupo de trabajo..........................................................................................................17
Instalación del SP1 en Forefront Unified Access Gateway (UAG)..............................................................................17
Vista previa web de Microsoft OneNote........................................................................................................................17
Desinstalación del SP1....................................................................................................................................................17
Actualizaciones de software del SP1.....................................................................................................................................18
Planeación y diseño de Forefront TMG....................................................................................................................................21
Guía de diseño de escalabilidad y alta disponibilidad para Forefront TMG..........................................................................21
Acerca esta guía....................................................................................................................................................................21
Identificar y asignar la alta disponibilidad y los objetivos de implementación de escalabilidad...........................................21
Planeación para la escalabilidad y alta disponibilidad del servidor de Forefront TMG.........................................................21
Acerca de las matrices de Forefront TMG.............................................................................................................................22
Servidores de Forefront TMG de equilibrio de carga en una matriz.....................................................................................22
Equilibrio de carga de hardware de terceros: el equilibrio de carga que seleccione debe admitir la afinidad de IP............23
Planeación para alta disponibilidad del proveedor de servicios Internet.............................................................................23
Métodos de distribución de tráfico......................................................................................................................................23
Requisitos para habilitar la redundancia de ISP....................................................................................................................23
Acerca del equilibrio de la carga para publicación de web...................................................................................................24
Guía de diseño de instalación para Forefront TMG..................................................................................................................24
Acerca esta guía....................................................................................................................................................................24
Identificar y asignar sus objetivos de instalación..................................................................................................................24
Planeación de migración.......................................................................................................................................................25
Limitaciones de migración....................................................................................................................................................25
Escenarios de instalación......................................................................................................................................................26
Modos de instalación............................................................................................................................................................26
Recomendaciones de hardware para Forefront TMG 2010..................................................................................................27
Tabla 1: Recomendaciones de hardware para escenarios de implementación comunes.....................................................27
Diseño de hardware de servidor...........................................................................................................................................27
Consideraciones acerca del procesador................................................................................................................................28
Seleccionar un procesador compatible.................................................................................................................................28
Recomendaciones de rendimiento de procesador...............................................................................................................28
Consideraciones acerca del almacenamiento.......................................................................................................................28
Implementaciones de hasta 500 usuarios..........................................................................................................................28
Implementaciones de más de 500 usuarios.......................................................................................................................28
Tabla 2: Espacio recomendado para el sistema y el registro................................................................................................29
3
Consideraciones acerca del almacenamiento en caché........................................................................................................29
Consideraciones acerca del adaptador de red......................................................................................................................29
Rendimiento típico de los adaptadores Gigabit....................................................................................................................29
Escalabilidad de tráfico de entrada.......................................................................................................................................29
Recomendaciones de redundancia.......................................................................................................................................29
Implementar una matriz...................................................................................................................................................29
Equilibrio de carga............................................................................................................................................................29
Planeación de la topología de red de Forefront TMG...........................................................................................................29
Acerca de la topología del adaptador de red único..............................................................................................................30
Funcionalidad de una topología de adaptador de red único................................................................................................30
Limitaciones de una topología de adaptador de red único...................................................................................................30
Consideraciones del dominio o del grupo de trabajo...........................................................................................................30
Consideraciones generales...................................................................................................................................................30
Consideraciones de topología de red....................................................................................................................................31
Configuración perimetral..................................................................................................................................................31
Configuración interna.......................................................................................................................................................31
Consideraciones de autenticación........................................................................................................................................31
Planeación de certificados de servidor......................................................................................................................................31
Acerca de los permisos y roles de Forefront TMG................................................................................................................32
Permisos y roles administrativos..........................................................................................................................................32
Funciones administrativas en el nivel de matriz...............................................................................................................32
Roles administrativos de empresa....................................................................................................................................33
Funciones y acciones........................................................................................................................................................33
Planeación de resolución de nombres de dominio....................................................................................................................33
Acerca de los equipos cliente de firewall..............................................................................................................................34
Compatibilidad de los sistemas operativos y cliente-servidor con el cliente de Forefront TMG y los clientes firewall........35
Admite un sistema operativo............................................................................................................................................35
Compatibilidad con el cliente-servidor.............................................................................................................................35
Planeamiento de la detección automática de proxy web...........................................................................................................35
Métodos de detección..........................................................................................................................................................36
Consideraciones para seleccionar métodos de detección....................................................................................................36
Consideraciones para hospedar el archivo de configuración................................................................................................36
Consideraciones para implementar la detección con DHCP y DNS.......................................................................................36
Acerca esta guía....................................................................................................................................................................37
Identificar y asignar sus objetivos de diseño de acceso remoto y a Internet........................................................................37
4
Acerca de los métodos de autenticación..............................................................................................................................38
Autenticación HTTP...........................................................................................................................................................38
Autenticación basada en formularios...............................................................................................................................39
Autenticación de certificados de cliente...........................................................................................................................39
Planeación para controlar el acceso de red................................................................................................................................41
Directivas y conjuntos de reglas...........................................................................................................................................41
Procesamiento de solicitudes...........................................................................................................................................41
Flujo de proceso de solicitudes.........................................................................................................................................41
Acerca de las reglas de acceso..........................................................................................................................................41
Acerca de las reglas de publicación..................................................................................................................................42
Procesamiento de nombres y direcciones........................................................................................................................42
Administrar reglas que requieran autenticación...............................................................................................................42
Relaciones de redes..........................................................................................................................................................42
Relación de ruta................................................................................................................................................................42
Relación NAT.....................................................................................................................................................................43
Acerca de la directiva del sistema.....................................................................................................................................43
Acerca de las reglas de directiva del sistema....................................................................................................................43
Servicios habilitados por la directiva del sistema..............................................................................................................43
Servicios de red.................................................................................................................................................................43
Servicios DHCP..................................................................................................................................................................44
Habilitar tráfico DCOM......................................................................................................................................................44
Servicios de autenticación de Windows y la autenticación RADIUS..................................................................................44
Servicios de autenticación RSA SecurID............................................................................................................................44
Servicios de autenticación CRL..........................................................................................................................................44
Administración remota.....................................................................................................................................................44
Registro y supervisión remotos.........................................................................................................................................45
Servicios de diagnóstico....................................................................................................................................................45
SMTP.................................................................................................................................................................................45
Trabajos programados de descarga..................................................................................................................................45
Acceso al sitio web de Microsoft......................................................................................................................................45
Autenticar usuarios internos.............................................................................................................................................46
Controlar el acceso web....................................................................................................................................................46
Inspeccionar y filtrar el tráfico web..................................................................................................................................46
Acelerar el acceso web.....................................................................................................................................................46
Cómo funciona la invalidación de usuario........................................................................................................................47
5
Implementación de la invalidación de usuario.................................................................................................................47
Registros de invalidación de usuario.................................................................................................................................48
Problemas conocidos........................................................................................................................................................48
Planeación de publicación........................................................................................................................................................48
Acerca de cómo publicar servidores web.............................................................................................................................49
Escenarios de publicación de web compatibles................................................................................................................49
Acerca de las escuchas de web.........................................................................................................................................50
Acerca de la autenticación en publicación de web...............................................................................................................50
Métodos de autenticación de cliente para la recepción de credenciales de cliente.............................................................50
Sin autenticación..............................................................................................................................................................50
Autenticación basada en formularios...............................................................................................................................50
Vuelta a la autenticación básica........................................................................................................................................51
Formularios de clientes móviles.......................................................................................................................................51
Administración de contraseñas en la autenticación basada en formularios.....................................................................51
Autenticación HTTP...........................................................................................................................................................51
Autenticación de certificados de cliente...........................................................................................................................51
Métodos para la validación de credenciales de cliente....................................................................................................51
Delegación de autenticación.................................................................................................................................................52
Configurar la delegación de autenticación........................................................................................................................52
Sin delegación y el cliente no se puede autenticar directamente.....................................................................................52
Sin delegación, pero el cliente se puede autenticar directamente...................................................................................52
Básica................................................................................................................................................................................52
NTLM................................................................................................................................................................................52
NTLM/Kerberos (Negotiate).............................................................................................................................................52
SecurID..............................................................................................................................................................................53
Delegación limitada de Kerberos......................................................................................................................................53
Combinaciones válidas de credenciales de cliente y métodos de delegación......................................................................53
Acerca de la autenticación de dos factores..........................................................................................................................54
Acerca del almacenamiento de credenciales en caché.........................................................................................................54
Acerca de cómo publicar servidores no web........................................................................................................................54
Tipos de almacenamiento en caché compatibles.................................................................................................................55
Consideraciones para almacenar el contenido almacenado en caché..................................................................................55
Almacenamiento en caché en matrices de Forefront TMG..................................................................................................55
Modo de caché hospedada...................................................................................................................................................55
Conexiones seguras de caché hospedada.............................................................................................................................56
6
BranchCache y Forefront TMG.............................................................................................................................................56
Planeación para las redes privadas virtuales........................................................................................................................56
Acerca de las VPN de Forefront TMG...................................................................................................................................56
Protocolos VPN.....................................................................................................................................................................56
Acerca de la VPN de acceso remoto.....................................................................................................................................57
Control de cuarentena......................................................................................................................................................57
Credenciales de clientes de VPN.......................................................................................................................................57
Clientes de VPN infectados por virus................................................................................................................................57
Asignación de usuarios.........................................................................................................................................................57
Preparación para habilitar VoIP mediante Forefront TMG...................................................................................................58
PBX externa (hospedada)..................................................................................................................................................58
PBX interna conectada a PSTN..........................................................................................................................................58
PBX interna conectada a PSTN mediante un tronco SIP...................................................................................................58
PBX interna conectada a PBX externa (hospedada)..........................................................................................................58
Acerca esta guía....................................................................................................................................................................59
Identificar y asignar los objetivos de diseño de protección..............................................................................................59
Planeación de la protección frente a vulnerabilidades conocidas..............................................................................................59
Planeación para proteger frente a los ataques de red.................................................................................................................60
Planeación de la protección frente a ataques comunes y ataques DNS...............................................................................60
Detección de ataques comunes........................................................................................................................................60
Detección de ataques DNS....................................................................................................................................................60
Planeación para protegerse contra los ataques de tipo “flood” de denegación de servicio........................................................60
Acerca de la mitigación de los ataques "flood" de congestión del servidor de Forefront TMG............................................61
Límites de conexiones...........................................................................................................................................................61
Planeación para proteger frente a las amenazas a través de Internet.........................................................................................62
Planeación para proteger frente a contenido web malintencionado...................................................................................62
Consideraciones de implementación................................................................................................................................62
Nivel de amenaza..............................................................................................................................................................63
Métodos de entrega de contenido...................................................................................................................................63
Planeación del filtrado de URL..............................................................................................................................................64
Acerca del filtrado de direcciones URL.............................................................................................................................64
Ventajas de aplicar el filtrado de direcciones URL............................................................................................................64
Acerca de las categorías de direcciones URL....................................................................................................................64
Invalidar la categorización de direcciones URL.................................................................................................................64
Planeación para el filtrado HTTP...........................................................................................................................................64
7
Información general sobre la configuración de filtrado HTTP...............................................................................................65
Planeación para la inspección de HTTPS...............................................................................................................................66
Cómo funciona la inspección de HTTPS............................................................................................................................66
Consideraciones para habilitar la inspección de HTTPS....................................................................................................66
Acerca de la validación de certificado en la inspección de HTTPS....................................................................................66
Consideraciones sobre la revocación de certificados en la inspección de HTTPS de Forefront TMG..............................67
Problemas de privacidad...................................................................................................................................................67
Planeación de la protección frente a amenazas de correo electrónico.......................................................................................67
Usar las tecnologías de protección de correo de Microsoft..................................................................................................67
Protección superpuesta........................................................................................................................................................67
Beneficio de crear una directiva de correo electrónico con Forefront TMG.........................................................................67
Consideraciones de implementación................................................................................................................................68
Planeación de las actualizaciones de definiciones de protección.........................................................................................68
Guía de planeación de administración para Forefront TMG.....................................................................................................69
Identificar y asignar sus objetivos de administración............................................................................................................69
Planeación para supervisión y registro.................................................................................................................................69
Planeación para copia de seguridad y restauración..............................................................................................................69
Preparación para desastres..................................................................................................................................................69
Acerca de la copia de seguridad y restauración de la configuración de Forefront TMG.......................................................69
Realizar copias de seguridad de una configuración..............................................................................................................70
Restaurar una configuración.................................................................................................................................................70
Acerca de cómo realizar una copia de seguridad de los certificados SSL..........................................................................70
Categorías de informes.....................................................................................................................................................71
Creación personalizada de informes.....................................................................................................................................71
El mecanismo de informes....................................................................................................................................................71
El servidor de informes.........................................................................................................................................................71
Publicación de informes en un recurso compartido de archivos..........................................................................................71
Lista de comprobación de implementación..........................................................................................................................72
Tareas de preinstalación......................................................................................................................................................72
Configuración del acceso a la red corporativa......................................................................................................................73
Protección de la red corporativa..........................................................................................................................................74
Requisitos del sistema para Forefront TMG.........................................................................................................................74
Forefront TMG.....................................................................................................................................................................74
Enterprise Management Server............................................................................................................................................75
Administración de Forefront TMG........................................................................................................................................76
8
Instalar los requisitos previos para la protección de correo electrónico..............................................................................76
Para instalar Active Directory Lightweight Directory Services..............................................................................................76
Para agregar un sufijo DNS a un equipo Forefront TMG.......................................................................................................76
Para instalar el rol Transporte perimetral de Exchange Server.............................................................................................76
Para instalar Forefront Protection 2010 for Exchange Server...............................................................................................77
Migración y actualización a Forefront TMG..........................................................................................................................77
Migración de ISA Server 2004/2006 a Forefront TMG..........................................................................................................77
Recopilación de información............................................................................................................................................78
Migrar un único servidor ISA Server a Forefront TMG.....................................................................................................78
Para migrar una matriz de servidores ISA Server a una matriz de servidores de Forefront TMG se requieren las siguientes tareas:...................................................................................................................................................................................78
Para exportar la configuración de ISA Server........................................................................................................................79
Importación de la configuración a Forefront TMG...............................................................................................................79
Para importar la configuración a Forefront TMG..............................................................................................................79
Actualización de Forefront TMG Standard Edition a Forefront TMG Enterprise Edition...................................................79
Para actualizar a Enterprise Edition..................................................................................................................................79
Migración de Forefront TMG RC a RTM............................................................................................................................80
Para la migración de Forefront TMG RC a RTM son necesarios los pasos siguientes:.......................................................80
Para exportar la configuración de Forefront TMG RC.......................................................................................................80
Para importar la configuración de Forefront TMG RC.......................................................................................................80
Actualizar Forefront TMG Evaluation a RTM.....................................................................................................................80
Instalación de Forefront TMG...............................................................................................................................................81
Preparación de la instalación................................................................................................................................................81
Para ejecutar la herramienta de preparación.......................................................................................................................82
Preparación para la instalación en un entorno de grupo de trabajo....................................................................................82
Creación de FQDN para los servidores de Forefront TMG....................................................................................................82
Configuración de redes y enrutamiento.........................................................................................................................101
Definición de las reglas de red........................................................................................................................................101
Configurar reglas de red.................................................................................................................................................101
Para crear o editar una regla de redes............................................................................................................................101
Definición de adaptadores de red...................................................................................................................................101
Cómo habilitar la compatibilidad con el cliente de Forefront TMG....................................................................................106
La distribución del cliente de Forefront TMG a equipos cliente.........................................................................................106
Ejecución de una instalación desatendida de ms_fwc.msi.................................................................................................106
configuración de la aplicación........................................................................................................................................107
9
Configuración para resolver las solicitudes locales en el cliente de Forefront TMG...........................................................109
Creación de una tabla de dominios locales.....................................................................................................................109
Crear un archivo LocalLAT.txt.........................................................................................................................................109
Configuración de los clientes proxy web y los clientes del explorador para utilizar Forefront TMG como proxy web......109
Configurar acceso directo para clientes proxy web que no utilizan detección automática................................................111
Configurar acceso directo para clientes proxy web que utilizan detección automática.....................................................111
Configurar dominios para acceso directo...............................................................................................................................111
Configuración de los clientes SecureNAT................................................................................................................................111
Configurar la resolución de nombres......................................................................................................................................112
Actualizar la lista de bloqueados........................................................................................................................................113
Configuración del explorador de un equipo cliente de Forefront TMG para usar WPAD..................................................114
Configuración del explorador en un equipo cliente de Forefront TMG para que utilice un script de configuración estática............................................................................................................................................................................................114
Habilitar exploradores para la detección automática mediante WPAD...............................................................................114
Habilitar exploradores para la detección automática mediante un script de configuración estática....................................114
Notas de implementación....................................................................................................................................................117
Implementación de Forefront TMG y BranchCache...........................................................................................................121
Escenarios...........................................................................................................................................................................121
Más información.................................................................................................................................................................121
Acerca esta guía..................................................................................................................................................................124
Información general acerca de las características de la puerta de enlace web segura..........................................................124
Identificar los objetivos de implementación de la puerta de enlace web segura..................................................................125
Planear la topología de red de la puerta de enlace web segura............................................................................................126
Planeación para el filtrado URL..........................................................................................................................................126
Planeación para la inspección de HTTPS...........................................................................................................................126
Planeación de las actualizaciones de definiciones de protección........................................................................................127
Plan para generar informes de Forefront TMG...................................................................................................................127
Trabajo con reglas de acceso..............................................................................................................................................141
Trabajo con reglas de publicación web...............................................................................................................................141
Controlar el acceso web......................................................................................................................................................143
Acelerar el acceso al contenido solicitado con frecuencia..................................................................................................143
Inspeccionar y filtrar el tráfico web....................................................................................................................................143
Crear reglas de acceso.........................................................................................................................................................143
Acerca de los mensajes de error HTML..............................................................................................................................148
Editar los mensajes de error HTML....................................................................................................................................148
10
Crear mensajes de error HTML personalizados..................................................................................................................149
Información general sobre los formularios HTML...............................................................................................................196
Conjuntos de formularios de Forefront TMG..................................................................................................................196
Personalizar los conjuntos de formularios..........................................................................................................................197
Personalizar las cadenas de texto...................................................................................................................................198
Usar gráficos personalizados..........................................................................................................................................198
Crear conjuntos de formularios personalizados.............................................................................................................198
Configuración de idioma.................................................................................................................................................199
Habilitar la prioridad de tráfico mediante DiffServ.............................................................................................................199
Configurar prioridades........................................................................................................................................................199
Asignar la prioridad DiffServ a una dirección URL............................................................................................................199
Asignar la prioridad DiffServ a un dominio........................................................................................................................200
Configurar una red para que utilice DiffServ......................................................................................................................200
Configurar los valores globales de malware.......................................................................................................................209
Configurar los valores de malware por regla......................................................................................................................209
Habilitar la inspección de HTTPS..........................................................................................................................................213
Generar el certificado de inspección de HTTPS.....................................................................................................................214
Implementar el certificado de CA raíz de confianza de inspección HTTPS en los equipos cliente.........................................215
Configurar la directiva de validación de certificado...............................................................................................................216
Excluir orígenes y destinos de la inspección de HTTPS.........................................................................................................217
Notificar a los usuarios que se está inspeccionando el tráfico HTTPS....................................................................................217
Configurar filtrado HTTP.......................................................................................................................................................218
Configurar la protección de las amenazas basadas en correo electrónico...............................................................................220
Antes de comenzar.............................................................................................................................................................221
Configurar rutas SMTP...........................................................................................................................................................221
Configurar el filtrado de correo no deseado............................................................................................................................223
Configurar el filtrado de virus.................................................................................................................................................227
Configuración del filtrado de contenido.................................................................................................................................228
Suscribir el servidor de transporte perimetral a la organización de Exchange........................................................................230
Preparación para ejecutar el servicio Microsoft Exchange EdgeSync.....................................................................................232
Habilitar la conectividad para el tráfico de EdgeSync............................................................................................................232
Exportar los archivos de suscripción perimetral.....................................................................................................................233
Crear una característica perimetral.........................................................................................................................................233
Administrar actualizaciones de definición para Forefront TMG.............................................................................................234
Elegir un método de actualización......................................................................................................................................234
11
Crear una base de datos del registro y tablas...................................................................................................245
Configurar SQL Server para aceptar la conexión de datos...........................................................................245
Configurar una conexión cifrada.............................................................................................................................245
Configuración de reglas de directiva de sistema para registro en SQL Server......................................245
12
Notas de la versión de Forefront TMG 2010 RTMPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Estas notas de la versión tratan de problemas e información de última hora acerca de la instalación, implementación, configuración y funcionamiento de Microsoft Forefront Threat Management Gateway (Forefront TMG). Es esencial que lea la información incluida en este documento y revise Requisitos del sistema para Forefront TMG, antes de instalar Forefront TMG.En las siguientes secciones se describen problemas relacionados con:
Migración, instalación e implementación Configuración y operaciones Accesibilidad
Migración, instalación e implementación Los siguientes problemas están relacionados con la migración, la instalación y la implementación de Forefront TMG:
Migración de Forefront TMG RC a RTM Actualización de una versión de evaluación de Forefront TMG que se instaló desde un recurso compartido de carpeta a la versión con licencia de Forefront TMG
RTM Ejecución de la instalación de Forefront TMG desde un recurso compartido de red Instalación de Microsoft .NET Framework 3.5 SP1 en Windows Server 2008 SP2 Mensaje de error de la Plataforma de filtrado de Windows tras reiniciar un equipo o los servicios de Forefront TMG Instalación de la consola de administración Matrices de Forefront TMG Configuración del Centro de actualizaciones tras la actualización de Forefront TMG RC Instalación de Forefront TMG en un equipo en el que se han instalado previamente actualizaciones de Windows Desinstalación
Migración de Forefront TMG RC a RTM
Debe desinstalar todas las versiones de Forefront TMG Release Candidate (RC) para poder instalar Forefront TMG Release to Manufacturing (RTM). Para obtener información, vea Migración de Forefront TMG RC a RTM.
Actualización de una versión de evaluación de Forefront TMG que se instaló desde un recurso compartido de carpeta a la versión con licencia de Forefront TMG RTM
Si ha instalado la versión de evaluación de Forefront TMG desde una carpeta compartida, no puede actualizar a la versión con licencia de Forefront TMG RTM directamente desde el medio de DVD deForefront TMG. En este caso, para actualizar a la versión con licencia de Forefront TMG RTM, debe copiar la versión RTM a una carpeta compartida y ejecutar la actualización desde la carpeta.
Ejecución de la instalación de Forefront TMG desde un recurso compartido de red
La ejecución de la instalación de Forefront TMG desde un recurso compartido de red puede dar lugar a un error debido a una extracción incorrecta del paquete de SQL Express 2008 SP1. Si esto ocurre, realice las siguientes acciones:
1. En el mensaje de error, haga clic en Aceptar.2. Después de la reversión de Forefront TMG, ejecute la instalación de nuevo.3. Si se produce de nuevo un error en la instalación, copie el archivo de instalación en el servidor de Forefront TMG y ejecute la instalación de manera local, o
desde el DVD de instalación.
Instalación de Microsoft .NET Framework 3.5 SP1 en Windows Server 2008 SP2
Esta nota solo se aplica a la instalación de Forefront TMG en un equipo que ejecuta Windows Server® 2008 SP2. En esta instalación, se debe configurar la conexión a Internet de manera que el proxy no requiera autenticación , para que la herramienta de preparación de Forefront TMG instale .NET Framework 3.5 SP1 como parte de la instalación de software de requisito previo. Por ejemplo, para un proxy de Forefront TMG o un proxy de Internet Security and Acceleration Server 2006, agregue una regla de acceso que permita la IP del equipo en el que se ejecuta la herramienta de preparación. La regla debería agregarse antes que aquella que requiere la autenticación: Para obtener información, vea Crear una regla de acceso.
Mensaje de error de la Plataforma de filtrado de Windows tras reiniciar un equipo o los servicios de Forefront TMG
Después de reiniciar el equipo o los servicios de Forefront TMG, puede que aparezca el siguiente mensaje de error:“Forefront TMG detectó filtros de la Plataforma de filtrado de Windows que pueden ocasionar conflictos de directiva en el servidor. Los siguientes proveedores podrían definir filtros que ocasionen conflictos con la directiva de firewall de Forefront TMG: Microsoft Corporation.”Si aparece este mensaje, deshabilite la alerta para que no aparezca de nuevo, puesto que no indica un conflicto real.
Instalación de la consola de administración
La instalación de la consola de administración de Forefront TMG no está admitida en Windows® XP. No se admite la instalación de la consola en los sistemas operativos Windows Vista®, Windows Server 2008, Windows Server® 2008 R2 y Windows 7.
Matrices de Forefront TMG
13
Al instalar Forefront TMG en un equipo en el que todas las direcciones de la interfaz de red del equipo de Forefront TMG están asignadas por DHCP, el proceso de instalación agrega automáticamente los objetos de red relevantes al grupo Servicios de red de la directiva del sistema, en el contexto de origen de las reglas de DHCP. Si, a continuación, une el servidor independiente a una matriz de Forefront TMG, las directivas locales del servidor son reemplazadas por el conjunto de directivas de la matriz. A menos que la directiva de sistema de matriz incluya la misma directiva de DHCP, como se define en las directivas independientes, el servidor que se unió a la matriz puede perder eventualmente la dirección IP asignada por DHCP, y se producirá un error en la comunicación desde y hacia a dichas redes.
Para evitar este problema, duplique la configuración de la directiva de sistema de DHCP independiente en la directiva de sistema de matriz para unir el servidor independiente a la matriz.
Esta versión no admite la replicación de un servidor Enterprise Management Server a un servidor de almacenamiento de configuración de ISA Server. Al quitar un servidor de una matriz (operación de separación), si aparece la alerta "Error del servicio IsaManagedCtrl al recargar la configuración", no es
necesario que la descarte o lleve a cabo otra acción. La operación de separación continúa sin interrupción.
Configuración del Centro de actualizaciones tras la actualización de Forefront TMG RC
Los valores de configuración del Centro de actualizaciones de Forefront TMG no se migran al actualizar de Forefront TMG RC a Forefront TMG RTM. Una vez completada la actualización, debe volver a configurar dichos valores. Para obtener información, vea Administrar actualizaciones de definición para Forefront TMG.
Instalación de Forefront TMG en un equipo en el que se han instalado previamente actualizaciones de Windows
Si se han instalado actualizaciones de Windows en el equipo en el que desea instalar Forefront TMG, reinicie el equipo antes de ejecutar cualquiera de las herramientas de instalación de Forefront TMG; es decir, antes de ejecutar la herramienta de preparación o el Asistente de instalación.
Desinstalación
Antes de desinstalar Forefront TMG, tenga en cuenta lo siguiente:
Para iniciar el proceso de desinstalación, debe cerrar todas las aplicaciones que se estén ejecutando en el equipo. Tras iniciar la desinstalación, no intente cancelarla. Si se cancela la desinstalación mientras está en curso, es posible que se produzca un error en posteriores
intentos de desinstalar el producto y podría ser necesario volver a instalar el sistema operativo.
Configuración y operacionesLos siguientes problemas están relacionados con la configuración y el funcionamiento de Forefront TMG:
Adición y eliminación de direcciones IP Certificados de autenticación de servidor Protección contra malware Red privada virtual Filtro VoIP/SIP Sistema de inspección de red Protocolo de seguridad de Internet (IPsec) Cifrado Complementos de otros proveedores Registro e informes
Adición y eliminación de direcciones IPAl tratar de agregar o eliminar las direcciones IP, la operación de cambio de dirección IP puede dejar de responder; en cuyo caso tendría que reiniciar el servidor
Forefront TMG. Para evitarlo, se recomienda instalar una revisión proporcionada por Microsoft. Para obtener más información, vea Una operación de cambio de dirección IP deja de responder en un equipo que está ejecutando Windows Vista o Windows Server 2008 hasta que reinicie el equipo (http://go.microsoft.com/fwlink/?LinkId=165829).
Certificados de autenticación de servidorNo puede usar certificados que se hayan emitido con una plantilla de entidad de certificación admitida de Windows 2008 de tipo mínimo para crear un escucha de
web de Forefront TMG; por ejemplo, para la publicación de la aplicación web o el acceso VPN del Protocolo de túnel punto a punto seguro (SSTP).
Protección contra malware
La característica de protección contra malware bloquea el protocolo de transmisión por secuencias SHOUTcast (ICY). Las aplicaciones cliente que dependen de este protocolo, como Nullsoft Winamp, no funcionarán detrás de Forefront TMG. Puede corregir este problema eximiendo a las direcciones URL para la transmisión por secuencias de medios de la protección contra malware.
Es posible que algunos reproductores de vídeo en línea no funcionen cuando se implementa la protección contra malware. Esto podría estar relacionado con el encabezado Content-Type enviado por el servidor. Para resolver este problema, trate de especificar audio/mp4 como un tipo de contenido que usa el método de entrega de generación rápida: Para obtener información, vea Configurar la entrega del contenido de inspección de malware.
Red privada virtual
Esta nota es relevante para las redes privadas virtuales (VPN) de sitio a sitio del protocolo de seguridad de Internet (IPsec) en una matriz de Forefront TMG que usa el equilibrio de carga de red (NLB). En esta instalación, si se produce un error en el servidor de Forefront TMG que actúa como el propietario del túnel (por ejemplo, debido a la falta de conectividad de la red), y un servidor de Forefront TMG de reserva asume la propiedad del túnel, no se reanuda el siguiente tráfico:
El tráfico web del sitio local donde se ha producido el error en el sitio remoto. Para evitar la pérdida del tráfico web, deshabilite el proxy web para el tráfico web entre los sitios.
Cualquier tráfico del sitio local a sitios remotos con los que tiene una relación de traducción de direcciones de red (NAT). Para evitar la pérdida del tráfico con NAT, configure una relación de ruta entre sitios remotos.
Es posible que no funcione la autenticación RADIUS o VPN para los nombres de usuario localizados en implementaciones en las que el servidor de directiva de red (NPS) está instalado en Windows Server 2008 R2. Esto se debe a que NPS en Windows Server 2008 R2 usa Unicode para todos los métodos de autenticación
14
de manera predeterminada, mientras que los clientes heredados o los métodos de autenticación distintos del protocolo de autenticación extensible (EAP) usan ANSI. Para evitar este problema, configure el servidor NPS y el cliente que se conecta para admitir ANSI en lugar de Unicode. Para obtener más información, vea el artículo sobre la imposibilidad de conectarse cuando el nombre de usuario contiene caracteres Unicode (http://go.microsoft.com/fwlink/?LinkId=165830).
Es posible que se bloquee el servicio Enrutamiento y acceso remoto (RRAS) cuando se establecen varias conexiones de manera simultánea en un servidor Forefront TMG instalado en un equipo que ejecuta Windows Server 2008 SP2. Cuando este servicio se bloquea, finalizan todas las conexiones de la red privada virtual (VPN) y no se pueden establecer nuevas conexiones VPN. Para recuperarse de esto, debe reiniciar manualmente el servidor Forefront TMG. Para evitar este problema, se recomienda instalar una revisión proporcionada por Microsoft. Para obtener más información, vea El servicio Enrutamiento y acceso remoto puede bloquearse cuando hay varias conexiones establecidas simultáneamente en un equipo que ejecuta Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=165831).
Filtro VoIP/SIP
Forefront TMG no admite lo siguiente:
Servicios de Packet8 VoIP.
Uso de un teléfono Linksys PAPT2 con el proveedor del servicio de telefonía por Internet CallCentric ITSP.
La cuota de registros y llamadas simultáneas para direcciones IP internas también afecta a IP externas, lo que significa que, de manera predeterminada, sólo se pueden recibir 10 llamadas desde ITSP al mismo tiempo. Para cambiarlo, haga lo siguiente: 1. En el recuadro Tareas del nodo Directiva de firewall, haga clic en Configurar valores de VoIP.
2. Haga clic en Configurar cuotas de SIP.
3. Edite las opciones Número máximo de registros para una dirección IP específica y Número máximo de llamadas para una dirección IP específica para
especificar un número lo suficientemente grande. El Asistente para VoIP sólo se debería usar cuando hay una relación de red ROUTE o SAMEentre los componentes SIP internos (teléfonos, puertas de enlace
IPPBX y SIP). Cuando la PBX interna se encuentra en una red que no está habilitada para NLB, y los teléfonos están en una red habilitada para NLB, se producirá un error en
las llamadas. En implementaciones en las que la PBX interna se conecta a PSTN mediante un tronco SIP, mensajes SIP, por ejemplo, no se administran llamadas que la PBX
interna envía mediante puertos que no sean el 5060. En implementaciones que usan un controlador de borde de sesión (SBC), el SBC se debe encontrar en la red externa. Por ejemplo, no se puede encontrar en una
red perimetral. Cuando el enrutamiento IP está deshabilitado, los medios hasta y desde los extremos no están disponibles más de 15 minutos, de manera predeterminada. Para
ampliar el tiempo en que el medio está disponible, haga lo siguiente:Obtenga acceso a la siguiente clave del Registro:
HKLM\SOFTWARE\Microsoft\RAT\Stingray\Debug\SIP\DIALOG_IDLE_TIMEOUTCambie el valor de la clave al tiempo necesario. Tenga en cuenta que el tiempo se define en milisegundos, por ejemplo, el valor para los 15 minutos predeterminados es de 9000000.
Sistema de inspección de redLas actualizaciones de la definición del Sistema de inspección de red (NIS) ya no se admiten en Forefront TMG Beta 3. Para asegurar actualizaciones periódicas,
actualice el sistema a Forefront TMG Versión para producción (RTM).
Protocolo de seguridad de Internet (IPsec)La configuración del modo de túnel de IPsec no es adecuada para las conexiones de red privada virtual (VPN) de sitio a sitio entre un equipo Forefront TMG y un
equipo Internet Security and Acceleration (ISA) Server 2006 porque los servidores tienen diferentes configuraciones predeterminadas de IPsec. No se podrá establecer una conexión VPN entre los sitios con la configuración predeterminada.En dicha implementación, asegúrese de modificar la configuración de IPsec en el servidor de Forefront TMG para que coincida con la del equipo ISA Server 2006.
CifradoEn ISA Server 2006 y 2004, el administrador tenía la opción de requerir el cifrado de 128 bits para tráfico HTTPS. Esto no es necesario en Forefront TMG
porque Windows Server 2008 requiere al menos este nivel de cifrado para las conexiones de capa de sockets seguros (SSL); por tanto, esta opción se ha quitado de todas las versiones de Forefront TMG.
Complementos de otros proveedoresSi está ejecutando un complemento desarrollado por otro proveedor para una versión anterior de ISA Server, póngase en contacto con el proveedor para
comprobar la disponibilidad de una versión actualizada para Forefront TMG.
Registro e informes
Cuando publique informes en un directorio en el servidor Forefront TMG, debe agregar la cuenta SYSTEM a los permisos de uso de archivos compartidos del directorio para asegurar que Forefront TMGpodrá publicar los informes en el directorio.
Si su implementación de Forefront TMG administra grandes volúmenes de tráfico, es posible que necesite cambiar el tiempo predeterminado de los trabajos de informes periódicos de Forefront TMG desde la 1:00 a una hora posterior, como las 3:00, para permitir tiempo suficiente para generar datos de resumen de informe para el resumen del informe que se programa para comenzar a las 00:30.
La directiva de mantenimiento del registro predeterminado de Forefront TMG define el tamaño total de los archivos de registros que el sistema guarda antes de eliminar registros antiguos, como 8 GB. Para la mayoría de las organizaciones, este valor es insuficiente para los siguientes formatos de almacenamiento de registro:
Base de datos de SQL Server Express
Archivo
Para permitir el suficiente espacio de almacenamiento para estos registros, realice una de las siguientes acciones, para el registro del firewall y el registro del proxy web:
Deshabilite la opción Límite de tamaño total de archivos de registro.
15
Deshabilite la opción Límite de tamaño total de archivos de registro, evalúe sus necesidades de almacenamiento durante un período de una semana y, a continuación, habilite esta opción de nuevo y establezca el almacenamiento en el tamaño necesario.
Para obtener información detallada, vea Configurar los registros de Forefront TMG.
El puerto 8008 de TCP se usa para fines de informes, la asignación de este puerto para cualquier otro fin interferirá con los servicios de informes de Forefront TMG.
AccesibilidadEl narrador no lee el texto que se encuentra en los recuadros central y derecho de la consola de administración de Forefront TMG.
Notas de la versión de Forefront TMG 2010 SP1Publicada: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Estas notas de la versión proporcionan información y describen problemas de última hora en relación con Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010 Service Pack 1 (SP1). Es importante que lea la información que se incluye en este documento antes de instalar Forefront TMG SP1.
Adquisición del Service Pack
Características disponibles en Forefront TMG SP1
Compatibilidad con Forefront Unified Access Gateway (UAG)
Instalación de Forefront TMG 2010 SP1
Problemas conocidos
Actualizaciones de software del SP1
Adquisición del Service PackEl Service Pack de Forefront TMG está disponible para su descarga en el Centro de descarga de Microsoft (http://go.microsoft.com/fwlink/?LinkId=193239) y, como actualización opcional, a través de Microsoft Update.
Características disponibles en Forefront TMG 2010 SP1Forefront TMG 2010 SP1 incorpora varias características nuevas al ya sólido conjunto de características de Forefront TMG 2010. Para obtener información sobre estas características, vea Novedades de Forefront TMG 2010 SP1.
Compatibilidad con Forefront Unified Access Gateway (UAG)Se recomienda instalar este Service Pack en equipos en los que se ejecute Forefront UAG. Forefront TMG SP1 se ha comprobado y es totalmente compatible con Forefront UAG. Para obtener más información, vea Installing Forefront TMG Service Pack 1 en la documentación en línea de Forefront UAG.
Instalación de Forefront TMG 2010 SP1Se recomienda instalar el Service Pack en el orden descrito en Instalación de Forefront TMG SP1.Debe tener presentes los siguientes problemas de instalación e implementación antes y después de instalar Forefront TMG SP1:
Se recomienda completar la actualización de todos los servidores de Enterprise Management Server (maestro y réplicas) y de todos los miembros de una matriz antes de configurar las nuevas características del SP1 en la matriz.
En un entorno mixto, en el que algunos miembros de la matriz se han actualizado a SP1 y otros no, los servidores que ejecutan la versión original de Forefront TMG 2010 (también conocidos como RTM) se siguen ejecutando con la misma directiva y no reciben actualizaciones de directiva. Así mismo, tenga presente que los servidores RTM:
Procesan y registran el tráfico de la manera normal.
Producen datos para informes.
Se pueden supervisar desde la consola de administración de un miembro de la matriz con SP1, un servidor de Enterprise Management Server con SP1 o a través de la administración remota de SP1.
No muestran las matrices actualizadas o los miembros de matriz en la consola de administración.
En la mayoría de los casos, no es necesario reiniciar el equipo después de la actualización.
Si se conecta a una base de datos SQL remota, debe migrar la base de datos de registro al nuevo esquema. Para obtener instrucciones sobre cómo actualizar una base de datos SQL remota para Forefront TMG SP1, vea TechNet Wiki (http://social.technet.microsoft.com/wiki).
El número de la versión de compilación de Forefront TMG SP1 es 7.0.8108.200. Para comprobar que el SP1 se ha instalado en un servidor específico, en la consola de administración de Forefront TMG, haga clic en Ayuda y seleccione Acerca de Forefront Threat Management Gateway. El número de la versión de compilación aparece detrás de Versión.
Problemas conocidos
Los siguientes problemas están relacionados con la configuración y el funcionamiento de Forefront TMG SP1:
Alerta de BranchCache en Windows Server 2008 SP2
Invalidación de usuario para regla de denegación
Separación de un servidor de una matriz
Importación de una configuración RTM en matrices de varios servidores
Instalación en un escenario de grupo de trabajo
Instalación del SP1 en Forefront Unified Access Gateway (UAG)
Vista previa web de Microsoft OneNote
Desinstalación del SP1
Alerta de BranchCache en Windows Server 2008 SP2
16
Problema Después de instalar el SP1 en Windows Server 2008 SP2, se registra la alerta Error de inicialización de BranchCache.
Causa De manera predeterminada, el servicio BranchCache (PeerDistSvc) se inicia después de la instalación del SP1, pero BranchCache se admite únicamente en Windows Server 2008 R2.
Solución Puede omitir esta alerta sin problemas.
Alerta de BranchCache
Invalidación de usuario para regla de denegación
Acceso a sitios desde aplicaciones que no son de explorador
Problema Al solicitar acceso a un sitio bloqueado desde una aplicación que no es de explorador, el usuario recibe un mensaje de error similar a “No se puede abrir www.contoso.com” y no se muestra ninguna opción para invalidar el bloqueo.
Causa Las aplicaciones que no son de explorador no pueden mostrar la página HTML de denegación de acceso, por lo que el usuario no puede hacer clic en el botón Invalidar restricción de acceso.
Solución Copie el vínculo, péguelo en la dirección de un explorador y, a continuación, haga clic en Invalidar restricción de acceso.
La invalidación de usuario no admite la redirección al sitio HTTPS
Problema Un usuario solicita acceso a un sitio bloqueado y se encuentra con la opción de invalidación de usuario. Después de hacer clic en Invalidar restricción de acceso, la solicitud se transfiere al sitio, únicamente para la redirección a una página (HTTPS) segura. En lugar de obtener acceso al sitio, el usuario recibe un mensaje de denegación de acceso.
Causa La invalidación de usuario admite únicamente sesiones HTTP.
Solución Ninguna
No se admiten dominios de dos letras
Problema Al intentar invalidar la restricción de acceso a una dirección URL con un nombre de dominio de dos letras, hacer clic en Invalidar restricción de acceso no tiene ningún efecto.
Causa La información de invalidación de usuario se almacena en una cookie en el equipo cliente. Sin embargo, por motivos de seguridad, Internet Explorer no permite establecer una cookie para direcciones URL con dominios de dos letras. Otros exploradores pueden disponer de medidas de seguridad similares.
Solución Vea Internet Explorer no configura una cookie para dominios con dos letras (http://support.microsoft.com/kb/310676).
Invalidación de usuario con invalidaciones de categorías de direcciones URL
Problema Un usuario que intenta obtener acceso a un destino web bloqueado a través de la invalidación de usuario recibe un error si se dan las siguientes condiciones:
El administrador invalidó la categoría de URL predeterminada para este destino.El patrón de URL para la invalidación de categoría de URL no termina con una barra diagonal de cierre (/) y un carácter comodín (*).
Solución Indique al usuario que agregue una barra diagonal de cierre al final de la dirección web antes de hacer clic en el botón Invalidar restricción de acceso, o bien agregue el carácter comodín al patrón de URL con la invalidación de categoría.
Invalidación de usuarios no autenticados
Problema Las solicitudes de invalidación de usuario parecen originarse en una única dirección IP.
Causa Al usar el encadenamiento de proxy web, la identidad de cada cliente se conoce en el servidor que sigue en la cadena pero no se propaga al servidor precedente. En consecuencia, todas las solicitudes de los usuarios situados detrás del servidor que sigue en la cadena comparten la misma dirección IP.
Solución Si, por motivos de seguridad, desea permitir únicamente a los usuarios autenticados invalidar las restricciones de acceso, agregue una regla que bloquee el acceso de los usuarios no autenticados delante de la regla de invalidación de usuario, o agregue esta dirección IP a las excepciones de origen de la regla de invalidación de usuario.
Separación de un servidor de una matriz
Problema Después de instalar el SP1, en algunas circunstancias, se produce un error al separar un servidor de una matriz.
Solución Este problema se puede solucionar si se ejecuta la operación de reparación, tal como se describe en el procedimiento siguiente:
Haga clic en Inicio, escriba appwiz.cpl y presione ENTRAR.Haga clic con el botón secundario en Microsoft Forefront Threat Management Gateway y seleccione Desinstalar o cambiar.En el Asistente para la instalación de Microsoft Forefront TMG, seleccione Reparar, haga clic en Siguiente y, a continuación, haga clic en Instalar.
17
Importación de una configuración RTM en matrices de varios servidores
Problema Cuando se importa una configuración de una copia de seguridad en el nivel de matriz para una matriz de varios servidores, aparece el mensaje Error al importar.
Causa El proceso de transformación de la configuración RTM a SP1 genera un error cuando se incluye más de un servidor en el archivo de exportación.
Solución La solución es editar el archivo XML y quitar todas las referencias a varios servidores. El archivo editado debería contener un elemento de servidor únicamente.
Nota:
La información del objeto de servidor no es necesaria para la importación en el nivel de matriz.
Abra el archivo .XML exportado en el Bloc de notas o un editor similar. El contenido debería ser similar al siguiente:
<fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC" StorageType="0"> (...) <fpc4:Arrays StorageName="Arrays" StorageType="0"> <fpc4:Array StorageName="{GUID1}" StorageType="1"> (...) <fpc4:Servers StorageName="Servers" StorageType="1"> <fpc4:Server StorageName="{GUID2}" StorageType="1"> (...) </fpc4:Server> <fpc4:Server StorageName="{GUID3}" StorageType="1"> (...) </fpc4:Server> </fpc4:Servers> (...)
En la sección que comienza con <fpc4:Servers StorageName="Servers" StorageType="1">, quite todas las referencias que empiezan por <fpc4:Server>, excepto una. El contenido del archivo debería parecerse al siguiente:
<fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC" StorageType="0"> (...) <fpc4:Arrays StorageName="Arrays" StorageType="0"> <fpc4:Array StorageName="{GUID1}" StorageType="1"> (...) <fpc4:Servers StorageName="Servers" StorageType="1"> <fpc4:Server StorageName="{GUID2}" StorageType="1"> (...) </fpc4:Server> </fpc4:Servers> (...)
Guarde el archivo y realice la importación.
Instalación en un escenario de grupo de trabajo
Problema Los informes de actividad de usuario aparecen vacíos.
Causa En las implementaciones de grupo de trabajo, el servidor de informes no puede recopilar información sobre la actividad de usuario de otros miembros de la matriz porque la instancia de SQL Server que genera el informe se ejecuta con la cuenta Sistema local y, por lo tanto, se le deniega el acceso de RPC a otros miembros de la matriz.
Solución El servicio ISARS de SQL Server (MSSQL$ISARS) debería ejecutarse con una cuenta de usuario real con privilegios administrativos y esta cuenta de usuario debería reflejarse en todos los miembros de la matriz. Este servicio se puede encontrar únicamente en el equipo que actúa como servidor de informes. Haga lo siguiente:
Cree una nueva cuenta de usuario y conceda a dicha cuenta privilegios administrativos en todos los equipos de la matriz. En el símbolo del sistema, escriba:
net user <username> <Password> /add
net localgroup administrators <username> /addConfigure el servicio MSSQL$ISARS en el servidor de informes para iniciar sesión con esta cuenta de usuario. En el símbolo del sistema, escriba:
sc config MSSQL$ISARS obj= <reportservername>\<username> password=<Password>Reinicie todos los servicios pertinentes. En el símbolo del sistema, escriba:
net stop MSSQL$ISARS
net start MSSQL$ISARS
net stop ReportServer$ISARS
net start ReportServer$ISARS
Instalación del SP1 en Forefront Unified Access Gateway (UAG)
Problema Al instalar Forefront TMG SP1 en Forefront UAG, el Asistente para la instalación indica que hay Archivos en uso.
Solución Puede hacer clic en Omitir sin problemas. Cuando el asistente finalice la instalación, reinicie el equipo para completarla.
Vista previa web de Microsoft OneNote
Publicación en Microsoft SharePoint 2010
Problema Al intentar abrir un archivo de Microsoft OneNote mediante aplicaciones web de Microsoft Office hospedadas en Microsoft SharePoint 2010 se produce un error que indica que el archivo no se puede abrir.
Solución Espere de uno a dos minutos e intente abrir el archivo otra vez desde el mismo equipo.
Desinstalación del SP1
18
La desinstalación del SP1 a través del Panel de control genera un error
Problema Si está habilitado el Control de cuentas de usuario, al intentar desinstalar el SP1 a través del Panel de control se genera un error y no se quita el Service Pack.
Solución Para desinstalar el SP1, vea Desinstalación de Forefront TMG SP1.
Los informes de actividad de usuario permanecen visibles
Problema Después de desinstalar el SP1, los informes de actividad de usuario creados mientras estaba instalado el SP1 permanecen visibles en la lista de informes disponibles. Cualquier intento de generar o ver uno de estos informes no tiene éxito.
Solución Ninguna.
Actualizaciones de software del SP1Forefront TMG SP1 incluye correcciones de errores publicadas después de la versión original de Forefront TMG 2010. En la tabla siguiente se muestran los
números de Microsoft Knowledge Base (KB) asociados a algunas de las correcciones incluidas en Forefront TMG SP1:
Artículo de KB
Descripción
977062 Las condiciones de filtro de direcciones IP del filtro no funcionan en Forefront TMG 2010
977691 La inicialización de la aplicación genera un error después de crear un aparato de Forefront TMG 2010 si el equipo no tiene una dirección IP válida
978092 REVISIÓN: no se puede importar un archivo XML exportado desde una empresa que incluya un servidor basado en Forefront TMG 2010 Standard Edition
979249 REVISIÓN: no se puede habilitar la inspección de malware para una regla de acceso en Forefront TMG 2010 EMS
979250 REVISIÓN: no se puede agregar una dirección de correo electrónico que contenga caracteres especiales a la lista de remitentes bloqueados en Forefront TMG 2010
980309 REVISIÓN: no se puede crear un informe en Forefront TMG 2010 después de publicar un servidor SMTP
980310 Aparece el error "Equilibrio de carga en la red detenido: error de configuración" al intentar habilitar el equilibrio de carga de red en una matriz que tiene varios miembros de Forefront TMG 2010
980674 Un túnel VPN de sitio a sitio IPsec o un túnel VPN de sitio a sitio PPTP no funciona si se habilita el equilibrio de carga de red integrado en una matriz de Forefront TMG 2010
976545 REVISIÓN: mensaje de error al usar la tarea New-MoveRequest para mover un buzón de Exchange 2007 a Exchange 2010: "Error: MapiExceptionNetworkError: Unable to make connection to the server. (hr=0x80040115, ec=-2147221227)"
977427 REVISIÓN: se produce un uso elevado de la CPU cuando se exporta o se realizan copias de seguridad de la información de configuración de ISA Server 2006
976495 REVISIÓN: no se pueden descargar datos adjuntos a un mensaje desde el servidor OWA si este se publica mediante ISA Server 2006
978970 REVISIÓN: no se puede cambiar una contraseña que ha expirado en una aplicación web de la intranet publicada mediante la Autenticación basada en formularios y la autenticación LDAP en ISA Server 2006
980066 REVISIÓN: ISA Server 2006 no detecta una respuesta de restablecimiento de TCP al habilitar la compresión HTTP
982173 REVISIÓN: se produce un retraso importante al intentar ver otra regla de directiva en ISA Server 2006 si la matriz contiene varios servidores ISA Server
981189 REVISIÓN: se puede iniciar sesión en OWA con un certificado de usuario expirado en TMG 2010
976495 REVISIÓN: no se pueden descargar datos adjuntos a un mensaje desde el servidor OWA si este se publica mediante TMG 2010
979142 REVISIÓN: el cliente RSA SecurID no puede iniciar sesión en OWA en TMG 2010 si el nombre de usuario contiene un apóstrofo
982181 REVISIÓN: TMG 2010 no reconoce un nombre alternativo del sujeto en un sistema operativo Windows no inglés
980723 REVISIÓN: proxy transparente: cuando los clientes proxy no CERN realizan una solicitud de una dirección URL, en el registro de TMG se ve la dirección IP del sitio web solicitado y no la dirección URL completa
982550 REVISIÓN: no se puede obtener acceso a sitios web que requieren un certificado de cliente si la inspección de HTTPS está activa
982604 REVISIÓN: la administración remota de TMG genera un error si un objeto de directiva de grupo aplica restricciones para clientes RPC no autenticados y la autenticación de cliente de asignador de extremo RPC
982820 REVISIÓN: TMG 2010 puede no generar informes si se instala en un entorno de espacio de nombres separado
Otras revisiones incluidas son:
La publicación en web de ISA con delegación KCD o Negotiate genera una solicitud de vale Kerberos para cada solicitud
19
Varias mejoras de codificación fragmentada (en bloques) para la publicación de OWA
REVISIÓN: DsCrackNames genera el error "Identificador no válido" si se interrumpe la conexión con GC
REVISIÓN: bloqueo en escenarios excepcionales donde se producen conflictos entre el tráfico PPTP y GRE
AccesibilidadSe aplica a: Forefront Threat Management Gateway (TMG)
Además de los productos y servicios de accesibilidad del sistema operativo Windows Server 2008 y de Microsoft Management Console (MMC), Forefront TMG proporciona teclas de método abreviado para seleccionar comandos y para desplazarse en los paneles de la consola y entre ellos.Exploración
Al igual que en cualquier complemento MMC, puede examinar el árbol de la consola de Forefront TMG mediante la expansión y contracción de las ramas, haciendo clic en los signos más y menos, o haciendo doble clic en el nodo aplicable. En la siguiente tabla se muestra una lista de las pulsaciones que se pueden utilizar para moverse dentro de los paneles de la consola y entre ellos.
Acción de la pulsación Resultado
Tab Avanza entre los paneles de la ventana activa.
Mayús+Tab Retrocedes entre los paneles de la ventana activa.
FLECHA ARRIBA Mueve la selección hacia arriba un elemento de un panel.
FLECHA ABAJO Mueve la selección hacia abajo un elemento de un panel.
RE PÁG Mueve la selección al elemento superior visible de un panel.
AV PÁG Mueve la selección al elemento inferior visible de un panel.
INICIO Mueve la selección al primer elemento visible de un panel.
FIN Mueve la selección al último elemento visible de un panel.
FLECHA DERECHA Expande el elemento seleccionado.
FLECHA IZQUIERDA Contrae el elemento seleccionado. Si el elemento seleccionado no contiene elementos ocultos, funciona como FLECHA ARRIBA.
En la siguiente tabla se muestra una lista de las acciones del mouse (ratón) que se pueden utilizar para desplazarse por el árbol de la consola de Forefront TMG.
Acción del mouse Resultado
Hacer clic Selecciona un elemento.
Hacer doble clic Muestra u oculta los elementos que contiene el elemento seleccionado. Muestra las propiedades de un elemento o lo abre.
Hacer clic con el botón secundario Muestra el menú contextual del elemento seleccionado.
Desplazamiento entre fichas
Para moverse entre fichas, utilice el comando Cambiar a del menú Ver. Presione ALT+V para tener acceso al menú Ver y, a continuación, presione W para tener acceso al comando Cambiar a. Seguidamente, haga clic en el método abreviado aplicable y tendrá acceso a la ficha.Si la ficha contiene una lista, debe utilizar la tecla de dirección ABAJO para seleccionar un elemento de la lista.
Métodos abreviados
En la siguiente tabla se muestra una lista de los métodos abreviados para los comandos de menú de Administración de Forefront TMG.
Acción Resultado
F1 Abre el tema de Ayuda, si hay alguno, del elemento seleccionado.
F5 Actualiza el contenido de todos los paneles de la consola.
ENTRAR Muestra el cuadro de diálogo de propiedades, si hay, del elemento seleccionado.
ALT+BARRA ESPACIADORA Muestra el menú de la ventana de Administración de Forefront TMG.
ALT+F4 Cierra el complemento.
ALT+A Muestra el menú Acción.
ALT+V Muestra el menú Ver.
ALT+F Muestra el menú Archivo.
ALT+H Muestra el menú Ayuda.
Características de accesibilidad de la ayuda de Forefront TMG
20
La ayuda de Forefront TMG incluye características que facilitan el acceso a la herramienta de un espectro más amplio de usuarios, incluyendo aquéllos con destrezas limitadas, poca visión u otras discapacidades.
Métodos abreviados para el uso de la ventana de AyudaMediante los siguientes métodos abreviados del teclado, podrá llevar a cabo rápidamente muchas tareas habituales en la ayuda.
Para elloUtilice este método abreviado del teclado
Mostrar la ventana Ayuda. F1
Cambiar el cursor entre el panel de temas de la Ayuda y el panel de navegación (fichas como Contenido, Buscar e Índice). F6
Cambiar entre fichas (por ejemplo, Contenido, Buscar e Índice) mientras se encuentre en el panel de navegación.Seleccionar el siguiente texto oculto o hipervínculo.
ALT + letra subrayada de la fichaTab
Seleccionar el texto oculto o hipervínculo anterior. Mayús+Tab
Realizar la acción seleccionada: Mostrar todo, Ocultar todo, texto oculto o hipervínculo. ENTRAR
Mostrar el menú Opciones para tener acceso a cualquier comando de la barra de herramientas de la Ayuda. ALT+O
Ocultar mostrar el panel que contiene las fichas Contenido, Buscar e Índice. ALT+O y, a continuación, presione T
Mostrar el tema visualizado anteriormente. ALT+O y, a continuación, presione B
Mostrar el tema siguiente en una secuencia de temas mostrada anteriormente. ALT+O y, a continuación, presione F
Volver a la página principal. ALT+O y, a continuación, presione H
Evitar que la ventana de Ayuda abra un tema de Ayuda (útil si desea detener la descarga de una página web). ALT+O y, a continuación, presione S
Abrir el cuadro de diálogo Opciones de Internet para Microsoft Internet Explorer, desde donde se puede cambiar la configuración de accesibilidad.
ALT+O y, a continuación, presione I
Actualizar el tema (útil si se ha vinculado a una página web). ALT+O y, a continuación, presione R
Imprimir todos los temas en un libro o sólo un tema seleccionado. ALT+O y, a continuación, presione P
Cerrar la ventana Ayuda. ALT+F4
Para cambiar la apariencia de un tema de Ayuda1. Para personalizar los colores, los estilos de fuente y los tamaños de fuente utilizados en la Ayuda, abra la ventana Ayuda.
2. Haga clic en Opciones y, a continuación, en Opciones de Internet.
3. En la ficha General, haga clic en Accesibilidad. Seleccione Omitir los colores especificados en páginas web, Omitir estilos de fuentes especificados en páginas
web y Omitir tamaños de fuentes especificados en páginas web. También puede utilizar los valores especificados en su hoja de estilos.4. Para cambiar los colores utilizados en la Ayuda, consulte Para cambiar el color de fondo o el texto. Para cambiar la fuente, consulte Para cambiar la fuente de la
Ayuda.
Para cambiar el color del fondo o el texto de la Ayuda1. Abra la ventana Ayuda.
2. Haga clic en Opciones y, a continuación, en Opciones de Internet.
3. En la ficha General, haga clic en Accesibilidad. A continuación, seleccione Omitir colores especificados en páginas web. También puede utilizar los valores
especificados en su hoja de estilos. 4. Para personalizar los colores utilizados en la Ayuda, en la ficha General haga clic en Colores. Desactive la casilla Usar colores de Windows y, a continuación,
seleccione los colores de fondo y de fuente que desea utilizar.
Nota:
Si cambia el color de fondo de los temas de Ayuda en la ventana Ayuda, el cambio también afecta al color de fondo de una página web en Microsoft Internet Explorer.
Para cambiar la fuente en la Ayuda1. Abra la ventana Ayuda.
2. Haga clic en Opciones y, a continuación, en Opciones de Internet.
3. En la ficha General, haga clic en Accesibilidad. Para utilizar la misma configuración que la utilizada en su instancia de Microsoft Internet Explorer, seleccione
Omitir estilos de fuentes especificados en páginas web y Omitir tamaños de fuentes especificados en páginas web. También puede utilizar los valores especificados en su hoja de estilos.
21
4. Para personalizar el estilo de fuente utilizado en la Ayuda en la ficha General, haga clic en Fuentes y, a continuación, haga clic en el estilo de fuente que desee.
Nota:
Si cambia la fuente de los temas de Ayuda de la ventana Ayuda, el cambio también afecta a la fuente cuando se ve una página web en Internet Explorer.
Planeación y diseño de Forefront TMGEl propósito de Planeación y diseño de Forefront TMG es ayudarle a planear y diseñar una implementación de un extremo a otro de Forefront TMG en un entorno
de producción. Describe los diseños y las características de acceso y protección de Forefront TMG, y proporciona recomendaciones e instrucciones para ayudarle a determinar qué diseños son adecuados para sus objetivos de implementación y para su entorno de negocio.Las siguientes guías de planeación y diseño están disponibles:
Guía de diseño de escalabilidad y alta disponibilidad para Forefront TMG
Guía de diseño de instalación para Forefront TMG
Guía de diseño de acceso para Forefront TMG
Guía de diseño de protección para Forefront TMG
Guía de planeación de administración para Forefront TMG
Guía de diseño de escalabilidad y alta disponibilidad para Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La guía de diseño y alta disponibilidad para Forefront TMG ayuda a planear la disponibilidad continua de Forefront TMG y cualquier aplicación que publica, y el escalado de su implementación de Forefront TMG cuando aumenten las necesidades de su organización. Proporciona información que le ayudará a tomar las decisiones de diseño de implementación adecuadas para sus objetivos de negocio y para su entorno.
Acerca esta guíaEsta guía está pensada para el administrador del sistema o el arquitecto del sistema responsable del diseño e implementación de las matrices y los servidores de Forefront TMG en el entorno de producción. Antes de leer esta guía, debería estar familiarizado con los conceptos de configuración y diseño de red, alta disponibilidad y equilibrio de carga.
Identificar y asignar la alta disponibilidad y los objetivos de implementación de escalabilidadLa siguiente tabla está diseñada para ayudarle a identificar la alta disponibilidad y los objetivos de implementación de escalabilidad de Forefront TMG. Después de identificar los objetivos que son adecuados para su organización, puede asignarlos a los diseños pertinentes de Forefront TMG.
Objetivo de implementación Diseño de Forefront TMG
Garantizar la continuidad operacional de la implementación de Forefront TMG y cumplir los requisitos de rendimiento cada vez mayores.
Alta disponibilidad y escalabilidad del servidor de Forefront TMG. Para obtener más información, vea Planeación para la escalabilidad y alta disponibilidad del servidor de Forefront TMG.
Garantizar la conexión ininterrumpida a Internet. Alta disponibilidad del proveedor de acceso a Internet. Para obtener más información, vea Planeación para alta disponibilidad del proveedor de servicios Internet.
Habilitar la alta disponibilidad de los servidores de una granja de servidores web publicados, para el acceso de entrada.
Granjas de servidores web para equilibrio de carga. Para obtener más información, vea Acerca del equilibrio de la carga para publicación de web.
Planeación para la escalabilidad y alta disponibilidad del servidor de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Este tema está diseñado para ayudarle a planear sus implementaciones de Forefront TMG según sus necesidades de escalabilidad y disponibilidad, usando una o varias matrices de Forefront TMG. Las matrices de Forefront TMG proporcionan:
Alta disponibilidad: para garantizar la continuidad operacional de la implementación de Forefront TMG, incluso durante la inactividad de uno o varios de los servidores de Forefront TMG de la implementación. La configuración de Forefront TMG en todos los servidores de la matriz es idéntica, por lo que se ofrece un servicio ininterrumpido durante la conmutación por error de uno o más miembros de la matriz.
Escalabilidad: para cumplir las demandas en aumento de rendimiento. Por ejemplo, con un número creciente de usuarios, o usuarios que desean aumentar sus actividades de Internet, se requiere ancho de banda de red adicional. Cuando aumenten las necesidades de su organización, puede actualizar con facilidad una implementación de un único servidor de Forefront TMG a una matriz de Forefront TMG, aumentar el número de miembros de una matriz existente o aumentar los números de matrices.
22
Almacenamiento en caché persistente y distribuido: conserva todos los servidores actualizados con la configuración del administrador de matriz más reciente, permitiéndoles así a los usuarios designar un nuevo administrador de matriz a petición. La información es persistente y se conserva durante el tiempo de inactividad de uno o varios de los servidores de Forefront TMG en la implementación.
Nota:
Las matrices de varios servidores solo se admiten en Forefront TMG Enterprise. Forefront TMG Standard admite únicamente una matriz de un solo servidor. Para obtener más información, vea Acerca de las ediciones de Forefront TMG.
En las secciones siguientes se describe:
Acerca de las matrices de Forefront TMG
Servidores de Forefront TMG de equilibrio de carga en una matriz
Acerca de las matrices de Forefront TMGUna matriz de Forefront TMG es una colección de servidores de Forefront TMG que se administran de manera centralizada, a través de una única interfaz de administración. Al crear una matriz de Forefront TMG, la siguiente configuración se almacena en una ubicación central:
Los valores de configuración de la matriz, que son relevantes para todos los miembros de la matriz y compartidos por ellos.
Los valores de configuración del servidor, que solo son pertinentes para un miembro de matriz concreto, para cada uno de los miembros de la matriz.
Forefront TMG Enterprise admite dos tipos de matrices:
Independiente: según el método de equilibrio de carga seleccionado, una matriz independiente puede tener hasta 50 servidores de Forefront TMG administrados por uno de los miembros de la matriz que actúa como el administrador de matriz; para más información acerca del equilibrio de carga, vea Servidores de Forefront TMG de equilibrio de carga en una matriz. Use este tipo de matriz si Forefront TMG se implementa en una ubicación lógica única y administra una carga de tráfico media.
Administrada por EMS: una matriz administrada por EMS puede tener hasta 200 matrices de Forefront TMG, cada una de ellas con un máximo de 50 servidores de Forefront TMG, administradas por un servidor Enterprise Manager Server (EMS). Cuando ha configurado una matriz administrada por EMS, puede replicar su configuración y administrar hasta 15 matrices administradas por EMS con la misma configuración, habilitando así la administración centralizada de hasta 150.000 servidores de Forefront TMG.
Puede usar una matriz administrada por EMS en los siguientes escenarios de implementación: Forefront TMG se implementa en una ubicación lógica única y administra una carga alta de tráfico.
Forefront TMG se implementa en varias ubicaciones. En este escenario, EMS se utiliza para la administración centralizada de varias ubicaciones, incluidas las ubicaciones con cargas del tráfico relativamente bajas; por ejemplo, una implementación de sucursal.
Servidores de Forefront TMG de equilibrio de carga en una matrizEl equilibrio de carga sirve para equilibrar el tráfico de red entre miembros de matriz, de manera que el tráfico se optimiza en todos los servidores disponibles. Puede usar el equilibrio de carga de red (NLB) o un equilibrador de carga de hardware de terceros para equilibrar la carga de tráfico entre los miembros de matriz de Forefront TMG, como se indica a continuación:
NLB: esta característica opcional de Windows Server 2008 está integrada en Forefront TMG. Las herramientas de NLB son un requisito previo para la instalación de Forefront TMG (como se describe en Requisitos del sistema para Forefront TMG); puede configurar directamente NLB en la consola de administración de Forefront TMG. En una matriz de Forefront TMG, NLB admite el equilibrio de carga en un máximo de ocho miembros de matriz. Este método para implementar el equilibrio de carga proporciona varias ventajas:
Ahorros de costos, ya que no se tiene que comprar ningún dispositivo de hardware.
Supervisión y administración simplificadas, ya que NLB se puede administrar directamente en la consola de administración de Forefront TMG. Puede aplicar la configuración de NLB con facilidad a todos los miembros de la matriz.
Facilidad de administración de nodos, ya que los nodos se pueden administrar y purgar a través de la consola de administración de Forefront TMG.
La configuración y las reglas de firewall se configuran automáticamente.
Nota:
El uso de NLB integrado es el método recomendado para implementar NLB en Forefront TMG. Le permite aprovecharse de los beneficios de la administración central, la configuración, el mantenimiento y la solución de problemas, que no están disponibles si configura directamente NLB mediante las herramientas NLB basadas en Windows.
Equilibrio de carga de hardware de terceros: el equilibrio de carga que seleccione debe admitir la afinidad de IP.Acerca del almacenamiento empresarialSe aplica a: Forefront Threat Management Gateway (TMG)En Forefront TMG, la configuración de todos los servidores en una matriz está almacenada en una ubicación central, en un almacenamiento de Active Directory Lightweight Directory Services (AD LDS).La ubicación de almacenamiento depende del tipo de matriz de Forefront TMG, según se explica a continuación:
23
Matriz independiente: en una matriz independiente, la configuración está almacenada en un almacén de configuración en el servidor del administrador de la matriz. Este método de almacenamiento, que también se utiliza para almacenar la configuración en un servidor de Forefront TMG independiente, es similar al servidor de almacenamiento de configuración (CSS), que se usaba para almacenar la configuración y las directivas de empresa en ISA Server 2006 Enterprise Edition.
Matriz administrada por un servidor Enterprise Management Server (EMS): en una matriz administrada por un EMS, la configuración está almacenada en el EMS.
En ambos tipos de matriz, AD LDS también se instala localmente en todos los miembros de matriz de Forefront TMG y se deshabilita cuando el servidor Forefront TMG se une a la matriz. Los miembros de la matriz tienen acceso al administrador de matriz (en la matriz independiente) o a EMS (en la matriz administrada por EMS) para actualizar la configuración y las directivas de matriz y empresa.
Planeación para alta disponibilidad del proveedor de servicios InternetEste tema está diseñado para ayudar al administrador de Forefront TMG a garantizar una conexión ininterrumpida a Internet en organizaciones donde:
Forefront TMG se implementa en el perímetro de la red, actuando así como puerta de enlace de la organización a Internet.
La conexión a Internet la proporcionan dos proveedores de servicios de Internet (ISP).
La característica de redundancia de ISP de Forefront TMG habilita la conectividad a Internet ininterrumpida, como se describe en Habilitación de la redundancia del Proveedor de acceso a Internet (ISP).
Nota:
La redundancia de ISP no se aplica al tráfico que se origina en Forefront TMG, salvo el tráfico administrado por el filtro del proxy web.
En las secciones siguientes se describe:
Métodos de distribución de tráfico
Requisitos para habilitar la redundancia de ISP
Métodos de distribución de tráficoPuede configurar Forefront TMG para distribuir el tráfico saliente entre dos conexiones de ISP mediante uno de los métodos siguientes:
Equilibrio de carga con capacidades de conmutación por error: alta disponibilidad entre las dos conexiones, incluyendo las siguientes capacidades:
Equilibrio de carga: distribuya el tráfico entre las conexiones según la proporción que defina. Por ejemplo, puede asignar el 80% del tráfico a una conexión y el restante 20% a la segunda conexión.
Conmutación por error: si una conexión se vuelve no disponible, la otra conexión administra el tráfico. La conexión a Internet es ininterrumpida y los usuarios finales no se ven afectados.
Use esta opción cuando desee usar ambas conexiones de manera simultánea.
Solo conmutacón por error: una conexión se define como la conexión principal para todo el tráfico, mientras que la otra conexión solo actúa como la conexión de reserva. Si la conexión principal se vuelve no disponible, el tráfico se enruta a la conexión de reserva y el servicio de Internet es ininterrumpido.
Use esta opción cuando desee usar solo la conexión secundaria cuando la conexión principal no esté disponible.
Requisitos para habilitar la redundancia de ISPA continuación, indicamos los requisitos para habilitar la redundancia de ISP en Forefront TMG:
Todas las redes perimetrales e internas conectadas a Forefront TMG deben tener una relación de traducción de direcciones de red (NAT) con la red externa predeterminada.
Todas las conexiones ISP se deben configurar con una subred IP única y una puerta de enlace predeterminada única.
Nota:
Windows Server 2008 no admite varias puertas de enlace predeterminadas en vínculos asignados por DHCP. Si sus ISP solo admiten el direccionamiento asignado por DHCP, debe agregar manualmente ambas puertas de enlace predeterminadas a la tabla de enrutamiento de Forefront TMG.
Forefront TMG debe estar conectado directamente a ambos ISP, sin equipos intermedios; por ejemplo, un servidor proxy, entre ellos. En una matriz de Forefront TMG, cada miembro debe estar conectado directamente a ambos ISP.
Si opta por asociar una o ambas conexiones de ISP a un adaptador de red, las conexiones deben estar asociadas al adaptador de red externo predeterminado; no debe asociar una conexión de ISP a ninguna otra red externa.
Las entradas de servidor DNS de ISP no pueden residir en la misma subred que el adaptador de red al que están asociadas. Se recomienda que, antes de ejecutar el Asistente de redundancia de ISP, quite cualquier entrada de DNS que exista en la misma subred que el adaptador de red al que piensa asociarlas. Después de completar el asistente, agregue las entradas que quitó a la configuración de IP y a las listas de servidores de ISP. Para obtener más información, vea Habilitación de la redundancia del Proveedor de acceso a Internet (ISP).
24
Se recomienda que la configuración de procesamiento de descarga de red sea idéntica en ambos adaptadores conectados a los ISP. Si la configuración no es idéntica, el procesamiento de descarga de red se deshabilita en ambos adaptadores.
Acerca del equilibrio de la carga para publicación de webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En Forefront TMG, al publicar una granja de servidores web que realizan el mismo rol u hospedan el mismo contenido, puede habilitar la disponibilidad alta para el acceso de entrada configurando Forefront TMG con el fin de controlar el equilibrio de carga entre los servidores de la granja. El equilibrio de carga asegura que las solicitudes se distribuyen de manera uniforme entre los servidores web disponibles, detecta los servidores sin conexión, implementa la conmutación por error y mantiene los servidores de la granja, sin interrumpir las conexiones de extremo actuales.El equilibrio de carga de Forefront TMG asegura que el tráfico se distribuye uniformemente entre los servidores de la granja, usando los siguientes mecanismos:
Mecanismo round-robin: al expandir las solicitudes de diferentes direcciones IP de manera uniforme entre los miembros de la granja de servidores web, el mecanismo round-robin asegura que las solicitudes del usuario a una aplicación web atendidas por una granja de servidores web se distribuyen uniformemente entre los miembros de la granja que están en línea. Esta distribución uniforme se mantiene durante la conmutación por error. Cuando se produce la conmutación por error, se detectan los servidores que no están respondiendo y la carga se distribuye entre los servidores disponibles.
Afinidad: Forefront TMG asegura que, después de que un usuario se ha enrutado una vez a un servidor de aplicación, el usuario se le continúa enrutando a dicho servidor. Forefront TMG admite dos tipos de afinidad de equilibrio de carga:
Equilibrio de carga basado en cookies o afinidad de sesión: la sesión del usuario está asociada al servidor. Es recomendable usar la afinidad de sesión siempre que sea posible, ya que proporciona una afinidad de cliente más confiable cuando se reinicia un servidor web.
Equilibrio de carga basado en IP de origen o afinidad de IP: la dirección IP del cliente está asociada al servidor. Este tipo de afinidad debería usarse en los casos de publicación de RPC sobre HTTP de Exchange, en los que no se puede usar la afinidad de sesión porque la aplicación cliente Outlook no admite cookies.
Guía de diseño de instalación para Forefront TMGSe aplica a: Forefront Threat Management Gateway (TMG)
La guía de diseño de instalación de Forefront TMG está pensada para ayudarle a planear una nueva instalación de Forefront TMG o a migrar un sistema existente de acuerdo con los requisitos de su organización y el diseño concreto que desee crear.
Acerca esta guíaEsta guía está dirigida a administradores de seguridad e ingenieros de operaciones de TI que conocen bien el funcionamiento de Forefront TMG a nivel funcional, así como los requisitos organizativos que quedarán reflejados en el diseño de Forefront TMG.
Identificar y asignar sus objetivos de instalaciónLa siguiente tabla está diseñada para ayudarle a identificar sus objetivos de instalación de Forefront TMG. Después de identificar los objetivos que son adecuados para su organización, puede asignarlos a los diseños pertinentes de Forefront TMG.
Objetivo de instalación Diseños de Forefront TMG
Migrar Internet Security and Acceleration (ISA) Server 2004 a Forefront TMGMigrar ISA Server 2006 a Forefront TMGMigrar la versión candidata de versión comercial (RC) de Forefront TMG a la versión para fabricación (RTM) de Forefront TMGActualizar Forefront TMG Standard Edition a Enterprise Edition
Rutas de migración y actualización de Forefront TMG. Para obtener más información, vea Planeación de migración.
Instalar Forefront TMG. Escenarios y modos de instalación de Forefront TMG. Para obtener más información, vea Planeación para instalar Forefront TMG.
Aprovisionar el hardware del servidor. Recomendaciones de hardware de Forefront TMG. Para obtener más información, vea Recomendaciones de hardware para Forefront TMG 2010.
Integrar Forefront TMG en la topología de red existente según los requisitos de seguridad de la red.
Topologías de red de Forefront TMG. Para obtener más información, vea Planeación de la topología de red de Forefront TMG.
Determinar el entorno de implementación. Entorno de dominio o grupo de trabajo. Para obtener más información, vea Consideraciones del dominio o del grupo de trabajo.
Preparar la infraestructura de certificación. Publicación de web: autenticar el equipo de Forefront TMG para el usuario externo.Publicación de web: autenticar el servidor web back-end para el equipo de Forefront TMG.VPN: túnel L2TP/IPsec o IPsec.Inspección de HTTPS.Entorno de grupo de trabajo: autenticación de servidor y cifrado de datos.Para obtener más información, vea Planeación de certificados de servidor.
Controlar la administración y auditoría de Forefront TMG. Roles y permisos de Forefront TMG. Para obtener más información, vea Acerca de
25
los permisos y roles de Forefront TMG.
Preparar la infraestructura de resolución de nombres de dominio. Sistema de nombres de dominio (DNS) del servidor. Para obtener más información, vea Planeación de resolución de nombres de dominio.
Preparar los equipos internos para la comunicación con el servidor de Forefront TMG.
Cliente de Forefront TMG u otro software cliente de Firewall.Cliente proxy web.Cliente de traducción segura de direcciones de red (SecureNAT).Para obtener más información, vea Acerca de los equipos cliente de firewall.
Permitir a los equipos internos detectar automáticamente la ubicación del servidor de Forefront TMG que deberían usar como proxy web.
Detección automática de proxy web. Para obtener más información, vea Planeamiento de la detección automática de proxy web.
Planeación de migraciónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG admite las siguientes opciones de migración:
Migrar Internet Security and Acceleration (ISA) Server 2004 a Forefront TMG.
Migrar ISA Server 2006 a Forefront TMG.
Migrar la versión candidata de versión comercial (RC) de Forefront TMG a la versión para fabricación (RTM) de Forefront TMG.
Actualizar Forefront TMG Standard Edition a Enterprise Edition.Para obtener más información e instrucciones sobre las opciones de migración, vea Migración y actualización a Forefront TMG.
Limitaciones de migraciónAntes de migrar, debería tener en cuenta lo siguiente:
La migración de ISA Server 2004 sólo se admite para ISA Server 2004 Service Pack 3.
La migración de ISA Server 2006 sólo se admite para ISA Server 2006 Service Pack 1.
Si ha habilitado la red de host local para que escuche las solicitudes del cliente proxy web, no se migrará esta configuración.
No se migran las selecciones de campos de registro personalizadas. Cuando se importan los valores de configuración de ISA Server, las selecciones de campos de registro personalizadas se sobrescriben con la configuración de campo de registro predeterminada.
No se migran los valores de configuración del informe.
Si ha especificado un valor personalizado para el número de veces que se debe producir un evento antes de que se desencadene una alerta, no se migrará este valor personalizado.
Los complementos de terceros se deshabilitan después de la actualización. Si estuviera ejecutando un complemento de otro fabricante para ISA Server, antes de volver a habilitarlo, debería ponerse en contacto con el proveedor para comprobar la disponibilidad de una versión actualizada para Forefront TMG.
Después de migrar la configuración de ISA Server, el grupo de direcciones estáticas para VPN no se migra en la configuración de Forefront TMG. Así es por diseño y afecta a VPN S2S (solo RRAS) y a los clientes de movilidad de VPN.
Después de migrar la configuración de VPN S2S de ISA Server a Forefront TMG, la red S2S no se conecta porque no se ha configurado ningún propietario de túnel.
Para resolver este problema, ejecute el siguiente script en Forefront TMG después de la importación:
<script>
dim root
Set root = CreateObject("FPC.Root")
Set Arr=root.GetContainingArray
set S2SNet = Arr.NetworkConfiguration.Networks.Item(NetworkName)
S2SNet.VpnConfiguration.SetAssignedServer(root.GetContainingServer.Name)
S2SNet.save
</script> En ISA 2006 (fase I y fase II), la configuración de IPsec para IPsec S2S tenía los siguientes valores predeterminados:
Algoritmo de cifrado: 3DES
Algoritmo de integridad: SHA1
En Forefront TMG, estos valores se cambiaron a nuevos valores predeterminados que proporcionan mayor seguridad:
Algoritmo de cifrado: AES256
Algoritmo de integridad: SHA256
26
Al importar una configuración de ISA Server que usa los valores predeterminados, los valores predeterminado actuales de Forefront TMG reemplazan estos valores (por diseño).El reemplazo de los valores predeterminados afectará a la configuración de IPsec actual (a menos que la configuración también se cambie en el otro lado del túnel de modo que se usen los valores actuales). Los valores actuales se pueden cambiar en la interfaz de usuario, en la opción Configuración de IPsec de la pestaña Conexión de la hoja de propiedades de la red S2S.Planeación para instalar Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describen las opciones disponibles para una nueva instalación de Forefront TMG y se proporciona ayuda para decidir las opciones más adecuadas para cada entorno.Antes de comenzar, compruebe que el equipo en el que desea instalar Forefront TMG cumple los requisitos de hardware y software descritos en Requisitos del sistema para Forefront TMG.Se recomienda leer las siguientes secciones al planear su instalación de Forefront TMG:
Escenarios de instalación
Modos de instalación
Escenarios de instalaciónLos siguientes escenarios de instalación están disponibles para una nueva instalación de Forefront TMG:
Servicios de Forefront TMG: se instala un único servidor de Forefront TMG en el equipo, incluidos todos los servicios de Forefront TMG y la consola de administración de Forefront TMG, para la administración local de Forefront TMG. Para obtener instrucciones, vea Instalación de servicios Forefront TMG.
Administración remota: se instala solo la consola de administración de Forefront TMG para la administración remota de los servidores de Forefront TMG instalados en otros equipos. La consola es un complemento de la consola de administración de Microsoft (MMC).
Tenga en cuenta las consideraciones siguientes:
Puede ejecutar la consola de administración de Forefront TMG en las versiones de 32 bits de Windows Server 2008, mientras que otras opciones de Forefront TMG requieren un sistema operativo Windows Server 2008 de 64 bits.
Necesita una conexión fiable y rápida entre el equipo de Forefront TMG y el equipo que ejecuta la consola de administración de Forefront TMG para que la consola responda rápidamente y muestre la información de configuración actualizada. Si su conexión al equipo de Forefront TMG es inferior a 5 megabits por segundo, se recomienda que se conecte al equipo de Forefront TMG a través de una conexión del Protocolo de escritorio remoto y que ejecute la consola de administración de Forefront TMG localmente, en el equipo de Forefront TMG.
No puede usar una consola de administración remota de Forefront TMG para ejecutar el Asistente de introducción de Forefront TMG. Para ejecutar el asistente de introducción, es necesario tener acceso a la consola local.
Para obtener instrucciones, vea Instalación de la consola de administración para tareas de administración remota.
Enterprise Management Server (EMS): esta opción solo está disponible para los usuarios de Forefront TMG Enterprise Edition; no está disponible para los usuarios de Forefront TMG Standard Edition. EMS permite administrar varias matrices de Forefront TMG de manera centralizada. Puede crear y actualizar directivas de empresa, y crear reglas de la directiva que puede asignar a las matrices de la empresa. Para obtener instrucciones, vea Instalación de un servidor Enterprise Management Server (EMS) para la administración centralizada.
Modos de instalaciónPuede ejecutar la instalación de Forefront TMG en modo interactivo o desatendido:
Modo interactivo: en este modo, supervisa el proceso de instalación e introduce la información de instalación necesaria cuando se la solicita el proceso de instalación. Este modo se recomienda si va a instalar un servidor de Forefront TMG único o un número reducido de servidores de Forefront TMG. Para obtener instrucciones, vea Instalación de los servicios de Forefront TMG en modo interactivo.
Modo desatendido: para ejecutar la instalación en este modo, prepara la información de instalación en un archivo usado por el proceso de instalación durante la misma. Este modo se recomienda para la implementación de varios servidores de Forefront TMG. Para obtener instrucciones, vea Instalar los servicios de Forefront TMG en modo desatendido.
Nota:
Debe ser miembro del grupo Administradores en el equipo local para ejecutar la instalación de Forefront TMG, en cualquier modo.Se recomienda deshabilitar el protector de pantalla antes de realizar una instalación desatendida; el proceso de instalación se pausará si el protector de pantalla del equipo está activado.
Recomendaciones de hardware para Forefront TMG 2010Se aplica a: Forefront Threat Management Gateway (TMG)Antes de instalar Forefront TMG, se recomienda que revise este tema para asegurarse de que el hardware es suficiente para la implementación. Los requisitos de hardware de los servidores que ejecutan Forefront TMG varían y dependen de varios factores:
Las características que se habilitan.
El número de usuarios simultáneos.
27
El ancho banda de red de área extensa (WAN) máximo disponible.
En este tema se describen las recomendaciones de hardware para escenarios de implementación comunes. Observe que Forefront TMG puede admitir valores superiores a los mostrados en la tabla 1. Los resultados de las pruebas de hardware disponibles para la versión RTM demuestran que un solo servidor de Forefront TMG, implementado como puerta de enlace web segura, puede admitir de manera razonable hasta 12.169 usuarios simultáneos y un ancho banda WAN máximo de 487 Mbps. Para admitir este nivel de características, usuarios y ancho de banda, se necesita un servidor de alta gama con 2 procesadores Intel Xeon Core i7 3333 MHz, con 8 núcleos cada uno, y 12 GB RAM.En la siguiente tabla se muestran las recomendaciones de hardware para escenarios de implementación comunes.
Tabla 1: Recomendaciones de hardware para escenarios de implementación comunesServidor proxy1
Puerta de enlace web segura2
Puerta de enlace web segura2
Puerta de enlace de correo segura3
Puerta de enlace de correo segura3
usuarios 1,500 750 1,500 4,000 10,000
Ancho de banda de WAN 100 Mbps 50 Mbps 100 Mbps 10 Mbps 20 Mbps
CPU: AMD Opteron 1 núcleo dual
1 núcleo cuádruplo 2 núcleos cuádruplos 1 núcleo cuádruplo 2 núcleos cuádruplos
CPU: Intel Xeon4 1 núcleo dual
1 núcleo Core2 cuádruplo
2 núcleos Core2 cuádruplos1 núcleo Core i7 cuádruplo5
1 núcleo Core2 cuádruplo
2 núcleos Core2 cuádruplos1 núcleo Core i7 cuádruplo5
Memoria 2 GB 4 GB 8 GB 4 GB 8 GB
Espacio de disco para registro 150 GB 80 GB 150 GB 10 GB 20 GB
Discos adicionales para almacenamiento en caché web
1 0 1 N/D N/D
Interfaz de red 100 Mbps 100 Mbps 100 Mbps 100 Mbps 100 Mbps
Nota:
1 Incluye almacenamiento en caché web y filtrado de URL.2 Incluye filtrado de URL, inspección de malware, inspección de HTTPS, Sistema de inspección de red, almacenamiento en caché web, protección de correo y protección de SIP/VoIP.3 Incluye protección de correo, como protección contra correo no deseado y contra malware.4 "Core2" hace referencia a procesadores con Intel Core Microarchitecture; "Core i7" hace referencia a procesadores con Intel Microarchitecture, nombre de código Nehalem.5 Asegúrese de que el procesador Core i7 cuenta con tecnología Intel Hyper-Threading.
Importante:
Si el número de usuarios o el ancho de banda de su implementación supera los valores de la tabla o si desea mejorar el escenario en lo referente a las características habilitadas, se recomienda que descargue la herramienta de planeación de la capacidad que está disponible en el centro de descarga (http://go.microsoft.com/fwlink/?LinkId=182886).
En las siguientes secciones se proporcionan instrucciones para aprovisionar y configurar correctamente el hardware del servidor según su implementación:
Diseño de hardware de servidor
Consideraciones acerca del procesador
Consideraciones acerca del almacenamiento
Consideraciones acerca del adaptador de red
Recomendaciones de redundancia
Diseño de hardware de servidorDiseñe el hardware del servidor de acuerdo con los requisitos actuales y futuros para prever el posible crecimiento. Es posible que desee tener en cuenta la incorporación de más procesadores y memoria, y un subsistema de almacenamiento confiable con una capacidad que como mínimo duplique o triplique los requisitos estimados. Tenga en cuenta que, debido a la rápida evolución de la tecnología de hardware, dentro de un período relativamente corto de tiempo es posible que no existan opciones de actualización para su plataforma de servidor. Esto podría representar un serio problema si en el futuro necesita aumentar el rendimiento del sistema; por ejemplo, en caso de que necesite más procesadores.
Consideraciones acerca del procesadorAsegúrese de seleccionar un procesador compatible, teniendo en cuenta las recomendaciones de rendimiento del procesador.
Seleccionar un procesador compatible
28
Para los entornos de producción, debe elegir un procesador que funcione con la versión de Windows Server basada en x64.La versión RTM de Forefront TMG se admite únicamente en entornos de producción cuando se instala en un equipo con procesadores compatibles con x64 que ejecute el sistema operativo Windows Server 2008 X64 Edition o Windows Server 2008 R2.Puede seleccionar procesadores de Intel que admitan Intel Extended Memory 64 Technology o procesadores de AMD que admitan AMD64. Para obtener más información sobre estas opciones, visite el sitio web de la arquitectura Intel 64 (http://www.intel.com/technology/intel64/) o el sitio web de la familia de procesadores AMD Opteron (http://www.amd.com/us-en/Processors/ProductInformation/0,,30_118_8825,00.htm). Forefront TMG está diseñado para ejecutarse únicamente en procesadores con capacidad x64 como los que se han indicado; no funciona en sistemas basados en Itanium.Con independencia del procesador que elija, se recomienda usar un producto de servidor incluido en el catálogo de Windows Server (http://go.microsoft.com/fwlink/?LinkId=64547).
Recomendaciones de rendimiento de procesadorForefront TMG ofrece un rendimiento significativamente más ventajoso cuando se ejecuta en procesadores multiproceso y de varios núcleos. Las ventajas de rendimiento de Forefront TMG cuando se usa la tecnología de varios núcleos depende del procesador que se utilice. Los procesadores de varios núcleos son una opción atractiva para los servidores de Forefront TMG en lo que respecta a su precio y rendimiento. El uso del procesador en un servidor debería mantener una carga inferior al 70 por ciento durante las horas de máxima actividad. Este nivel porcentual permite períodos de carga extrema. Si el uso del procesador es sistemáticamente superior al 75 por ciento, el rendimiento del procesador se considera un cuello de botella. Los siguientes factores afectan directamente al rendimiento de la CPU en un servidor:
Velocidad del reloj del procesador.
Número de procesadores.
Número de núcleos por procesador (los procesadores de núcleo cuádruplo ofrecen una mejor relación precio/rendimiento que los procesadores de núcleo dual).
Hyper-Threading: a diferencia de las arquitecturas más antiguas, la tecnología Hyper-Threading en las arquitecturas disponibles actualmente proporciona un aumento de la capacidad casi lineal. Si implementa un procesador con tecnología Hyper-Threading, asegúrese de habilitar la característica en el BIOS del sistema.
En cuanto al rendimiento, si selecciona el procesador más rápido disponible dentro de su presupuesto, obtendrá los mejores resultados. Forefront TMG puede utilizar varios procesadores a plena capacidad, y el uso de servidores con más procesadores mejora el rendimiento.
Sugerencia:
Al implementar procesadores con Intel Microarchitecture, “Nehalem”, se recomienda configurar el BIOS del equipo para un rendimiento óptimo, según se indica a continuación:
Habilite la tecnología Hyper-Threading de Intel (H-T) para un aumento notable del rendimiento.Establezca el estado inactivo de la CPU en modo de alto rendimiento. Aunque de este modo se pierden las ventajas económicas y medioambientales del ahorro de energía, las pruebas han demostrado que el incremento del modo de ahorro de energía al modo de funcionamiento puede afectar negativamente al rendimiento durante la transición.
Consideraciones acerca del almacenamientoDebe tener en cuenta los requisitos de espacio de disco de Forefront TMG para los distintos escenarios y tamaños de implementación.Forefront TMG tiene los siguientes requisitos de espacio de disco:
Sistema: alberga los archivos de programa y del sistema operativo, aproximadamente 40 GB.
Registro: se recomienda almacenar las entradas del registro durante 3 días a partir del día actual. Al calcular el espacio de almacenamiento necesario, calcule que cada usuario crea aproximadamente 25 MB de registros por día para el tráfico web, lo que significa que 1.000 usuarios crean aproximadamente 25 GB de registros al día; por lo tanto, necesitará 100 GB de espacio para almacenar los registros correspondientes a ese período de tiempo.
Nota:
Si en su escenario se registra únicamente el tráfico SMTP, como sería el caso de la puerta de enlace de correo segura, cada usuario crea aproximadamente 0,5 MB de registros al día.
Almacenamiento en caché web: algunos escenarios requieren unidades físicas independientes para el almacenamiento en caché. Se recomendaba limitar el archivo de caché a un máximo de 40 GB en cualquier disco. Consulte los detalles en Consideraciones acerca del almacenamiento en caché.Implementaciones de hasta 500 usuariosSi va a implementar Forefront TMG para menos de 500, en la mayoría de los casos un disco duro de 250 GB es suficiente para el sistema, el registro y la memoria caché. Puede instalar un único disco duro o una matriz redundante de discos independientes (RAID) pequeña para proporcionar redundancia.Implementaciones de más de 500 usuariosSi va a implementar Forefront TMG para más de 500 usuarios, los requisitos de hardware son mayores y, si habilita el almacenamiento en caché web, es posible que tenga que agregar unidades de disco (consulte a continuación Consideraciones acerca del almacenamiento en caché). En la siguiente tabla se muestra el tamaño recomendado para el disco duro en función del número de usuarios.
Tabla 2: Espacio recomendado para el sistema y el registroNúmero máximo de usuarios Tamaño del disco duro
2000 250 GB
4000 500 GB
29
10000 1 TB
13000 2 TB
Consideraciones acerca del almacenamiento en caché Si habilita el almacenamiento en caché web en una implementación de más de 500 usuarios, por motivos de rendimiento, debería tener uno o más discos físicos independientes dedicados a tal fin. Aunque el tamaño máximo del archivo de caché real por volumen es de 64 GB, el tamaño máximo recomendado para un archivo de caché es de 40 GB por unidad de disco física; la asignación de más espacio de disco para el almacenamiento en caché repercutirá en el rendimiento. Si su escenario requiere más espacio de disco para el almacenamiento en caché, utilice unidades físicas independientes para cada archivo de caché de 40 GB. Hay dos configuraciones posibles:
Varios discos físicos (no RAID): use un disco duro para sistema y registro, y discos duros independientes para el almacenamiento en caché. Esta opción implica la implementación de más espacio de almacenamiento del que realmente se consume, ya que solo se deberían usar 40 GB en cada unidad para el almacenamiento en caché.
RAID (preferentemente RAID-5, por motivos de redundancia): RAID ofrece una mayor flexibilidad. Puede asignar hasta 40 GB por disco para el almacenamiento en caché y usar el espacio restante en cada disco para el sistema y el registro.
Consideraciones acerca del adaptador de red
Rendimiento típico de los adaptadores GigabitDurante las pruebas, se descubrió que un adaptador Ethernet de 1 Gigabit admite un rendimiento de aproximadamente 600 megabits por segundo (Mbps).
Escalabilidad de tráfico de entradaUtilice adaptadores de red con Escalabilidad de tráfico de entrada (RSS), una tecnología que permite que el procesamiento de paquetes en la recepción se ajuste al número de procesadores de sistema que estén disponibles. De este modo, el subsistema de redes de Windows puede aprovechar las ventajas de las arquitecturas de procesador de varios núcleos.
Recomendaciones de redundancia
Implementar una matrizSe recomienda implementar una matriz de equipos con Forefront TMG por motivos de redundancia (la compatibilidad con matrices solo está disponible en Forefront TMG Enterprise Edition). Después de determinar el número de equipos que precisa su implementación, agregue al menos un equipo más por redundancia, ya que permitirá que su implementación siga funcionando si se producen errores en un equipo o se deben realizar tareas de mantenimiento necesarias. Equilibrio de cargaAl implementar una matriz de Forefront TMG, se requiere un mecanismo de equilibrio de carga: Equilibrio de carga de red (NLB), round robin DNS o equilibrador de carga de hardware.
Importante:
Durante las pruebas, se descubrió que el ancho de banda total máximo de NLB era de aproximadamente 500 Mbps; si en su caso el volumen de tráfico supera este límite, su implementación requerirá un mecanismo de equilibrio de carga diferente.
Para obtener más información sobre la redundancia y el equilibrio de carga, vea Planeación para la escalabilidad y alta disponibilidad del servidor de Forefront TMG.
Planeación de la topología de red de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Este tema está diseñado para ayudarle a planear y seleccionar la topología de red de Forefront TMG más adecuada para su topología de red existente y para sus requisitos de seguridad de red. Describe las topologías disponibles que se pueden seleccionar al configurar la red de Forefront TMG, así como las consideraciones de implementación para cada topología.
Nota:
Se entiende por red de Forefront TMG la red física o lógica a la que pertenece el equipo en el que se instala Forefront TMG. Para obtener información acerca de cómo usar Forefront TMG para crear redes privadas virtuales, vea Planeación para las redes privadas virtuales.
Tiene a su disposición las siguientes topologías de red de Forefront TMG:
Firewall perimetral: en esta topología, Forefront TMG se encuentra en el perímetro de la red, donde actúa como firewall perimetral de la organización, y está conectado a dos redes: la red interna y la red externa (normalmente, Internet).
Perímetro de 3 secciones: esta topología implementa una red perimetral. Forefront TMG está conectado por lo menos a tres redes físicas: la red interna, una o más redes perimetrales, y la red externa.
Firewall posterior: en esta topología, Forefront TMG se encuentra en el back-end de la red. Utilice esta topología cuando otro elemento de red, como una red perimetral o un dispositivo de seguridad perimetral, se encuentre entre Forefront TMG y la red externa. Forefront TMG se conecta a la red interna y al elemento de red situado delante.
30
Adaptador de red único: esta topología habilita funcionalidad de Forefront TMG limitada. En esta topología, Forefront TMG está conectado únicamente a una red, bien la red interna o una red perimetral. Normalmente, se utilizaría esta configuración si Forefront TMG se encontrase en la red corporativa interna o en una red perimetral y otro firewall estuviese situado en el perímetro, protegiendo los recursos corporativos de Internet. Para obtener más información, vea Acerca de la topología del adaptador de red único.Forefront TMG puede estar conectado a la red de área local (LAN) directamente o a través de un enrutador u otro firewall. Si se está conectando a Forefront TMG a través de un firewall para administración remota, o como un cliente protegido de Forefront TMG, tenga en cuenta lo siguiente:
La administración remota como, por ejemplo, desde un equipo Enterprise Management Server (EMS), requiere el uso de llamada a procedimiento remoto (RPC) para el estado del servidor remoto y la supervisión de estado de servicio.
La ruta de acceso desde los clientes de Forefront TMG a Forefront TMG no debe estar filtrada por puertos.
Los puertos necesarios en el firewall de intervención se describen en el artículo Introducción al servicio y requisitos del puerto de red para el sistema Windows Server (http://go.microsoft.com/fwlink/?LinkId=156514).
Acerca de la topología del adaptador de red únicoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe la topología del adaptador de red único, de la siguiente manera:
Funcionalidad de una topología de adaptador de red único
Limitaciones de una topología de adaptador de red único
Funcionalidad de una topología de adaptador de red únicoLa topología del adaptador de red único habilita la funcionalidad de Forefront TMG limitada, que incluye:
Proxy Forward (CERN) para HTTP, HTTPS y FTP de proxy CERN (solo descarga).
Almacenamiento en caché para HTTP y FTP de proxy CERN.
Los siguientes escenarios de publicación de web:
Publicación de web.
Comunicaciones basadas en HTTP, como Microsoft Office SharePoint Server, Exchange Outlook Web Access 2007, ActiveSync® y llamada a procedimiento remoto (RPC) a través de HTTP (Outlook en cualquier lugar, Puerta de enlace de Terminal Services o tráfico basado en WSMAN).
Acceso telefónico de clientes de red privada virtual (VPN).
Limitaciones de una topología de adaptador de red únicoLas siguientes limitaciones se aplican al usar la topología del adaptador de red único:
No se admiten la publicación del servidor ni la VPN de sitio a sitio.
No se admiten SecureNAT ni el tráfico del cliente de Forefront TMG.
Las reglas de acceso se deben configurar con direcciones de origen que sólo usan direcciones IP internas.
Las directivas de firewall no deben hacer referencia a la red externa.
Consideraciones del dominio o del grupo de trabajoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Durante la instalación, tiene la opción de implementar Forefront TMG Enterprise en un entorno de dominio o en un entorno de grupo de trabajo. Este tema está diseñado para ayudarle a seleccionar su entorno de implementación, en función las siguientes condiciones:
Consideraciones generales
Consideraciones de topología de red
Consideraciones de autenticación
Nota:
Estas consideraciones también son pertinentes para los equipos en los que se haya instalado Forefront TMG que estén unidos a Enterprise Management Server (EMS).
Consideraciones generalesDebería tener en cuenta lo siguiente al seleccionar un dominio o implementación de grupo de trabajo:
Las implementaciones Enterprise y las implementaciones de matriz en un entorno de grupo de trabajo requieren pasos de preparación adicionales que no son necesarios en un entorno de dominio, y requieren el mantenimiento de cuentas reflejadas en equipos de Forefront TMG para fines de administración.
La replicación de EMS no se admite en un entorno de grupo de trabajo.
31
La detección automática de proxy web no se admite en un entorno de grupo de trabajo. Para obtener más información, vea Planeamiento de la detección automática de proxy web.
En un entorno de grupo de trabajo, se debe instalar un certificado de servidor en el equipo de Forefront TMG. Para obtener más información, vea Planeación de certificados de servidor.
Puede configurar la asignación de usuario de cliente VPN para asignar usuarios a sistemas operativos distintos a Microsoft Windows a cuentas de usuario de dominio. La asignación de usuario sólo es compatible cuando Forefront TMG se instala en un dominio.
En un dominio, puede bloquear el servidor de Forefront TMG mediante la directiva de grupo, en lugar de configurar solo una directiva local.
En un entorno de dominio, si los Servicios de dominio de Active Directory (AD DS) están en peligro, por ejemplo, debido a un ataque interno, el firewall también podría estar en peligro, ya que un usuario con derechos de administrador de dominio puede administrar todos los miembros del dominio, incluso el servidor que ejecuta Forefront TMG. De forma similar, si el firewall está en peligro, el dominio donde se encuentra Forefront TMG también está en peligro. De manera predeterminada, el grupo administradores de dominio está en el grupo administradores en el servidor Forefront TMG.
Si tiene previsto habilitar la inspección de HTTPS, debe saber que no se admite en los entornos de grupo de trabajo la implementación automática del certificado de la entidad de certificación (CA) raíz de confianza de la inspección de HTTPS en los equipos cliente.
Consideraciones de topología de redForefront TMG se usa normalmente en las siguientes configuraciones de topología de red:
Configuración perimetral
Forefront TMG que protege el perímetro, con un adaptador conectado a la red interna y el otro conectado a la red externa.
Una configuración opuesta, con Forefront TMG como firewall frontal que protege el perímetro, con un adaptador conectado a la red externa y un adaptador conectado a la red perimetral. Se configura un firewall servidor (que puede ser Forefront TMG o un producto de otro proveedor) entre la red de perímetro y la red interna.
Una configuración de tres secciones, con Forefront TMG configurado con tres adaptadores de red conectados a la red interna, a la red externa y a la red perimetral.
En el perímetro, puede instalar Forefront TMG como miembro del dominio o en modo grupo de trabajo. Como miembro del dominio, se recomienda instalar Forefront TMG en otro bosque (en lugar de instalarlo en el bosque interno de la red corporativa), con una confianza unidireccional hacia el bosque corporativo. Esto puede evitar que se comprometa el bosque interno, aunque se lleve a cabo un ataque contra el bosque del equipo con Forefront TMG. Sin embargo, hay algunas limitaciones con esta implementación; por ejemplo, solo se puede configurar la autenticación del certificado de cliente para los usuarios definidos en el dominio de Forefront TMG y no para los usuarios del bosque o del dominio interno corporativo.
Configuración interna
Forefront TMG al fondo en un escenario opuesto. Un escenario típico, con un servidor Forefront TMG instalado al perímetro y un segundo servidor Forefront TMG instalado de fondo, debe instalar el servidor Forefront TMG en modo grupo de trabajo y el servidor de fondo como miembro del dominio. Instalar un servidor de fondo como miembro del dominio permite autenticar solicitudes frente a AD DS. Además, puede consolidar el equipo interno Forefront TMG mediante la directiva de grupo para facilitar la administración.
Forefront TMG configurado con un solo adaptador de red. En este escenario, Forefront TMG funciona como proxy web o servidor de almacenamiento en caché. La principal ventaja de instalar el equipo de Forefront TMG como miembro de dominio en este escenario es la facilidad para autenticar usuarios frente a AD DS.
Consideraciones de autenticaciónDebería tener en cuenta los siguientes problemas de autenticación al seleccionar una implementación de dominio o grupo de trabajo:
Cuando las reglas de acceso exigen a los clientes internos que se autentiquen para el acceso de salida, Forefront TMG puede autenticar las cuentas de usuario de dominio frente a AD DS. Las solicitudes proxy web en un entorno de grupo de trabajo se pueden autenticar frente a un servidor RADIUS.
Las solicitudes del cliente firewall incluyen automáticamente las credenciales de usuario. Para autenticar estas solicitudes, Forefront TMG debería pertenecer a un dominio. En un entorno de grupo de trabajo, puede autenticar solicitudes con cuentas de usuario que se reflejan en las cuentas almacenadas en el Administrador de cuentas de seguridad (SAM) en el servidor Forefront TMG, aunque necesita alguna supervisión administrativa para una administración segura.
Para autenticar solicitudes entrantes a los servidores web internos mediante las credenciales de cuenta de dominio o la autenticación de certificados, Forefront TMG debe pertenecer a un dominio. En un entorno de grupo de trabajo, se puede utilizar un servidor RADIUS o SecurID para la autenticación.
Para autenticar solicitudes de redes privadas virtuales (VPN) mediante credenciales o certificados de cuentas de dominio, Forefront TMG debe pertenecer a un dominio. En un entorno de grupo de trabajo, se puede utilizar un servidor RADIUS para la autenticación.
Planeación de certificados de servidor
Este tema está diseñado para ayudarle a planear la infraestructura de certificación de su implementación de Forefront TMG. Forefront TMG utiliza Servicios de certificados de Active Directory (DC CS) de Windows Server 2008 para emitir y administrar los certificados que se van a usar en los siguientes escenarios:
Publicar un servidor web a través de una conexión HTTPS. Para obtener más información, vea Acerca de cómo publicar servidores web. Configurar una conexión VPN de sitio a sitio con túnel L2TP/IPsec o IPsec. Para obtener más información, vea Planeación para las redes privadas virtuales. Inspección de tráfico HTTPS. Para obtener más información, vea Planeación para la inspección de HTTPS. Cuando Forefront TMG Enterprise se implementa en un entorno de grupo de trabajo. Para obtener más información, vea Consideraciones del dominio o del
grupo de trabajo. Para obtener más información acerca de AD CS, vea Servicios de certificados de Active Directory (http://go.microsoft.com/fwlink/?LinkId=158022).
En la siguiente tabla se resume el uso de certificados en Forefront TMG.
32
Escenario Tipo de certificado Emitido por
Publicación de web: autenticar el equipo con Forefront TMG para el usuario externo. Certificado de servidor Entidad de certificación pública (CA)
Publicación de web: autenticar el servidor web back-end para el equipo con Forefront TMG. Certificado de servidor CA pública o CA local
VPN: túnel L2TP/IPsec o IPsec. Certificado IPsec CA local (recomendado)
Inspección de HTTPS. Certificado de CA CA local o un certificado autofirmado
Entorno de grupo de trabajo: autenticación de servidor y cifrado de datos. Certificado de servidor CA local
Acerca de los permisos y roles de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG proporciona roles para administrar y auditar Forefront TMG para un único servidor de Forefront TMG, una matriz de servidores de Forefront TMG o varias matrices de Forefront TMG. Un rol define un conjunto de derechos que autorizan a los usuarios y grupos a realizar acciones específicas. Los roles se implementan con las listas de control de acceso discrecional (DACL) de Windows. Para obtener más información acerca de DACL, vea Access Control Lists (http://go.microsoft.com/fwlink/?LinkId=150480).Los roles administrativos de Forefront TMG pueden estar asignados a cualquier grupo o usuario de Windows; no se requiere ningún privilegio especial o permiso de Windows. Se aplican las siguientes excepciones:
Los roles no deben asignarse a CREATOR OWNER, CREATOR GROUP ni a sus identificadores de seguridad (SID).
Para ver los contadores de rendimiento de Forefront TMG mediante Perfmon o el Escritorio digital de Forefront TMG, el usuario deberá ser miembro del grupo de usuarios del monitor de rendimiento de Windows Server 2008.En este tema se proporciona información acerca de:
Permisos y roles administrativos
Funciones y accionesPara obtener instrucciones acerca de cómo configurar roles, vea Configuración de funciones y permisos.
Permisos y roles administrativosPuede asignar dos niveles de roles administrativos de Forefront TMG:
Roles de nivel de matriz: para la administración de un servidor de Forefront TMG único o una matriz única de Forefront TMG.
Roles de nivel de empresa: para la administración de la empresa, incluidas todas las matrices de Forefront TMG, a través de un servidor Enterprise Management Server (EMS). Esta opción solo está disponible para los usuarios de Forefront TMG Enterprise.Los permisos que están asociados a cada rol son de la siguiente manera:
Funciones administrativas en el nivel de matriz
Roles administrativos de empresa
Funciones administrativas en el nivel de matrizEn la tabla siguiente se muestran los roles administrativos de matriz de Forefront TMG y se describen los permisos concedidos a los usuarios que tienen asignado cada rol.
Nota:
Los usuarios que pertenecen al grupo Administradores local en un equipo que ejecuta los servicios de Forefront TMG, no necesitan tener asignado un rol; poseen derechos completos en el nivel de matriz para administrar y auditar Forefront TMG.
Función Permisos
Auditor de supervisión de matriz de Forefront TMG
Supervisa la actividad básica del servidor y la red en una matriz de Forefront TMG. No puede ver la configuración de Forefront TMG.
Auditor de matriz de Forefront TMG
Realiza todas las tareas de supervisión en una matriz de Forefront TMG, incluida la mayor parte de la configuración de definición de alertas y configuración de registros, con las siguientes excepciones:
No pueden configurar una cuenta de usuario diferente al publicar los informes.No pueden personalizar el contenido de los informes.Además, el auditor de matriz de Forefront TMG puede ver la configuración de Forefront TMG.
Administrador de matriz de Forefront TMG
Realiza las tareas administrativas en una matriz de Forefront TMG, incluida la configuración de reglas, la aplicación de plantillas de red y la supervisión, así como la ejecución de los procesos con permisos elevados en el servidor de Forefront TMG.
33
Roles administrativos de empresaEn la tabla siguiente se muestran los roles administrativos de nivel de empresa de Forefront TMG y se describen los permisos concedidos a los usuarios que tienen asignado cada rol.
Función Permisos
Auditor de empresa de Forefront TMG
Realiza todas las tareas de supervisión en matrices de empresa de Forefront TMG, incluida la mayor parte de la configuración de definición de alertas y configuración de registros, con las siguientes excepciones:
No pueden configurar una cuenta de usuario diferente al publicar los informes.No pueden personalizar el contenido de los informes.Además, el auditor de empresa de Forefront TMG puede ver la configuración de Forefront TMG.
Administrador de empresa de Forefront TMG
Realiza tareas administrativas en matrices de empresa de Forefront TMG, incluidas las directivas de empresa, la configuración de reglas, la aplicación de plantillas de red y la supervisión, así como la ejecución de los procesos con permisos elevados en el servidor de Forefront TMG.
Funciones y accionesCada rol de Forefront TMG define una lista de derechos que autorizan a los usuarios a realizar acciones concretas en Forefront TMG. Estas acciones suelen ser tareas administrativas de Forefront TMG. Los administradores de matriz pueden realizar estas acciones en una única matriz de Forefront TMG; los administradores de empresa pueden realizarlas en una matriz de empresa.En la tabla siguiente se muestran algunas acciones y los roles en los que se realizan.
AcciónAuditor de supervisión Auditor Administrador
Ver el escritorio digital, las alertas, la conectividad, las sesiones y los servicios Permitido Permitido Permitido
Reconocer y restablecer alertas Permitido Permitido Permitido
Ver información de registro No se permite Permitido Permitido
Crear definiciones de alertas No se permite No se permite Permitido
Crear informes No se permite Permitido Permitido
Detener e iniciar sesiones y servicios No se permite Permitido Permitido
Ver la directiva de firewall No se permite Permitido Permitido
Configurar la directiva de firewall No se permite No se permite Permitido
Configurar la caché No se permite No se permite Permitido
Configurar una red privada virtual (VPN) No se permite No se permite Permitido
Purgar y detener los firewall de redes con carga equilibrada (NLB) o servidores proxy web con carga equilibrada
No se permite Permitido Permitido
Ver la configuración local (dentro de Active Directory Lightweight Directory Services en el miembro de la matriz)
No se permite Permitido Permitido
Cambiar la configuración local (dentro de Active Directory Lightweight Directory Services en el miembro de la matriz)
No se permite No se permite Permitido
Planeación de resolución de nombres de dominioSe aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG depende del Sistema de nombres de dominio (DNS) para la resolución de nombres de dominio, para tráfico entrante y saliente. Este tema está diseñado para ayudarle a planear la resolución de nombres de dominio para Forefront TMG. Al configurar los valores de DNS en Forefront TMG, siga estas instrucciones:
Configure DNS solo para un adaptador único en el equipo de Forefront TMG, independientemente del número de adaptadores de red instalados en el equipo.
El adaptador en el que configura DNS debe ser el adaptador de nivel superior en la lista de Adaptadores de red de Forefront TMG, en el nodo Redes.
Siempre que sea posible, configure los servidores DNS que se encuentran en la red interna. En implementaciones donde Forefront TMG está instalado en un entorno de grupo de trabajo, se aplican las siguientes excepciones:
Si Forefront TMG está implementado en una red sin un servidor DNS interno, configure el servidor DNS del proveedor de acceso a Internet (ISP) de la red.
Si Forefront TMG está implementado en una red donde el servidor DNS interno no está conectado a Internet, instale un servidor DNS adicional dedicado en la red interna. Este servidor debería consultar al servidor DNS de la ISP para la resolución de nombres externos y el DNS interno para la resolución de nombres internos.
Nota:
34
Puede instalar el servidor DNS adicional en cualquier parte de la red interna, incluso en el equipo con Forefront TMG.
Los servidores DNS internos deben enviar solicitudes de resolución de nombres a los servidores DNS del ISP de la red externa o a servidores DNS raíz. De esta forma, los clientes internos podrá resolver tanto nombres de host internos como nombres de host de Internet.
Los servidores DNS deberían usar reenviadores o sugerencias de raíz para resolver nombres externos.
En las implementaciones en las que Forefront TMG sea un miembro del dominio, los servidores DNS deben encontrarse en el mismo dominio que Forefront TMG o en dominios con relaciones de confianza con el dominio de Forefront TMG.
Acerca de los equipos cliente de firewallPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los equipos cliente de firewall son equipos internos que se comunican con el servidor de Forefront TMG a través de uno de los clientes siguientes:
Cliente de Forefront TMG o cliente de Firewall: el software cliente incluido con Forefront TMG o las versiones anteriores de Internet Security and Acceleration (ISA) Server. El software de cliente se instala y habilita en el equipo cliente.
Sugerencia:
Para descargar el cliente de Forefront TMG en el Centro de descarga de Microsoft, vaya a Cliente de Forefront Threat Management Gateway (TMG) (http://go.microsoft.com/fwlink/?LinkId=186449).
Cliente proxy web: cualquier aplicación que cumpla los siguientes requisitos:
Es compatible con CERN. Es decir, entiende el método correcto para realizar una solicitud de proxy web.
Proporciona un medio para que los clientes especifiquen un nombre (o dirección IP) y un puerto para utilizar con las solicitudes de proxy web.
Por ejemplo, un explorador web como Microsoft Internet Explorer o Mozilla Firefox.
Cliente de traducción segura de direcciones de red segura (SecureNAT): no se instala ningún cliente ni aplicación especial en el equipo cliente. La puerta de enlace predeterminada del equipo cliente se configura con la dirección IP interna del servidor de Forefront TMG de manera que todo el tráfico de Internet se enruta a través de Forefront TMG de la siguiente manera:
En un escenario de red sencillo, sin enrutadores entre el equipo cliente y el servidor de Forefront TMG, la puerta de enlace del equipo cliente se establece en la dirección IP de la red de Forefront TMG en la que esté ubicado el equipo cliente (normalmente la red interna).
En una red compleja con enrutadores de puente en las subredes que hay entre el equipo cliente y el servidor de Forefront TMG, la configuración de la puerta de enlace predeterminada en el último enrutador de la cadena deberá apuntar a Forefront TMG. De forma óptima, el enrutador debería usar la puerta de enlace predeterminada que conecta por la ruta más corta con el equipo de Forefront TMG. El enrutador no se debe configurar para que descarte paquetes destinados a direcciones que estén fuera de la red corporativa. Forefront TMG determinará cómo enrutar los paquetes.En la tabla siguiente se detallan los requisitos del cliente que le ayudarán a elegir qué clientes se van a implementar en un entorno, según el escenario de implementación y la infraestructura de red existente.
Característica Cliente de Forefront TMG/cliente de Firewall Cliente proxy web Cliente SecureNAT
Detalles de instalación
Es necesario instalar el cliente de Forefront TMG u otro software de cliente de Firewall en el equipo cliente. Para obtener información acerca de instrucciones de implementación y configuración, vea Implementación del cliente de Forefront TMG.
No es necesaria la instalación. Para obtener instrucciones de configuración, vea Configurar clientes proxy web.
No es necesaria la instalación. Para obtener instrucciones de configuración, vea Configuración de los clientes SecureNAT.
Admite un sistema operativo
Sistemas operativos Windows. Para obtener una lista detallada de los sistemas operativos compatibles, vea Compatibilidad de los sistemas operativos y cliente-servidor con el cliente de Forefront TMG y los clientes firewall.
Cualquier plataforma que ejecute una aplicación compatible con CERN. Los clientes SecureNAT y Firewall que hacen solicitudes de estas aplicaciones también actúan como clientes proxy web.
Se puede utilizar cualquier sistema operativo compatible con TCP/IP.
Compatibilidad de protocolo
Todas las aplicaciones Winsock son compatibles.
Compatible con HTTP, HTTPS y FTP para solicitudes de descarga.
Es compatible con todos los protocolos simples. Los protocolos complejos que necesiten múltiples conexiones primarias o secundarias necesitan un filtro de aplicación Forefront TMG.
Autenticación en el nivel de usuario
Envía automáticamente credenciales de cliente al servidor de Forefront TMG y realiza la autenticación si se solicita.
Puede autenticar si Forefront TMG solicita credenciales. No se suministran credenciales si el acceso anónimo está habilitado.
Forefront TMG no puede presentar credenciales y no lo puede autenticar.
Recomendaciones Se usa cuando se requieren reglas de autenticación en Forefront TMG, para mejorar la detección automática de Forefront TMG,
Se utiliza para el acceso web basado en usuarios a través de proxy y para encadenar solicitudes web a proxies que
Se utiliza para clientes no Windows. Se utiliza si necesita compatibilidad para protocolos no TPC o UDP (como ICMP o GRE). Configure
35
para el registro de nombres de usuario y para la compatibilidad con los protocolos secundarios.
preceden en la cadena. Buen rendimiento puesto que las solicitudes web se envían directamente al filtro proxy web.
servidores no web publicados como clientes SecureNAT si desea enviar a la dirección IP original del cliente al servidor publicado.
Compatibilidad de los sistemas operativos y cliente-servidor con el cliente de Forefront TMG y los clientes firewallEn las tablas siguientes se resume la compatibilidad de los sistemas operativos y cliente-servidor con el cliente de Forefront TMG y el software cliente de Firewall distribuido con las versiones anteriores de ISA Server.
Admite un sistema operativoEn la siguiente tabla se resume la compatibilidad de los sistemas operativos con el software cliente de Forefront TMG y el cliente de Firewall.
El sistema operativo Cliente de Forefront TMG Firewall Client 2006 (incluyendo la revisión de Windows Vista) Cliente Firewall 2004
Windows® 7 y Windows Server 2008 R2 Compatible Compatible No es compatible
Windows Vista Service Pack 2 Compatible Compatible No es compatible
Windows Server 2003 R2 Compatible No es compatible No es compatible
Windows Server 2003 con Service Pack 2 Compatible Compatible Compatible
Windows XP Service Pack 3 Compatible Compatible Compatible
Compatibilidad con el cliente-servidorEn la siguiente tabla se resume la compatibilidad entre los servidores ISA y Forefront TMG, y los clientes de ISA y Forefront TMG.
Servidor de Forefront TMG ISA Server 2006 ISA Server 2004 ISA Server 2000
Cliente de Forefront TMG Compatible Compatible Compatible No es compatible
Cliente Firewall 2006 Compatible Compatible Compatible Compatible
Cliente Firewall 2004 Compatible Compatible Compatible Compatible
Cliente Firewall 2000 No es compatible Compatible Compatible Compatible
Nota:
El uso del cliente de Forefront TMG en un equipo conectado a ISA Server a través de una red privada virtual (VPN) puede generar problemas de conectividad. En concreto, el cliente no tendrá conectividad IPsec con los equipos en la red interna. Para solucionar este problema, lleve a cabo alguna de las siguientes acciones:
Deshabilite el cliente de Firewall para ISA Server en los equipos cliente.Conecte el cliente a un equipo con ISA Server alternativo que no esté actuando como puerta de enlace VPN para las conexiones de cliente remotas.
Planeamiento de la detección automática de proxy web
Los equipos internos de redes protegidas por Forefront TMG pueden detectar automáticamente la ubicación del servidor de Forefront TMG que deberían usar como proxy web. Este tema está diseñado para ayudarle a planear la detección automática de proxy web. Proporciona información acerca de lo siguiente:
Métodos de detección
Consideraciones para seleccionar métodos de detección
Consideraciones para hospedar el archivo de configuración
Consideraciones para implementar la detección con DHCP y DNS
Métodos de detecciónForefront TMG admite varios métodos de detección automática:
Los equipos cliente que ejecutan el cliente de Forefront TMG pueden conectarse a los Servicios de dominio de Active Directory (AD DS) para recuperar la configuración del proxy web. Éste es el método de detección recomendado.
Los equipos clientes que ejecutan versiones anteriores del cliente firewall, o un cliente de proxy web, puede tener acceso al Protocolo de configuración dinámica de host (DHCP) o el servidor del Sistema de nombres de dominio (DNS) para recuperar la configuración del proxy web. Este método también se puede usar en implementaciones donde AD no está actualizado con la información de detección automática. La configuración se incluye en un archivo de configuración, normalmente en el servidor de Forefront TMG; para obtener más información, vea Consideraciones para hospedar el archivo de configuración.
36
Nota:
Por razones de seguridad, DHCP o DNS no se usa como copia de seguridad en implementaciones donde AD DS estaba configurado con información de proxy web. En estas implementaciones, si la ubicación del archivo de configuración no se puede obtener de AD DS (por ejemplo, si se produce un error inesperado durante la consulta de AD DS), se producirá un error en el acceso.
Script de configuración automática: los equipos cliente se conectan a la ubicación especificada en el script para recuperar la configuración del proxy web. Este método se puede usar como reserva cuando se produce un error en la recuperación de la configuración del proxy web de AD DS, o desde DHCP o DNS.
Consideraciones para seleccionar métodos de detecciónDebería tener en cuenta lo siguiente al seleccionar qué método (o métodos) de detección se deben usar:
Se recomienda el uso de detección automática desde DHCP o DNS para los equipos clientes que se mueven entre redes, como dispositivos móviles.
Las siguientes limitaciones se aplican a la implementación de detección automática con AD DS:
Solo se admite en clientes de Forefront TMG; no se admite en versiones anteriores del cliente de Firewall, en clientes de proxy web o en clientes SecureNAT.
No se admite en implementaciones de grupo de trabajo de Forefront TMG.
Para equipos cliente que ejecutan el cliente de Forefront TMG o versiones anteriores del cliente de Firewall, puede aplicar los métodos seleccionados a través de la consola de administración de Forefront TMG. La configuración se aplica de la siguiente manera:
Cada vez que se reinicia el cliente de Forefront TMG o el cliente de Firewall.
Cada vez que un usuario hace clic en Detectar ahora o Servidor de prueba en la pestaña Configuración del cuadro de diálogo del cliente de Forefront TMG.
Cada seis horas.
Para los equipos cliente que ejecutan un cliente de proxy web y el cliente de Forefront TMG o versiones anteriores del cliente de Firewall, puede aplicar los métodos seleccionados en el cliente de proxy web, a través del cliente de Forefront TMG o el cliente de Firewall.
Para los equipos cliente que ejecutan el proxy web sin ejecutar el cliente de Forefront TMG o versiones anteriores del cliente de Firewall, y para los clientes de SecureNAT, podría tener que aplicar los métodos seleccionados usted mismo, de la siguiente manera:
Si selecciona usar DHCP o DNS, los exploradores de Internet Explorer se configuran de forma predeterminada para detectar la configuración automáticamente y no se requiere ninguna configuración adicional del cliente. Para otros exploradores, consulte la documentación pertinente del producto.
Si selecciona usar el script de configuración automática, debe aplicar la configuración a todos los equipos clientes.
Puede usar la directiva de grupo para aplicar la configuración en los equipos cliente.
Consideraciones para hospedar el archivo de configuraciónAl implementar la detección automática con DHCP o DNS, la configuración del proxy web se incluye en un archivo de configuración. Puede hospedar el archivo de configuración en Forefront TMG o en un servidor web alternativo, como un equipo que ejecute Internet Information Services (IIS). Al planear la ubicación del archivo de configuración, tenga en cuenta lo siguiente:
La ventaja principal de hospedar el archivo en Forefront TMG es que el archivo se actualiza automáticamente cuando se modifica la configuración del proxy web en la consola de administración de Forefront TMG y no hay ninguna necesidad de actualizarlo manualmente. La colocación del archivo en otro servidor requiere que el contenido del archivo se actualice manualmente.
Hospedar los archivos de configuración en un equipo que ejecute IIS puede proporcionar algunas capacidades de conmutación de errores. Puede configurar varios servidores web en IIS y colocar diferentes archivos de configuración en cada servidor web. El servidor web activo será el servidor que contenga la configuración del proxy web para el equipo de Forefront TMG actualmente activo.
Si no hospeda el archivo en Forefront TMG, no necesita publicar la información de detección automática, puesto que Forefront TMG no necesita escuchar las solicitudes de detección automática. Puede ser una ventaja cuando IIS está co-ubicado en el equipo de Forefront TMG y se podrían producir conflictos de puertos.
Consideraciones para implementar la detección con DHCP y DNSAl implementar la detección automática con DHCP, DNS o ambos, tenga en cuenta lo siguiente:
En implementaciones de DHCP y DNS, el archivo de configuración se debe publicar en el puerto 80.
Las entradas en DNS solo las pueden usar los equipos cliente configurados para resolver nombres DNS.
Al implementar la detección con DNS, las entradas se deben configurar para todos los dominios que contengan equipos cliente habilitados para la detección automática.
Para implementar DHCP, se debe instalar un servidor DHCP válido en la misma red que los equipos cliente.
DHCP está limitado a grupos de usuarios específicos en algunos sistemas operativos de equipos cliente. Para obtener más información, vea el artículo El descubrimiento automático de proxy en Internet Explorer con DHCP requiere determinados permisos (http://go.microsoft.com/fwlink/?LinkID=69274).
Si configura o elimina la detección automática después de implementar la función del servidor DNS en un servidor que ejecute Windows Server 2008, debe actualizar la lista de bloqueos en todos los servidores DNS que hospedan las zonas afectadas por el cambio. Las zonas afectadas son las zonas donde registró los servidores.
Por lo general, el uso de servidores DHCP con detección automática funciona mejor con clientes basados en redes de área local (LAN), mientras que los servidores DNS habilitan la detección automática en equipos con conexiones tanto basadas en LAN como de acceso telefónico. Aunque los servidores DNS pueden administrar conexiones de red y de acceso telefónico, los servidores DHCP proporcionan un acceso más rápido a los usuarios de LAN, además de mayor flexibilidad. Si configura tanto DHCP como DNS, los clientes intentarán consultar la información de detección automática primero en DHCP y después en DNS.
Guía de diseño de acceso para Forefront TMGPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
37
La guía de diseño de acceso para Forefront TMG está pensada para ayudarle a planear acceso seguro a la web, y a los recursos corporativos internos, una vez instalado Forefront TMG. Le guía a través del proceso de diseño y proporciona información que le ayudará a tomar las decisiones de diseño de acceso adecuadas para sus objetivos de negocio y para su entorno.
Acerca esta guíaEsta guía está pensada para el administrador del sistema o empleado de seguridad responsable de controlar y afianzar el acceso a Internet y a los recursos de la red interna. Se supone que el lector de esta guía está familiarizado con los conceptos de autenticación, acceso de red, acceso web, publicación de web y de servidor, y redes privadas virtuales.
Identificar y asignar sus objetivos de diseño de acceso remoto y a InternetLa siguiente tabla está diseñada para ayudarle a identificar sus objetivos de diseño de acceso remoto y a Internet de Forefront TMG. Después de identificar los objetivos que son adecuados para su organización, puede asignarlos a los diseños relevantes de Forefront TMG.
Objetivo de diseño Diseños de Forefront TMG
Prepare la infraestructura de autenticación. Acceso webPublicación de webPara obtener información, vea Información general de autenticación en Forefront TMG.
Controle el acceso a y desde la red interna. Directivas y conjuntos de reglas de Forefront TMG.
Directiva de firewallDirectiva del sistemaReglas de redPara obtener información, vea Planeación para controlar el acceso de red.
Controle y proteja el acceso de los usuarios internos a Internet. Control del acceso webFiltrado e inspección de tráfico webAceleración del acceso webPara obtener información, vea Planeación para el acceso web.
Haga que los servicios y las aplicaciones internas estén disponibles para los usuarios internos y externos.
Publicación del servidor webPublicación del servidor no webPara obtener información, vea Planeación de publicación.
Mejore el rendimiento y los tiempos de respuesta a las solicitudes web desde Internet y desde servidores web publicados.
Almacenamiento web en caché. Para obtener información, vea Planeación para almacenar en caché el contenido web.
Mejore el rendimiento y los tiempos de respuesta para los clientes de sucursal que solicitan contenido a través de una red de área extensa.
BranchCache. Para obtener información, vea Planeación para BranchCache (SP1).
Habilite el acceso remoto, seguro y rentable a la red interna. Red privada virtual (VPN) de acceso remotoVPN de sitio a sitioPara obtener información, vea Planeación para las redes privadas virtuales.
Habilite el uso de la telefonía de Internet a través de Forefront TMG. Voz sobre IP (VoIP). Para obtener información, vea Preparación para habilitar VoIP mediante Forefront TMG.
Información general de autenticación en Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG puede permitir o denegar el acceso web a los recursos en función de la autenticación del usuario. La autenticación web se usa en los siguientes escenarios:
Acceso web: solicitudes proxy web salientes. Para obtener información sobre el proceso de autenticación, vea Planeación para la autenticación de acceso web.
Publicación de web: solicitudes entrantes para servidores publicados. Para obtener información sobre el proceso de autenticación, vea Acerca de la autenticación en publicación de web.
En la tabla siguiente se resumen los métodos y servidores que se usan para ambos escenarios.
Método de autenticación Acceso webPublicación de web Servidor de autenticación
Autenticación HTTP: Básica Sí Sí Servicios de dominio de Active Directory (AD DS) o Servicio de autenticación remota telefónica de usuario (RADIUS)Protocolo ligero de acceso a directorios (LDAP) solo para peticiones entrantes
Autenticación HTTP: Básica Sí Sí AD DS, LDAP o RADIUS
Autenticación HTTP: Implícita/WDigest
Sí Sí AD DS
38
Autenticación HTTP: Integrada (NTLM)
Sí Sí AD DS
Certificado de cliente No (sólo solicitudes a un servidor proxy que precede en la cadena)
Sí AD DS
Autenticación basada en formularios
No Sí AD DS, LDAP, RADIUS, RADIUS OTP, RSA SecurID
Para obtener información acerca de los métodos y servidores que se usan en el acceso web y la autenticación de web, vea:
Acerca de los métodos de autenticación
Acerca de los servidores de autenticación
Acerca de los métodos de autenticaciónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se ofrece información general sobre los métodos de autenticación que utiliza Forefront TMG. Por ejemplo, se incluye:
Autenticación HTTP
Autenticación basada en formularios
Autenticación de certificados de clientePara obtener un resumen de los escenarios en los que se usa cada método, vea Información general de autenticación en Forefront TMG.
Autenticación HTTPForefront TMG es compatible con los siguientes tipos de autenticación HTTP:
Autenticación básica
Autenticación implícita y WDigest
Autenticación integrada de Windows
Autenticación básicaLa autenticación básica es un método muy utilizado de recopilación de información de nombre de usuario y contraseña. La autenticación básica envía y recibe información de usuario como caracteres de texto que se pueden leer. Aunque los nombres de usuario y las contraseñas se codifican, la autenticación básica no utiliza cifrado. Los pasos siguientes muestran la forma en que se autentica un cliente con la autenticación básica:
1. Se solicita al usuario que escriba el nombre de usuario y la contraseña de una cuenta de Windows, también conocidas como credenciales.2. Forefront TMG recibe la solicitud HTTP con las credenciales y valida las credenciales en el servidor de autenticación especificado, RADIUS o Servicios de dominio
de Active Directory (AD DS); el servidor LDAP es solo para las solicitudes entrantes.3. Para solicitudes proxy web salientes, Forefront TMG valida credenciales y, a continuación, evalúa las reglas de acceso. Para las solicitudes entrantes, Forefront TMG
utiliza las credenciales para autenticar en el servidor web publicado, según el método de delegación configurado. El servidor web se debe configurar para utilizar el esquema de autenticación que coincide con el método de delegación que utiliza Forefront TMG. La contraseña de texto simple se codifica en Base64 antes de que se envíe a través de la red, pero no se cifra y, si un analizador de protocolos (sniffer) la intercepta a través de la red, los usuarios no autorizados pueden descodificarla y volver a utilizarla. La ventaja de la autenticación básica es que prácticamente todos los clientes HTTP la admiten. La desventaja es que los exploradores web que utilizan la autenticación básica transmiten las contraseñas de forma cifrada. Mediante la supervisión de las comunicaciones de la red, cualquier atacante o usuario malintencionado puede interceptar y descodificar estas contraseñas con herramientas de dominio público. Por lo tanto, la autenticación básica no es aconsejable, a menos que se tenga la completa certeza de que la conexión es segura, como una línea dedicada o una conexión SSL.
Autenticación implícita y WDigestLa autenticación implícita ofrece las mismas características que la autenticación básica, pero proporciona una forma más segura de transmitir las credenciales de
autenticación.La autenticación implícita se basa en el protocolo HTTP 1.1, según se define en RFC 2617 (http://go.microsoft.com/fwlink/?LinkId=160622). No es compatible con todos los exploradores. Si un explorador no conforme a HTTP 1.1 solicita un archivo cuando la autenticación implícita está habilitada, la solicitud se rechaza. La autenticación implícita sólo se puede utilizar en dominios de Windows. La autenticación implícita solo se realiza correctamente si el controlador de dominio tiene almacenada en AD DS una copia cifrada reversiblemente (texto simple) de la contraseña del usuario que realiza la solicitud. Para permitir que las contraseñas se almacenen en texto simple, debe activar el valor Almacenar contraseña utilizando cifrado reversible en la ficha Cuenta del usuario en AD DS. Como alternativa, se puede establecer una directiva de grupo para habilitar esta capacidad. A continuación, hay que establecer una contraseña nueva para activar esta característica, ya que la anterior no se puede determinar. WDigest, una nueva forma de autenticación implícita, se utiliza cuando Forefront TMG se instala en un dominio Windows Server 2008. WDigest no requiere una copia cifrada reversiblemente de la contraseña del usuario almacenada en AD DS. La autenticación implícita y WDigest funciona como se indica a continuación:
1. El cliente realiza una solicitud.2. Forefront TMG deniega la solicitud e indica al cliente que escriba el nombre de usuario y la contraseña de una cuenta de Windows. Tenga en cuenta que cuando
utilice WDigest, el nombre de usuario y el nombre de dominio distinguen mayúsculas de minúsculas y se deben escribir exactamente como aparecen en AD DS. Además, WDigest necesita un valor en la parte de recursos de la ruta de dirección URL. Por ejemplo, el usuario que solicita http://host.domain.tld no puede autenticarse porque falta la dirección URL.
3. Las credenciales de autenticación pasan a través de un proceso unidireccional conocido como hashing. El resultado es un hash cifrado o mensaje implícito. Los valores se agregan para identificar al usuario, al equipo y dominio del usuario. También se agrega información una marca de tiempo para evitar que un usuario utilice
39
una contraseña después de que se haya revocado. Esto proporciona una clara ventaja con respecto a la autenticación básica, ya que se hace más difícil que una persona no autorizada intercepte o utilice la contraseña.
Autenticación integrada de WindowsLa autenticación de Windows integrada utiliza los mecanismos de autenticación NTLM, Kerberos y Negotiate. Son formas más seguras de autenticación porque se aplica el algoritmo hash al nombre de usuario y a la contraseña antes de enviarlos a través de la red. Si se habilita la autenticación de NTLM, Kerberos o Negotiate, el explorador del usuario prueba su conocimiento de la contraseña a través de un intercambio criptográfico con el servidor Forefront TMG, que implica algoritmos hash. Los pasos siguientes muestran la forma en que se autentica un cliente con la autenticación de Windows integrada:
1. En función de la configuración del explorador, la autenticación puede que no solicite inicialmente un nombre de usuario y una contraseña. Si el intercambio de autenticación no consigue inicialmente identificar al usuario, el explorador pide al usuario el nombre de usuario y la contraseña de una cuenta de Windows, que procesa con la autenticación de Windows integrada. El explorador web sigue preguntando al usuario hasta que este escribe un nombre de usuario y una contraseña válidas, o cierra el cuadro de diálogo de petición. El nombre de usuario se debe escribir en el siguiente formato: domain\username
2. Si el intercambio de autenticación no consigue inicialmente identificar al usuario, el explorador pide al usuario el nombre de usuario y la contraseña de una cuenta de Windows, que procesa con la autenticación de Windows integrada.
3. Forefront TMG sigue preguntando al usuario hasta que este escribe un nombre de usuario y una contraseña válidos o cierra el cuadro de diálogo de solicitud.
Nota:
Forefront TMG se comunica con el servidor AD DS siempre que se necesita la autenticación NTLM. Por este motivo, se recomienda crear una red protegida para AD DS y Forefront TMG, para prevenir el acceso de los usuarios (tanto externos como internos) a la comunicación.Debido a que para las conexiones externas se usa la autenticación NTLM, se recomienda que use el cifrado SSL para el tráfico entre Forefront TMG y el cliente. La autenticación NTLM es por conexión y el cifrado evita que los dispositivos proxy heredados reutilicen de forma incorrecta las conexiones en Internet.
Autenticación basada en formulariosLa autenticación basada en formularios en Forefront TMG se puede utilizar para autenticar solicitudes entrantes para servidores web publicados. Estos tres tipos de autenticación basada en formularios están disponibles:
Formulario de contraseñas: el usuario escribe un nombre de usuario y una contraseña en el formulario. Se trata del tipo de credenciales necesarias para la validación de credenciales de AD DS, LDAP y RADIUS.
Formulario de código de acceso: el usuario escribe un nombre de usuario y un código de acceso en el formulario. Se trata del tipo de credenciales necesarias para la validación de contraseña única para SecurID y RADIUS.
Formulario Código de acceso/contraseña: el usuario escribe un nombre de usuario y una código de acceso, y un nombre de usuario y una contraseña. El nombre de usuario y código de acceso se utilizan para la autenticación para Forefront TMG mediante métodos de autenticación de contraseñas de un solo uso SecurID o RADIUS y el nombre de usuario y contraseña se utilizan para la delegación.
Autenticación de certificados de clienteLa autenticación de certificados de cliente no es compatible para autenticar solicitudes web salientes.
Para solicitudes entrantes para recursos publicados, requerir un certificado de cliente puede ayudar a incrementar la seguridad de su servidor publicado. Los usuarios pueden obtener certificados cliente de una entidad de certificación comercial (CA) o de una CA interna en su organización. Un certificado también puede ser uno que esté incrustado en una tarjeta inteligente o un certificado que utilice un dispositivo móvil para poderse conectar a Microsoft ActiveSync.El certificado debe coincidir con una cuenta de usuario. Cuando los usuarios realizan una solicitud de recursos publicados, el certificado cliente enviado a Forefront TMG se pasa a un controlador de dominio, que determina la asignación entre certificados y cuentas. Forefront TMG debe ser miembro del dominio. La información se vuelve a pasar a Forefront TMG para la aplicación de las reglas de directiva de firewall relevantes. Tenga en cuenta que Forefront TMG no puede pasar certificados cliente a un servidor web interno.
Acerca de los servidores de autenticaciónEn este tema se ofrece información general sobre los servidores de autenticación que se pueden utilizar para validar las credenciales de cliente en Forefront TMG. Por
ejemplo, se incluye:
Servicios de dominio de Windows Active Directory
Servidor LDAP
RADIUS
Contraseña de un solo uso RADIUS
RSA SecurID
Servicios de dominio de Windows Active DirectoryEn la validación de los Servicios de dominio de Windows Active Directory (AD DS), las credenciales que escribe el cliente se pasan a un controlador de dominio,
que las comprueba con la lista de usuarios de AD DS. El cliente debe utilizar uno de los siguientes formatos al escribir las credenciales que reconoce el controlador de dominio:
Nombre de cuenta del Administrador de cuentas de seguridad (SAM) (dominio\nombreUsuario).
Nombre de la entidad de usuario ([email protected]).
Nombre distintivo.La validación de AD DS solo se puede realizar cuando Forefront TMG es miembro del dominio (del mismo dominio que el controlador de dominio o de un dominio de confianza).AD DS se puede utilizar para validar las credenciales de cliente de las solicitudes web entrantes de los servidores web publicados.
40
Servidor LDAPEste método de validación es similar a la validación de AD DS de Windows. En este método, Forefront TMG se conecta a un servidor LDAP (Protocolo ligero de
acceso a directorios) a través de un protocolo LDAP (se admiten LDAP, LDAPS, LDAP-GC y LDAPS-GC). Tenga en cuenta que todos los controladores de dominio son un servidor LDAP. El servidor LDAP mantiene un almacén de credenciales de usuarios de AD DS. Puesto que cada controlador de dominio solo puede autenticar los usuarios de su dominio, Forefront TMG, de manera predeterminada, busca en el catálogo global un bosque para validar las credenciales de usuario. El cliente debe utilizar uno de los siguientes formatos al escribir las credenciales que reconoce AD DS:
Nombre de cuenta SAM (dominio\nombreDeUsuario).
Nombre de la entidad de usuario ([email protected]).
Nombre distintivo.LDAP se puede utilizar para validar las credenciales de cliente solo para las solicitudes entrantes de los servidores web publicados.
RADIUSCuando Forefront TMG actúa como cliente del Servicio de autenticación remota telefónica de usuario (RADIUS), envía las credenciales del usuario a un servidor
RADIUS. El servidor RADIUS autentica la solicitud del cliente RADIUS y devuelve una respuesta del mensaje RADIUS. En la consola de administración de Forefront TMG, puede configurar los servidores RADIUS que se usarán para la autenticación y puede configurar un secreto compartido. Se configura el mismo secreto compartido en el servidor RADIUS. La autenticación RADIUS se puede utilizar para las solicitudes proxy web salientes y para las solicitudes entrantes para servidores web publicados.
Contraseña de un solo uso RADIUSForefront TMG puede utilizar una contraseña de un solo uso RADIUS para validar credenciales para solicitudes entrantes a servidores web publicados. Los
mecanismos de contraseña de un solo uso normalmente consisten en dispositivos portátiles (símbolos físicos) y un servidor. Tanto el servidor como los dispositivos producen un nuevo código de acceso con una frecuencia concreta. Los códigos de acceso son específicos de cada dispositivo (ningún dos dispositivo comparte el mismo código de acceso). El servidor que valida los códigos de acceso se instala en un servidor RADIUS y se puede asociar a la lista existente de usuarios RADIUS. Tenga en cuenta la siguiente información acerca de códigos de acceso:
Cada código de acceso se puede usar una sola vez.
En el formulario que proporciona Forefront TMG, el usuario escribe el nombre de usuario y el código de acceso que proporciona el dispositivo portátil. Forefront TMG envía el nombre de usuario y el código de acceso al servidor RADIUS para su validación.
Como el código de acceso no se puede utilizar por segunda vez, Forefront TMG no vuelve a validar las credenciales para cada solicitud. En su lugar, Forefront TMG emite una cookie para el cliente que permite una comunicación continua sin volver a autenticar.
Algunos servidores RADIUS bloquean el inicio de sesión de un usuario que no ha conseguido iniciar sesión después de un número concreto de veces. Si un usuario malintencionado intenta iniciar sesión dicho número de veces utilizando un nombre de usuario legítimo y códigos de acceso incorrectos, se bloqueará a dicho usuario en el sistema hasta que restablezca su acceso. Se recomienda que deshabilite la característica de bloqueo en el servidor de contraseña de un solo uso RADIUS para evitar esto. La configuración Solicitudes HTTP por minuto por dirección IP de Forefront TMG (que puede configurar en las propiedades de Mitigación de ataques "flood" de congestión del servidor de Forefront TMG) mitiga los ataques para adivinar la contraseña por fuerza bruta, para que pueda deshabilitar la característica de bloqueo RADIUS sin problemas.
RSA SecurIDRSA SecurID se basa en la tecnología de RSA, The Security Division of EMC. Forefront TMG también puede utilizar SecurID para validar las credenciales de
las solicitudes entrantes de recursos web publicados. SecurID necesita que un usuario remoto proporcione la siguiente información para tener acceso a los recursos protegidos:
Número de identificación personal (PIN).
Token físico que produce una contraseña de un solo uso limitada en el tiempo.
Nota:
Ni el PIN ni la contraseña de un solo uso generada por el símbolo conceden acceso aislados entre sí. Son necesarios los dos.
Cuando el usuario intenta obtener acceso a las páginas web protegidas por RSA SecurID, el equipo servidor Forefront TMG, en nombre del servidor con Internet Information Services (IIS) que Forefront TMG protege, comprueba la existencia de una cookie. Esta cookie solo estará presente si el usuario se ha autenticado recientemente y si no es persistente. Si falta la cookie del usuario, se le solicitará a éste el nombre de usuario y el PASSCODE de SecurID. El PASSCODE está formado por una combinación del PIN de usuario y el código de token. El Agente de autenticación de RSA del servidor de Forefront TMG pasa las credenciales al equipo del Administrador de autenticaciones de RSA para su validación. Si el Administrador de autenticaciones de RSA valida las credenciales correctamente, se envía una cookie al explorador del usuario para la actividad posterior durante la sesión y el usuario obtiene acceso al contenido. Tenga en cuenta la siguiente información:
Para la delegación SecurID, Forefront TMG genera cookies que son compatibles con RSA Authentication Agent 5.0. Cuando utilice la delegación SecurID, debe configurar el equipo agente de autenticación para que confíe en dichas cookies. Para ello, en el registro de equipos de agentes de autenticación, agregue el siguiente valor de cadena:Agent50CompatibleCookies en HKLM\Software\SDTI\RSAAgent.
Si Forefront TMG se configura con varios adaptadores de red y se crea una escucha de web con la autenticación RSA SecurID habilitada, debería configurar explícitamente la dirección del adaptador de red a través de la cual Forefront TMG se conecta al Administrador de autenticación de RSA para la autenticación; de lo contrario, es posible que Forefront TMG no pueda realizar la autenticación de SecurID. Especifique la dirección IP en la siguiente clave del Registro como un valor de cadena: HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP
Se recomienda que utilice SSL para cifrar las comunicaciones entre el cliente y Forefront TMG.
Para obtener más información, vea RSA Authentication Manager (http://go.microsoft.com/fwlink/?LinkId=180393).
41
Planeación para controlar el acceso de redSe aplica a: Forefront Threat Management Gateway (TMG)Este tema está diseñado para ayudarle a planear el control del acceso a su red interna y desde ella. Forefront TMG controla y protege el acceso a la red interna inspeccionando y filtrando el tráfico entre la red interna e Internet, entre las redes, y entre el servidor de Forefront TMG y los servicios con los que se comunica. En las secciones siguientes se describe:
Directivas y conjuntos de reglas
Procesamiento de solicitudes
Relaciones de redes
Directivas y conjuntos de reglasForefront TMG controla el acceso a la red interna aplicando directivas que determinan si se permiten o no conexiones entre redes. Estas directivas pueden ser de los siguientes tipos:
Directiva de firewall: inspecciona y filtra las conexiones entre la red interna e Internet. La directiva de firewall se compone de los siguientes conjuntos de reglas:
Reglas de acceso: controle el acceso web saliente, es decir, obtenga acceso desde el equipo interno a Internet.
Reglas de publicación de web: controle el acceso de entrada a los servidores web publicados.
Reglas de publicación de servidor: controle el acceso de entrada a los servidores no web publicados.
Directiva del sistema: controla el tráfico a la red de host local o desde ella (el servidor de Forefront TMG) para permitir el tráfico y los protocolos necesarios para que Forefront TMG lleve a cabo la autenticación, la pertenencia al dominio, los diagnósticos de red, el registro y la administración remota. Forefront TMG proporciona un conjunto de reglas predefinidas, que se crea durante la instalación del sistema. Puede habilitar o deshabilitar reglas individuales, y modificar destinos de regla; no puede eliminar reglas existentes o crear nuevas reglas. Para obtener más información, vea Acerca de la directiva del sistema.
Nota:
En la consola de administración de Forefront TMG, puede ver y editar reglas de directiva del sistema en el nodo Directiva de firewall.
Reglas de red: especifican que los recursos de una red tienen permiso para comunicarse con recursos de otras redes y especifican el tipo de relación (de enrutamiento o NAT) que existe entre el origen y el destino. Para obtener más información, vea Relaciones de redes.
Procesamiento de solicitudesAntes de editar y crear reglas de directiva, lea la siguiente información acerca de cómo Forefront TMG procesa las solicitudes:
Flujo de proceso de solicitudes
Acerca de las reglas de acceso
Acerca de las reglas de publicación
Procesamiento de nombres y direcciones
Administrar reglas que requieran autenticaciónPara obtener información acerca de cómo Forefront TMG aplica las directivas, vea Acerca de la aplicación de directivas.
Flujo de proceso de solicitudesForefront TMG procesa las solicitudes de la siguiente manera:
1. Comprueba la solicitud frente a las reglas de red para comprobar que exista la relación de red requerida entre el origen y el destino de la solicitud.
Nota:
El tráfico administrado por el filtro de proxy web no se comprueba con las reglas de red.
2. Comprueba la solicitud con la directiva del sistema para determinar si una de estas reglas del sistema permite o deniega la solicitud.3. Comprueba la solicitud con la directiva de firewall en el orden de aparición de las reglas en la lista.4. Tras hacer coincidir la solicitud con una regla, Forefront TMG vuelve a comprobar las reglas de red (excepto el tráfico que administra el filtro proxy web) para
determinar si se debe enrutar o aplicar la NAT al tráfico.
Acerca de las reglas de accesoPor lo general, las reglas de acceso administran las solicitudes de clientes internos. Las reglas de acceso sólo se pueden configurar con definiciones de protocolo salientes. Cuando se recibe una solicitud, Forefront TMG hace coincidir una regla de acceso con la solicitud comprobando los elementos de regla en este orden:
Protocolo: la regla define uno o más protocolos con una dirección saliente.
De: la dirección de origen se define en la regla. El origen puede ser toda la red, un conjunto de redes, un equipo o un conjunto de equipos, un intervalo de direcciones IP o una subred.
Programación: la programación de la regla controla cuándo se aplica la regla.
A: el destino se define en la regla. El destino puede ser toda la red, un conjunto de redes, un equipo o un conjunto de equipos, un intervalo de direcciones IP, una subred, un conjunto de nombres de dominios o un conjunto de direcciones URL. En algunos casos, puede que se necesite realizar una búsqueda DNS para
42
comprobar que la solicitud coincide. Para obtener más información, vea Procesamiento de conjuntos de nombres de dominio y conjuntos de direcciones URL (http://go.microsoft.com/fwlink/?LinkId=159771).
Usuarios: la regla se aplica a todos los usuarios (para acceso anónimo), a todos los usuarios autenticados (que se aplica a todos los usuarios que se pueden autenticar correctamente) o a un grupo de usuarios específico.
Grupos de contenido: la regla se aplica a los tipos de contenido específicos.Si la solicitud coincide con una regla de permiso, la solicitud se permite. Tras encontrar una regla coincidente, Forefront TMG no evalúa más reglas. Las reglas de acceso que deniegan el tráfico se procesan antes que las reglas de publicación. Si una solicitud coincide con una regla de acceso, se deniega la solicitud, aunque una regla de publicación la permita.
Acerca de las reglas de publicaciónForefront TMG usa los siguientes conjuntos de reglas de publicación para habilitar el acceso desde la red externa a los servidores publicados de la red interna:
Reglas de publicación de web: habilite el acceso de entrada a los servidores web publicados. Para solicitudes HTTP o HTTPS a una escucha web, Forefront TMG comprueba las reglas de publicación y, a continuación, las reglas de encadenamiento web para determinar si se permite la solicitud y cómo se debería administrar.
Reglas de publicación de servidor: habilite el acceso de entrada a los servidores no web publicados. En el caso de solicitudes no HTTP, Forefront TMG comprueba las reglas de red y, después, las reglas de publicación para determinar si se aceptan las solicitudes.
Procesamiento de nombres y direccionesLas solicitudes HTTP pueden contener un nombre, un nombre de dominio completo (FQDN) o una dirección IP. Forefront TMG administra el nombre o la dirección de la siguiente manera:
Si una solicitud HTTP usa un nombre de sitio, como http://www.fabrikam.com, Forefront TMG realiza una resolución de nombres directa para un servidor DNS para obtener el FQDN, los alias y las direcciones IP asociadas. A continuación, Forefront TMG intenta hacer coincidir estos elementos con una regla.
Si una solicitud HTTP usa una dirección IP, Forefront TMG comprueba primero si una regla coincide con la dirección. Durante este proceso, si Forefront TMG encuentra una regla que requiere un nombre, realiza la resolución de nombres inversa para obtener el FQDN para esa dirección IP. A continuación, Forefront TMG puede comparar el FQDN con las definiciones de regla de acceso.
Si no se realiza correctamente la resolución de nombres inversa, sólo se utilizará la dirección IP original en la solicitud para la comparación con las definiciones de regla.
Nota:
Cuando un cliente SecureNAT solicita un sitio por nombre, Forefront TMG comprueba, en primer lugar, que el contenido del encabezado de host no encubra una dirección IP independiente solicitada por el cliente. Si esta verificación se realiza correctamente, el proceso continúa como en el caso de un cliente proxy web.
Administrar reglas que requieran autenticaciónCuando una regla especifica que se requiera la autenticación, Forefront TMG solicita al cliente presentar credenciales. Si el cliente no puede proporcionar credenciales, se cancela la solicitud antes de que se evalúe la regla. Los clientes SecureNAT no pueden proporcionar credenciales y si una solicitud de un cliente SecureNAT coincide con una regla que necesita autenticación, la solicitud se descarta.
Relaciones de redesLas reglas de red especifican la manera en la que se envía el tráfico entre las redes de origen y destino. Se puede usar una de las siguientes relaciones en cada regla de red:
Relación de ruta
Relación NAT
Relación de rutaLas relaciones de ruta son bidireccionales. Por ejemplo, si una regla de red define una relación de ruta desde la red A a la red B, también existe una relación desde la red B a la red A. Las solicitudes del cliente desde la red de origen o destino se reenvían directamente a la otra red, con las direcciones IP de destino y de origen sin modificar. Utilice una relación de ruta donde no sea necesario que las direcciones IP estén ocultas entre redes. Ésta es una configuración común entre las dos redes con direcciones IP públicas o entre dos redes con direcciones privadas. En cualquier caso, los hosts de cada red deben definir la dirección IP de Forefront TMG en su red local como la ruta hacia la otra red. En muchos casos, basta con definir la dirección IP de Forefront TMG como puerta de enlace predeterminada. Al crear reglas de acceso o reglas de publicación de servidores, la relación de ruta afectará al tráfico de la siguiente manera:
Cuando se usan reglas de acceso, Forefront TMG reenvía el tráfico manteniendo intactas las direcciones IP de origen y destino.
Cuando se usan reglas de publicación de servidores, Forefront TMG reenvía el tráfico de igual manera que con las reglas de acceso, pero usa directamente filtros de aplicación. Por ejemplo, el filtro de protocolo simple de transferencia de correo (SMTP) no se utiliza para tráfico SMTP administrado mediante una regla de acceso, pero sí para tráfico administrado mediante una regla de publicación de servidor.
Relación NATLas relaciones de Traducción de direcciones de red (NAT) entre redes son unidireccionales. El tráfico se administra de acuerdo con el origen o destino del tráfico. Forefront TMG ejecuta NAT de la siguiente manera:
En las reglas de acceso, Forefront TMG sustituye la dirección IP del cliente en la red de origen por la dirección IP predeterminada de Forefront TMG en la red de destino. Por ejemplo, si crea una relación NAT en una regla de red entre la red interna y la red externa, la dirección IP de origen correspondiente a una solicitud de la red interna se sustituye por la dirección IP predeterminada del adaptador de red de Forefront TMG conectado a la red externa. Las reglas de acceso que
43
administran el tráfico entre redes definidas con una relación NAT solo pueden usar la red de origen especificada en la ficha De y la red de destino especificada en la ficha A de la regla.
En las reglas de publicación de servidor, el cliente de la red de destino establece una conexión con la dirección IP de Forefront TMG en la que la regla de publicación está escuchando solicitudes. Cuando Forefront TMG reenvía el tráfico al servidor publicado, sustituye la dirección IP de Forefront TMG por la del servidor interno que esté publicando, pero no modifica la dirección IP de origen. Tenga en cuenta que, en una relación NAT, las reglas de publicación de servidor sólo pueden tener acceso a la red especificada como red de destino. Además, como la publicación de servidores en redes con NAT deja intacta la dirección IP de origen al reenviar tráfico al servidor publicado, éste debe usar el equipo de Forefront TMG como último salto en la estructura de enrutamiento dirigida a la red de destino. Si esto no es posible, configure las reglas de publicación de servidor de manera que usen el valor Las solicitudes parecen provenir del equipo de Forefront TMG. Esto hace que Forefront TMG realice una NAT completa sobre el tráfico administrado por la regla.
Acerca de la directiva del sistemaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG incluye una directiva del sistema, que es un conjunto de reglas de directiva de firewall predefinidas que controlan el acceso hacia y desde la red de host local (el equipo con Forefront TMG). Estas reglas controlan como el firewall Forefront TMG habilita la infraestructura necesaria para administrar la conectividad y la seguridad de la red. Forefront TMG se instala con una directiva del sistema predeterminada, diseñada para resolver el equilibrio entre seguridad y conectividad.En este tema se describe lo siguiente:
Acerca de las reglas de directiva del sistema
Servicios habilitados por la directiva del sistema
Acerca de las reglas de directiva del sistemaAlgunas reglas de directiva del sistema se habilitan durante la instalación. Estas reglas se consideran las más básicas y necesarias para la administración eficaz del entorno Forefront TMG. Posteriormente, puede habilitar las reglas de directiva del sistema que habilitan los servicios y tareas necesarios para administrar la red.El Editor de directivas del sistema se utiliza para configurar las reglas de directiva del sistema. Dentro del Editor de directivas del sistema, la directiva del sistema se clasifica en un conjunto de grupos de configuración. Las reglas de directiva del sistema se procesan primero, antes del resto de reglas. No se puede modificar el orden de estas reglas. Durante la instalación, las reglas se aplican a redes específicas de la forma que se muestra en la tabla del tema System policy rules.Después de instalar Forefront TMG, puede configurar la directiva del sistema. No puede eliminar estas reglas, pero desde una perspectiva de seguridad, le recomendamos lo siguiente:
Después de instalación, revise atentamente las reglas de directiva del sistema configuradas. Después de realizar las tareas administrativas importantes, revise de nuevo la configuración de la directiva del sistema.
Identifique aquellos servicios y tareas que no son vitales para la administración de la red y deshabilite las reglas de la directiva del sistema asociadas.
Además de deshabilitar las reglas de directiva del sistema innecesarias, limite el ámbito de aplicación de las reglas sólo a las entidades de red necesarias. Por ejemplo, el grupo de Active Directory está habilitado de manera predeterminada y se aplica a todos los equipos de la red interna. Puede limitar su aplicación a un grupo específico de Servicios de dominio de Active Directory (AD DS) en la red interna.
Servicios habilitados por la directiva del sistemaDe manera predeterminada, la directiva del sistema permite que el firewall de Forefront TMG tenga acceso a recursos de la red vitales para el buen funcionamiento del firewall. En función de su implementación específica, puede que desee bloquear el acceso a algunos de estos servicios. En función de la implementación específica y de los servicios que necesite, puede determinar los grupos de configuración de directiva del sistema que se deberían habilitar. En esta sección se describe alguna de estas consideraciones de implementación. Al deshabilitar un grupo de configuración de directiva del sistema, no impide necesariamente el uso de un determinado protocolo. Esto se debe a que el mismo protocolo puede haberse especificado en una regla diferente, habilitada por un grupo de configuración distinto.Las reglas de directiva del sistema habilitan los servicios siguientes:
Servicios de red
Servicios DHCP
Servicios de autenticación
Habilitar tráfico DCOM
Servicios de autenticación de Windows y la autenticación RADIUS
Servicios de autenticación RSA SecurID
Servicios de autenticación CRL
Administración remota
Registro y supervisión remotos
Servicios de diagnóstico
SMTP
Trabajos programados de descarga
Acceso al sitio web de MicrosoftPara obtener una lista completa de todas las reglas de directiva del sistema, vea System policy rules.
Servicios de redAl instalar Forefront TMG, los servicios de red básicos se habilitan. Después de la instalación, Forefront TMG puede tener acceso a los servidores de resolución de nombres en todas las redes y a los servicios de sincronización de hora en la red interna.Si los servicios de red están disponibles en una red diferente, debería modificar los orígenes del grupo de configuración correspondiente (DHCP; DNS; NTP) para aplicarlos a la red específica. Por ejemplo, si el servidor DHCP no se encuentra en la red interna sino en una red perimetral, modifique el origen para que el grupo de configuración DHCP (en la ficha Desde) se aplique a la red perimetral.
44
Puede modificar la directiva del sistema para que solo se pueda tener acceso a determinados equipos de la red interna. También puede agregar redes adicionales si los servicios se encuentran en alguna otra ubicación.Modifique estos grupos de configuración, en función de los servicios de red que necesite:
DHCP
DNS
NTP
Servicios DHCPSi un servidor DHCP no se encuentra en la red interna, debe modificar la regla de directiva del sistema para que se aplique a la red donde se encuentra el servidor DHCP.Servicios de autenticaciónUna de las características fundamentales de Forefront TMG es su capacidad para aplicar una directiva de firewall a usuarios específicos. Para autenticar a los usuarios, Forefront TMG debe poder comunicarse con los servidores de autenticación. Modifique estos grupos de configuración, en función de los servicios de autenticación que necesite:
Active Directory
RADIUS
RSA SecurID
Descarga de CRL
Habilitar tráfico DCOMCuando las reglas de Microsoft Management Console (MMC) están habilitadas, el tráfico de llamada a procedimiento remoto (RPC) se permite en la red de host local. Sin embargo, se bloquea de forma predeterminada el tráfico DCOM. Si desea permitir el tráfico DCOM, deshabilite la regla de directiva del sistema “Permitir la administración remota desde equipos seleccionados que usan MMC”. A continuación, cree una regla que permita el tráfico RPC. Después de crear la regla, en las propiedades de la regla, configure el protocolo RPC y desactive la configuración Hacer cumplir la comprobación RPC estricta.
Servicios de autenticación de Windows y la autenticación RADIUSDe forma predeterminada, Forefront TMG puede comunicarse con los servidores AD DS (para la autenticación de Windows) y con los servidores RADIUS que se encuentran en la red interna. Si no necesita la autenticación Windows o la autenticación RADIUS, deshabilite los grupos de configuración de directiva del sistema aplicables.
Nota:
Al deshabilitar el grupo de configuración de directiva del sistema Active Directory, el acceso a todos los protocolos LDAP está deshabilitado. Si necesita los protocolos LDAP, cree una regla de acceso que permita su uso.Si solo necesita la autenticación de Windows, asegúrese de configurar la directiva del sistema y deshabilite el uso del resto de mecanismos de autenticación.
Servicios de autenticación RSA SecurIDLa comunicación con los servidores de autenticación RSA SecurID no está habilitada de forma predeterminada. Si la directiva de firewall necesita la autenticación RSA SecurID, asegúrese de habilitar este grupo de configuración.
Servicios de autenticación CRLLas listas de revocación de certificados (CRL) no se pueden descargar de forma predeterminada, porque el grupo de configuración de descarga de CRL no está habilitado de forma predeterminada. Para habilitar la descarga de CRL, compruebe que el grupo de configuración de descarga de CRL esté habilitado. A continuación, aplique este grupo de configuración a las entidades de red donde se encuentran las listas de revocación de certificados.Todo el tráfico HTTP se permitirá desde el firewall Forefront TMG a las entidades de red que aparecen en la ficha A.
Administración remotaNormalmente, administrará Forefront TMG desde un equipo remoto. Determine cuidadosamente qué equipos remotos pueden administrar y supervisar Forefront TMG. Modifique estos grupos de configuración, en función de cómo realiza la administración remota:
Microsoft Management Console (MMC)
Terminal Server
Administración web
ICMP (Ping)De manera predeterminada, las reglas de directiva del sistema que permiten la administración remota de Forefront TMG están habilitadas. Forefront TMG se puede administrar ejecutando un complemento remoto de Microsoft Management Console (MMC) o mediante Terminal Services. Estas reglas se aplican de forma predeterminada al conjunto integrado de Equipos de administración remota. Al instalar Forefront TMG, se crea este conjunto de equipos vacío. Agregue a este conjunto vacío todos los equipos desde los que se podrá administrar Forefront TMG de forma remota. Hasta que haga hecho esto, la administración remota no estará disponible desde ningún equipo.
Nota:
Limite la administración remota a equipos específicos configurando las reglas de directiva del sistema para aplicarlas sólo a direcciones IP específicas.
45
Registro y supervisión remotosDe manera predeterminada, se deshabilitan el registro remoto, la supervisión remota del rendimiento y la supervisión remota de Microsoft Operations Manager. Los siguientes grupos de configuración están deshabilitados de forma predeterminada:
Registro remoto (NetBIOS)
Registro remoto (SQL)
Supervisión remota del rendimiento
Microsoft Operations Manager
Servicios de diagnósticoLa reglas de directiva del sistema que permiten el acceso a los servicios de diagnóstico están habilitadas de forma predeterminada, junto con los siguientes permisos:
ICMP: este servicio, permitido para todas las redes, es importante para determinar la conectividad a otros equipos.
Redes de Windows: permite de forma predeterminada la comunicación de NetBIOS con los equipos de la red interna.
Informes de error de Microsoft: permite el acceso HTTP al conjunto de direcciones URL de los sitios de Informes de error de Microsoft, para permitir la generación de informes de error. De forma predeterminada, este conjunto de direcciones URL incluye sitios específicos de Microsoft.
Comprobadores de conectividad HTTP: permite que el firewall de Forefront TMG use los protocolos HTTPS y HTTP para comprobar si un equipo concreto está activo.
SMTPEl grupo de configuración SMTP está habilitado de forma predeterminada, lo que permite la comunicación SMTP desde Forefront TMG a los equipos de la red interna. Este grupo es necesario, por ejemplo, cuando desea enviar una información de alerta en un mensaje de correo electrónico.
Importante:
Se recomienda que no habilite el grupo de configuración SMTP si no envía información de alerta en un mensaje de correo electrónico.
Trabajos programados de descargaLa característica de trabajos programados de descarga está deshabilitada de forma predeterminada. El grupo de configuración de trabajos de descarga programada se deshabilita mientras esta característica esté deshabilitada.Al crear un trabajo de descarga de contenido, le solicitarán que habilite esta regla de la directiva del sistema. Forefront TMG podrá tener acceso a los sitios especificados en el trabajo de descarga de contenido.
Acceso al sitio web de MicrosoftLa directiva de sistema predeterminada permite el acceso HTTP y HTTPS de la red de host local (es decir, el firewall Forefront TMG) al sitio web Microsoft.com. El acceso al sitio web Microsoft.com se requiere por varias razones, por ejemplo, para descargar las actualizaciones de firmas del Sistema de inspección de red y antivirus, los informes de error o el acceso a la documentación del producto en el sitio web de Forefront TMG.El grupo de configuración Sitios permitidos está habilitado de forma predeterminada, permitiendo a Forefront TMG obtener acceso al contenido de sitios específicos pertenecientes al conjunto de nombres de dominio de Sitios permitidos de directiva del sistema. Este conjunto de direcciones URL contiene varios sitios web de Microsoft, de manera predeterminada. Puede modificar el conjunto de nombre de dominio para incluir sitios web adicionales, a los que podrá tener acceso Forefront TMG.El acceso a HTTP y HTTPS se permitirá en los sitios web especificados.Acerca de la aplicación de directivasPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Al aplicar cambios a la directiva de firewall o a reglas de red, Forefront TMG se asegura de que todas las conexiones de cliente existentes cumplen con la nueva directiva o las reglas, y termina las conexiones no permitidas.
Nota:
En la consola de Administración de Forefront TMG, los cambios de configuración se aplican solo al hacer clic en el botón Aplicar de la barra Aplicar cambios, esta barra aparece automáticamente, cada vez que realiza cambios de configuración.
La aplicación de directivas tiene lugar cuando se establece una conexión y cuando los siguientes elementos de la regla cambian:
Dirección y puerto de origen.
Direcciones, nombres y direcciones URL de destino.
Programación: cuando una regla de directiva de firewall o una regla de red incluye una programación, Forefront TMG se asegura continuamente de que las solicitudes que concuerdan con esa regla no expiran. Cuando una solicitud expira, Forefront TMG termina la conexión. Observe que esto podría deberse a un cambio en la directiva o a un cambio en la hora del servidor Forefront TMG.
Los conjuntos de usuarios y tipos de contenido que se hayan utilizado para evaluar la directiva en el momento de establecer la conexión por primera vez se utilizan también para la reevaluación.
Importante:
Si modifica elementos de la regla que no tienen por qué reevaluarse necesariamente, como por ejemplo conjuntos de usuarios o tipos de contenido que no se usaban originalmente en la evaluación, y desea asegurarse de que ninguna conexión existente infrinja la nueva directiva, deberá finalizar las sesiones de los clientes
46
manualmente en la consola de Administración de Forefront TMG, según se explica en Supervisar las sesiones de los clientes, o bien reiniciar el servicio de firewall.
Tenga en cuenta las consideraciones siguientes:
La reevaluación de las sesiones HTTP existentes tiene lugar la primera vez que haya intercambio de tráfico en la conexión correspondiente. Por ello, es posible que puedan existir algunas sesiones HTTP en la vista de supervisión de sesiones incluso, si estas no están permitidas por la nueva directiva, siempre que no pasen tráfico alguno.
En la reevaluación de directivas no se considera ningún elemento de directivas personalizadas asociado a filtros de aplicación. Por ejemplo, si añade un interfaz a una definición RPC utilizada en una regla de denegación, no se terminarán las conexiones existentes con esa interfaz. De igual manera, si deshabilita un comando SMTP en el filtro SMTP, no se terminarán las conexiones existentes que utilicen ese comando.
Las modificaciones en las definiciones de protocolos (cambios en las propiedades de los protocolos o incorporación de protocolos nuevos) no afectan a las conexiones existentes. Cada conexión se asocia a un protocolo específico (como HTTP o FTP) solo al establecer la conexión, y esta asociación permanece inalterada toda la duración de la conexión. Por ejemplo, si se ha asociado una conexión al protocolo FTP (puerto 21) y luego se agrega otro elemento de protocolo con el mismo puerto 21, la conexión seguirá coincidiendo con las reglas de la directiva que contengan el protocolo FTP y no coincidirá con las reglas de la directiva que no contengan el protocolo FTP, incluso si estas contienen el nuevo protocolo definido.Planeación para el acceso webPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG proporciona control de acceso web y protección para los usuarios internos que tienen acceso a Internet, proporcionando autenticación, filtrado de paquetes, inspección con estado y filtrado de capa de aplicación. Este tema está diseñado para ayudarle a planear el acceso desde la red interna de su organización a Internet. Proporciona información acerca de lo siguiente:
Autenticar usuarios internos
Controlar el acceso web
Inspeccionar y filtrar el tráfico web
Acelerar el acceso web
Autenticar usuarios internosForefront TMG puede exigir a los usuarios internos que se autentiquen para tener acceso a Internet. Para obtener información, vea Planeación para la autenticación de acceso web.
Controlar el acceso webEl acceso a la web a través de Forefront TMG se controla con una directiva de acceso web. Una directiva de acceso web determina quién puede tener acceso a qué recursos en Internet, y qué protección y otras tecnologías están habilitadas para ayudar a proporcionar una experiencia de exploración rápida y segura.Para controlar el acceso web, una directiva de acceso web le permite definir:
Los destinos web a los que se permite o se bloquea el acceso. Puede controlar el acceso a las categorías de direcciones URL, conjuntos de categorías y sitios web concretos. Por ejemplo, puede bloquear el acceso de todos los usuarios a un sitio específico. Si lo prefiere, puede que desee permitir a los administradores tener acceso a un conjunto de categorías de direcciones URL y denegar el acceso a otros empleados.
Nota:
En Forefront TMG SP1, puede notificar a los usuarios que han tenido acceso a un sitio web que está bloqueado por la directiva, y permitirles invalidar la restricción de acceso y continuar con el sitio por sesión. Para obtener más información, vea Planeación para la invalidación del usuario de reglas de denegación (SP1).
Qué equipos o usuarios pueden tener acceso a Internet. Por ejemplo, puede especificar que un conjunto de equipos no tenga acceso a Internet o puede permitir a un conjunto de usuarios tener acceso a Internet y bloquear a otros.
Qué tipos de contenido se permiten, en función del tipo MIME y la extensión de nombre de archivo. Por ejemplo, puede bloquear el acceso al contenido que incluye archivos de audio, como archivos MP3 y WAV. Para obtener información sobre las directivas de Forefront TMG, vea Planeación para controlar el acceso de red.
Inspeccionar y filtrar el tráfico webUna directiva de acceso web también le permite configurar diversas protecciones del contenido web malintencionado. Forefront TMG usa varias tecnologías de protección para detectar el tráfico web, para ayudar a proteger su red del contenido web malintencionado:
Inspección de malware: inspecciona los archivos y las páginas web descargadas en busca de malware. Para obtener información, vea Planeación para proteger frente a contenido web malintencionado.
Filtrado de URL: permite o bloquea el acceso a sitios web en función de su categorización en la base de datos de filtrado de direcciones URL. Para obtener información, vea Planeación del filtrado de URL.
Filtrado HTTP: filtrado HTTP de capa de aplicación que examina los datos y los comandos HTTP. Para obtener información, vea Planeación para el filtrado HTTP.
Inspección de HTTPS: examina el tráfico para asegurar los sitios web frente a virus y otro contenido malintencionado que podría usar los túneles de capas de sockets seguros (SSL) para infiltrarse en la organización no detectada. Para obtener información, vea Planeación para la inspección de HTTPS.
Acelerar el acceso webPuede usar Forefront TMG para almacenar en caché el contenido web solicitado con frecuencia para mejorar la velocidad de acceso web y el rendimiento de la red. Para obtener información, vea Planeación para almacenar en caché el contenido web.Planeación para la autenticación de acceso web
47
Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Nota:
En este tema se proporciona información general de autenticación de acceso web en Forefront TMG. Para obtener información detallada y la documentación más actualizada, vea la biblioteca TechNet de Forefront TMG (http://go.microsoft.com/fwlink/?LinkID=131702).
Forefront TMG le permite solicitar a los usuarios internos autenticarse para poder tener acceso a Internet. Puede usar uno de los siguientes métodos para especificar que la autenticación es necesaria para las solicitudes de acceso web:
Requerir a los usuarios que se autentiquen cada vez que solicitan acceso web. Todas las sesiones web requieren autenticación.
Al usar este método, tenga en cuenta lo siguiente: El acceso web anónimo está deshabilitado.
Forefront TMG solicita las credenciales de usuario y las valida antes de comprobar la solicitud frente a la directiva de firewall. Si los usuarios no se autentican, se deniega su solicitud de acceso.
Este método se define por red. La mayoría de los clientes no interactivos, como el cliente de Windows Update, no se pueden autenticar y, por tanto, se deniega el acceso.
Requerir a los usuarios que se autentiquen para reglas específicas: puede configurar reglas de acceso individuales para requerir autenticación, de manera que la autenticación solo sea necesaria para las solicitudes que se comprueban con esas reglas. Con este método, el requisito para autenticar forma parte de la regla de acceso. Para obtener más información acerca de las reglas de acceso y el procesamiento de solicitudes, vea Planeación para controlar el acceso de red.
Nota:
Si no se requiere autenticación, los usuarios internos pueden tener acceso a Internet sin identificarse.
Planeación para la invalidación del usuario de reglas de denegación (SP1)Publicada: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Importante:
La información de este tema es relevante para Forefront TMG SP1.
Ahora puede configurar Forefront TMG para permitir a los usuarios invalidar una restricción de acceso a un sitio web bloqueado por solicitud. De esta manera se puede proporcionar una directiva de acceso web más flexible, permitiendo a los usuarios decidir por ellos mismos si desean tener acceso a un sitio que se les ha denegado. Esto resulta de especial utilidad para los sitios web que se han clasificado de manera incorrecta. En este tema se describe lo siguiente:
How user override works
Implementing user override
User override log records
Known issues
Cómo funciona la invalidación de usuarioLa invalidación de usuario funciona de la siguiente manera:
1. Un usuario intente obtener acceso a un sitio web clasificado en una categoría de dirección URL o un conjunto de categorías de direcciones URL que está bloqueada por directiva e Forefront TMG presenta una página de notificación de acceso denegado HTML.
2. Si la regla está configurada para permitir la invalidación del usuario, la página HTML incluye un botón denominado Invalidad restricción de acceso. 3. Cuando el usuario hace clic en el botón Invalidar restricción de acceso, el servidor proxy asigna al explorador del usuario una cookie que acompaña a todas las
solicitudes web posteriores a este dominio y el explorador se desencadena para volver a cargar la dirección URL.4. El servidor proxy recibe la solicitud web con la cookie y deshabilita de manera eficaz el bloqueo de la regla solo para esta solicitud web.
Nota:
La cookie permanece válida durante la duración de la sesión del explorador o durante el período de espera configurado.Si se realiza otra solicitud web en la misma sesión del explorador a una categoría de direcciones URL o un dominio diferentes, el usuario tendrá que invalidar la restricción de acceso (si se permite) de nuevo.
5. La solicitud web se acepta con un regla que permite el acceso al destino bloqueado anteriormente. 6. La página web bloqueada anteriormente se abre en el explorador del usuario y el usuario puede continuar obteniendo acceso al sitio durante la duración de la sesión o
durante el período de tiempo de espera configurado. 7. Si el registro está habilitado para esta regla, se registra la solicitud del usuario y el posterior acceso del sitio.
Implementación de la invalidación de usuarioHay dos pasos necesarios para implementar la invalidación del usuario:
48
1. Cree una regla que bloquee el acceso a sitios basados en categorías URL o conjuntos de categorías URL.2. Habilite la opción Permitir la invalidación del usuario en la pestaña Acción de la regla.
Nota:
Para que la invalidación del usuario funcione, una de las reglas de directiva de firewall posteriores debe permitir el acceso al destino solicitado.
Para obtener detalles de configuración, vea cómo Habilitar la anulación del usuario para reglas de denegación en Configurar las propiedades de la regla de acceso web.
Nota:
Para habilitar la invalidación de usuario para una regla de acceso, se deben cumplir las siguientes condiciones:
El destino (y las exclusiones de destino) solo deben incluir categorías URL y conjuntos de categorías URL. El intento de agregar otro tipo de entidad de red (por ejemplo, una dirección IP) genera un error.El protocolo solo debe ser HTTP.La invalidación de usuario no se admite para tráfico HTTPS. Si es necesario, cree una regla independiente que deniegue el tráfico HTTPS a estas categorías de direcciones URL.La regla debe aplicarse a todos los tipos de contenido HTTP. Asegúrese de que la regla está establecida para aplicarse a Todos los tipos de contenido en la pestaña Tipos de contenido.
Registros de invalidación de usuarioLas solicitudes para invalidar las restricciones de acceso se registran en el registro proxy web, permitiéndole identificar:
1. Quién solicitó el acceso (dirección IP de origen o usuario autenticado), y cuándo.2. El sitio que se solicitó y su categoría de dirección URL.3. Las reglas que bloquearon y posteriormente permitieron la solicitud.
La revisión del registro también le permite establecer si la invalidación de usuario funciona adecuadamente y solucionar problemas conforme surjan.En la tabla siguiente se ofrece un ejemplo de una regla de invalidación de usuario de funcionamiento adecuado.
AcciónIP de cliente
Nombre de usuario de cliente Regla Regla invalidada Dirección URL
Categoría de dirección URL
Conexión denegada
10.10.10.1 anónimo (Regla de bloqueo de categoría de dirección URL con invalidación de usuario habilitada)
http://www.contoso.com Malintencionado
Conexión permitida
10.10.10.1 anónimo (Regla que permite categorías de direcciones URL bloqueadas anteriormente)
(Regla de bloqueo de categoría de dirección URL con invalidación de usuario habilitada)
http://www.contoso.com Malintencionado
Nota:
La regla que ha bloqueado la solicitud de acceso inicial aparece como la “Regla invalidada” en la regla que permite la conexión.En esta tabla se muestran los campos relevantes para la características de invalidación de usuario; hay muchos otros disponibles en el visor de registro.
Problemas conocidosEn el caso de que un usuario notifique páginas HTML con marcos vacíos o marcos que contienen mensajes de error, busque el archivo de registro proxy web para solicitudes para las marcos específicos. Si encuentra que la regla que ha denegado esta conexiones tiene la invalidación de usuario habilitada, este problema está más relacionado con la categorización de direcciones URL del contenido en el marco. Si esta clasificación es incorrecta, puede invalidarla; para instrucciones vea Invalidar la categorización de direcciones URL. También puede notificar la dirección URL al Servicio de reputación de Microsoft. Si desea obtener detalles, vea Microsoft Reputation Services Comentarios e informes de errores (http://go.microsoft.com/fwlink/?LinkId=178581).
Planeación de publicación
Se aplica a: Forefront Threat Management Gateway (TMG)La publicación de Forefront TMG le permite hacer que los servicios y las aplicaciones internas estén disponibles para los usuarios internos y externos. Los siguientes temas están diseñados para ayudarle a planear la publicación segura de sus servidores corporativos:
Acerca de cómo publicar servidores web
Acerca de cómo publicar servidores no web
Acerca de cómo publicar servidores web
49
Se aplica a: Forefront Threat Management Gateway (TMG)Al publicar servidores web, Forefront TMG usa reglas de publicación web para permitir o denegar el acceso a las aplicaciones web internas, en función de las directivas de acceso. Puede restringir el acceso a usuarios, equipos o redes concretos, exigir la autenticación de los usuarios e inspeccionar el tráfico entre clientes y los servidores de publicación.
Nota:
Puede configurar Forefront TMG para almacenar contenido web en caché y responder a las solicitudes de los usuarios desde la memoria caché sin reenviar dichas solicitudes al servidor web publicado. Para obtener más información, vea Planeación para almacenar en caché el contenido web.Al publicar una granja de servidores web que desempeñan el mismo rol u hospedan el mismo contenido, puede habilitar la disponibilidad alta para el acceso de entrada mediante la configuración de Forefront TMG para controlar el equilibrio de carga entre los servidores de la granja. Para obtener más información, vea Acerca del equilibrio de la carga para publicación de web.Para obtener información acerca de la autenticación, vea Acerca de la autenticación en publicación de web.
En las siguientes secciones se proporciona información para ayudarle a planear la publicación del servidor web:
Escenarios de publicación de web compatibles
Acerca de las escuchas de web
Escenarios de publicación de web compatiblesForefront TMG admite los siguientes escenarios de publicación web:
Publicar servidores web a través de HTTP: publique un sitio web único o un equilibrador de carga, varios sitios web o una granja de servidores a través de HTTP. Para obtener más información, vea Publicar servidores web a través de HTTP.
Publicar servidores web a través de HTTPS: publique un sitio web único o un equilibrador de carga, varios sitios web o una granja de servidores a través de HTTPS. Para obtener más información, vea Publicar servidores web a través de HTTPS.
Nota:
Al publicar a través de HTTPS, se debe instalar primero un certificado de servidor en el equipo de Forefront TMG, para autenticar Forefront TMG en el equipo cliente. Para obtener más información, vea Planeación de certificados de servidor.
Redirección de HTTP a HTTPS y viceversa: puede publicar los servidores web de modo que la conexión entre los equipos cliente y el servidor de Forefront TMG utilice un solo protocolo, mientras que la conexión entre el servidor de Forefront TMG y los servidores web publicados use el otro. Por ejemplo, la conexión a los equipos cliente puede producirse sobre HTTPS y que se establezca una conexión HTTP entre el servidor de Forefront TMG y el servidor o los servidores web publicados.
Nota:
En un escenario en el cual la conexión entre los servidores publicados y el servidor de Forefront TMG tenga lugar sobre HTTPS y la conexión entre los servidores cliente y el servidor de Forefront TMG tenga lugar sobre HTTP, si los servidores publicados usan cookies que contienen información confidencial, marque estas cookies como seguras.
Publicación de Outlook Web Access: Outlook Web Access es el servicio de correo de Exchange que permite a los usuarios tener acceso a su buzón de correo de Exchange desde un explorador web. Hay dos versiones de Outlook Web Access:
Outlook Web Access Light: admite las características de accesibilidad para los usuarios invidentes o con problemas visuales, y se ejecuta en la mayoría de los exploradores web. Proporciona una interfaz de usuario simplificada y un conjunto reducido de características en comparación con Outlook Web Access Premium.
Outlook Web Access Premium: requiere Microsoft Internet Explorer 6 o versiones posteriores, y proporciona características que no están disponibles actualmente en la versión Light, como la Mensajería unificada y la capacidad de revisar la ortografía.
Para obtener información acerca de detalles de publicación, vea Configurar la publicación de Outlook Web Access.
Publicación de Outlook Mobile Access: Outlook Mobile Access es la solución de exploración móvil de Microsoft Exchange Server 2003 (solo se admite para Outlook Web Access 2003). Genera marcado HTML, xHTML y cHTML para la visualización en los dispositivos móviles aprobados en la lista de dispositivos. Para obtener información acerca de detalles de publicación, vea Configurar publicación de Outlook Mobile Access.
Publicación de ActiveSync: Exchange ActiveSync es un protocolo de sincronización de Microsoft Exchange optimizado para funcionar con redes de ancho de banda bajo y alta latencia. El protocolo, basado en HTTP y XML, permite a los dispositivos, como teléfonos móviles habilitados con explorador o dispositivos con Microsoft Windows Mobile, tener acceso a la información de una organización en un servidor que está ejecutando Microsoft Exchange. Exchange ActiveSync permite a los usuarios de dispositivo móvil tener acceso a su correo electrónico, calendario, contactos y tareas, y continuar teniendo acceso a esta información mientras trabajan sin conexión. Para obtener información acerca de detalles de publicación, vea Configurar la publicación de ActiveSync.
Publicación de SharePoint: Productos y Tecnologías de Microsoft SharePoint proporciona un gran número de características y funciones para colaboración, portal, búsqueda, administración de contenido empresarial, procesos de negocio controlados por formularios y Business Intelligence. Para obtener información acerca de detalles de publicación, vea Configurar publicación de SharePoint.
Nota:
Forefront TMG es compatible con la característica Asignaciones de acceso alternativas de Productos y Tecnologías de SharePoint.
50
Acerca de las escuchas de webCada regla de publicación web de Forefront TMG tiene asignada una escucha de web. La escucha de web "escucha" las conexiones entrantes en las redes definidas o puertos y direcciones IP. También define el número de conexiones simultáneas de cliente permitidas en la conexión y el método de autenticación que se usa si se requiere autenticación.
Nota:
Se puede usar una escucha de web por más de una regla de publicación de web.
Acerca de la autenticación en publicación de webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Cuando los clientes solicitan acceso a servidores web internos publicados, el proceso de autenticación en Forefront TMG consta de tres componentes:
Recepción de credenciales de cliente.
Validación de las credenciales de cliente mediante un proveedor de autenticación como Servicios de dominio de Active Directory (AD DS), RADIUS o el Administrador de autenticaciones de SecurID.
Delegación de la autenticación a servidores web situados detrás de Forefront TMG como, por ejemplo, los servidores que ejecutan SharePoint Portal Server 2007.
Nota:
Los dos primeros componentes se configuran en la escucha de web que recibe las solicitudes de cliente. El tercero se configura en la regla de publicación. Esto significa que puede utilizar la misma escucha para diferentes reglas y tener tipos de delegación distintos.
En la ilustración siguiente se muestra el proceso de autenticación basada en formularios. Tenga en cuenta que se trata de una descripción simplificada del proceso que se proporciona para describir los principales pasos necesarios.
Paso 1, recepción de credenciales de cliente: el cliente envía una solicitud de conexión al servidor corporativo de Outlook Web Access en la red interna. El cliente proporciona las credenciales en HTML.
Pasos 2 y 3, envío de credenciales: Forefront TMG envía las credenciales al proveedor de autenticación, por ejemplo, un controlador de dominio para la autenticación de AD DS o un servidor RADIUS, y recibe una confirmación del proveedor de autenticación de que el usuario está autenticado.
Paso 4, delegación de autenticación: Forefront TMG envía la solicitud del cliente al servidor Outlook Web Access y se autentica en el servidor Outlook Web Access con las credenciales del cliente. El servidor Outlook Web Access revalida estas credenciales, normalmente con el mismo proveedor de autenticación.
Nota:
El servidor web se debe configurar para utilizar el esquema de autenticación que coincide con el método de delegación que utiliza Forefront TMG.
Paso 5, respuesta del servidor: el servidor Outlook Web Access envía al cliente una respuesta que Forefront TMG intercepta. Paso 6, reenvío de la respuesta: Forefront TMG reenvía la respuesta al cliente.
Nota:
Si no limita el acceso a usuarios autenticados, como es el caso cuando se aplica a todos los usuarios una regla que permite el acceso, el Forefront TMG no valida las credenciales del usuario. El Forefront TMG utiliza las credenciales del usuario para autenticarse en el servidor web de acuerdo con el método de delegación configurado.Es recomendable aplicar todas regla de publicación a todos los usuarios autenticados o a un conjunto de usuarios específicos, en lugar de seleccionar Solicitar la autenticación de todos los usuarios en la escucha de web, que requiere la autenticación de todos los usuarios que se conecten a través de la escucha.
Métodos de autenticación de cliente para la recepción de credenciales de clienteLas escuchas de web de Forefront TMG admiten los tipos de autenticación de cliente siguientes:
Sin autenticación.
Autenticación basada en formularios
Autenticación HTTP (recibida en el encabezado HTTP)
Autenticación de certificados de cliente
Sin autenticaciónPuede seleccionar que Forefront TMG no requiera autenticación. Si lo hace, no podrá configurar un método de delegación en las reglas que utilicen esta escucha de web.
Autenticación basada en formulariosLa autenticación basada en formularios del Forefront TMG se puede utilizar para publicar cualquier servidor web. En Forefront TMG, están disponibles estos tres tipos de autenticación basada en formularios:
Formulario de contraseñas: el usuario escribe un nombre de usuario y contraseña en el formulario. Es el tipo de credenciales necesarias para la validación de credenciales de AD DS, LDAP y RADIUS.
Formulario de código de acceso: el usuario escribe un nombre de usuario y código de acceso en el formulario. Es el tipo de credenciales necesario para la validación de contraseñas de un solo uso SecurID y RADIUS.
51
Formulario Código de acceso/contraseña: el usuario escribe un nombre de usuario y una código de acceso, y un nombre de usuario y una contraseña. El nombre de usuario y el código de acceso se utilizan para la autenticación en Forefront TMG mediante la aplicación de métodos de autenticación con contraseñas de un solo uso de SecurID o RADIUS. El nombre de usuario y la contraseña se utilizan para la delegación.
Vuelta a la autenticación básicaDe forma predeterminada, si no se puede utilizar la autenticación basada en formularios con un cliente específico, Forefront TMG requiere la autenticación básica. Esta acción se configura en la propiedad COM del Forefront TMG, en las colecciones de asignaciones de agentes de usuario:FPCRuleElements.UserAgentMappings Para obtener más información, vea Managing User-Agent Mappings (http://go.microsoft.com/fwlink/?LinkId=106693).
Formularios de clientes móvilesEl Forefront TMG proporciona formularios para diferentes clientes móviles. Estos formularios se encuentran en las carpetas CHTML y XHTML (y representan formularios XHTML-MP) de la siguiente ubicación:Forefront TMG Directorio de instalación\Templates\CookieAuthTemplatesEl Forefront TMG utiliza el encabezado User-Agent que proporciona el cliente móvil para determinar el tipo de formulario que debe suministrar.
Administración de contraseñas en la autenticación basada en formulariosSi se utiliza la autenticación basada en formularios, Forefront TMG permite advertir a los usuarios cuando las contraseñas van a expirar (con la antelación que se configure) y permite a los usuarios cambiar sus contraseñas. Estas dos funcionalidades se pueden utilizar por separado o combinadas. Por ejemplo, puede advertir a los usuarios que sus contraseñas están a punto de expirar pero no permitir que las cambien. O puede permitir que cambien las contraseñas, pero no avisar cuando vayan a expirar. Si permite que los usuarios cambien sus contraseñas, la opción estará disponible en el formulario de inicio de sesión. Si configura Forefront TMG para que avise a los usuarios cuando vaya a expirar su contraseña, los usuarios recibirán una página de advertencia que les ofrece la opción se cambiar sus contraseñas. Para obtener instrucciones acerca de cómo configurar la característica de cambiar contraseña, vea Configurar la característica Cambiar contraseña.
Nota:
Los formularios HTML para la autenticación basada en formularios se pueden personalizar totalmente.Si configura Forefront TMG para que solicite autenticación, cuando una regla de publicación se aplique a un conjunto de usuarios específico o a Todos los usuarios autenticados, o si hay una escucha de web configurada para Requerir que todos los usuarios se autentiquen, Forefront TMG validará las credenciales antes de reenviar la solicitud.De forma predeterminada, la configuración de idioma del explorador del cliente determina el idioma del formulario que proporcionará Forefront TMG. El Forefront TMG proporciona formularios en 26 idiomas. Forefront TMG también se puede configurar para que suministre los formularios en un idioma específico, independientemente del idioma del explorador.Se deberían tener en cuenta los siguientes problemas de seguridad:
Si se configura un tiempo de espera para la autenticación basada en formularios, es recomendable que el tiempo de espera sea inferior al impuesto por el servidor publicado. Si el servidor publicado agota el tiempo de espera antes que el Forefront TMG, el usuario puede creer (equivocadamente) que la sesión ha finalizado. Esto podría permitir a un intruso utilizar la sesión, que permanecería abierta hasta que el usuario la cerrara activamente o hasta que Forefront TMG superara el tiempo de espera (según lo configurado en el formulario).Asegúrese de que la aplicación web está diseñada para resistir ataques de secuestro de sesión (también llamados ataques de envíos entre sitios, de falsificación de solicitudes entre sitios o por engaño) antes de publicarla mediante el Forefront TMG. Esto tiene especial relevancia para los servidores web publicados mediante Forefront TMG, ya que los clientes deben utilizar el mismo nivel de confianza para todos los sitios web a los que obtienen acceso a través de la publicación del firewall de Forefront TMG.En el caso de una autenticación basada en formularios que requiere un certificado de cliente y el usuario se niega a proporcionar un certificado, el usuario puede obtener acceso al formulario de inicio de sesión. No obstante, Forefront TMG denegará el inicio de sesión por falta de un certificado de cliente.La personalización de formularios implica la modificación del archivo Strings.txt. Si proporciona el archivo Strings.txt a un tercero para su modificación, compruebe que no se hayan hecho adiciones que no sean texto al archivo, ya que podrían hacer que las redes sean vulnerables a ataques.
Autenticación HTTPForefront TMG es compatible con los siguientes tipos de autenticación HTTP:
Autenticación básica: con este tipo de autenticación, al cliente que realiza la solicitud se le solicitan credenciales. Forefront TMG valida las credenciales y, al pasar la solicitud al servidor web, las usa para autenticarse en el servidor web de acuerdo con el método de delegación configurado. El servidor web se debe configurar para utilizar el esquema de autenticación que coincide con el método de delegación que utiliza Forefront TMG. Para obtener información acerca de la autenticación básica, vea Acerca de los métodos de autenticación.
Autenticación implícita y de WDigest: con este tipo de autenticación, el cliente realiza una solicitud. Forefront TMG deniega la petición y solicita al cliente la información de autenticación. Las credenciales se envían a un controlador de dominio para su validación. Para obtener más información, vea Acerca de los métodos de autenticación.
Autenticación de Windows integrada (NTLM): utiliza los mecanismos de autenticación NTLM, Kerberos y Negotiate. La información actual de Windows del equipo cliente se utiliza para la autenticación. Si el intercambio de autenticación no es correcto, el explorador pide al usuario credenciales válidas o cierra el cuadro de diálogo de solicitud. Para obtener más información acerca de este método de autenticación, vea Acerca de los métodos de autenticación.
Autenticación de certificados de clienteEn el escenario de certificado de cliente, el cliente proporciona un certificado y el Forefront TMG autentica al cliente con dicho certificado. También puede tratarse de un certificado que esté incrustado en una tarjeta inteligente o un certificado que utilice un dispositivo móvil para conectarse a Microsoft ActiveSync.
Métodos para la validación de credenciales de clienteForefront TMG es compatible con los tipos de servidor siguientes para la validación de credenciales de cliente:
52
Sin autenticación (permite que los servidores internos administren la autenticación)
Active Directory de Windows
Servidor LDAP
RADIUS
Contraseña de un solo uso RADIUS
SecurIDSe puede configurar la recepción y la validación de credenciales de cliente en la escucha de web para una regla de publicación. Una regla de publicación con una escucha de web que utilice un método específico de validación de credenciales debe utilizar un conjunto de usuarios que sea coherente con dicho método de validación. Por ejemplo, una regla de publicación con un escucha de web que utilice la validación de credenciales LDAP también debe utilizar un conjunto de usuarios formado por usuarios LDAP. No puede incluir a los usuarios de AD DS.
Importante:
Si utiliza la misma escucha de web para publicar varias aplicaciones en el mismo dominio, un usuario que esté autenticado para una aplicación también podrá obtener acceso a las otras, aunque no esté habilitado el inicio de sesión único (SSO).
Delegación de autenticaciónTras validar las credenciales, puede configurar reglas de publicación para utilizar uno de los métodos siguientes con el fin de delegar las credenciales a los servidores publicados:
Sin delegación y el cliente no se puede autenticar directamente.
Sin delegación, pero el cliente se puede autenticar directamente.
Básica
NTLM
NTLM/Kerberos (Negotiate)
SecurID
Delegación limitada de Kerberos
Configurar la delegación de autenticaciónLa delegación de credenciales de cliente se configura en la regla de publicación. En el Asistente de publicación de reglas, configure la delegación en la página Delegación de autenticación. En las propiedades de la regla de publicación, los valores de autenticación se encuentran en la ficha Delegación de autenticación.
Sin delegación y el cliente no se puede autenticar directamente.En esta opción, Forefront TMG no delega credenciales; de esta manera, se evita la delegación accidental de credenciales en la organización, donde pueden ser interceptadas. Ésta es la configuración predeterminada en algunos asistentes de publicación de Forefront TMG, por lo que debe cambiarla si desea delegar credenciales.
Sin delegación, pero el cliente se puede autenticar directamente.Si selecciona el método de delegación Sin delegación, pero el cliente se puede autenticar directamente, el Forefront TMG transfiere las credenciales del usuario al servidor de destino sin ninguna acción adicional por parte del Forefront TMG. Entonces, el servidor de destino y el cliente negocian la autenticación.
BásicaEn la autenticación básica, Forefront TMG envía las credenciales en texto sin formato al servidor que las requiere. Si se produce un error de autenticación, Forefront TMG solicita al usuario que se autentique mediante el tipo de autenticación configurado en el escucha de web. Si el servidor requiere un tipo de credenciales diferente, Forefront TMG desencadena una alerta.
NTLMEn la delegación NTLM, Forefront TMG delega las credenciales mediante el protocolo de autenticación NTLM de desafío y respuesta. Si se produce un error de autenticación, Forefront TMG reemplaza la delegación por el tipo de autenticación que utiliza la escucha de web. Si el servidor requiere un tipo de credenciales diferente, Forefront TMG desencadena una alerta.
NTLM/Kerberos (Negotiate)Si se selecciona Negotiate como método de delegación, Forefront TMG intenta obtener del controlador de dominio un vale Kerberos para el cliente. Si Forefront TMG no recibe el vale Kerberos, utiliza el esquema de negociación para delegar las credenciales mediante NTLM. Si Forefront TMG recibe el vale Kerberos, utiliza el esquema de negociación para delegar las credenciales mediante Kerberos. Si se produce un error de autenticación, Forefront TMG envía el aviso de error del servidor al cliente. Si el servidor requiere un tipo de credenciales diferente, Forefront TMG desencadena una alerta.El nombre principal de servicio (SPN) predeterminado que se usa para obtener el vale es http/nombreDeSitioInterno. Si se trata de una granja de servidores, el SPN es el nombre de la granja. En Administración de Forefront TMG, se puede cambiar el nombre principal de servicio predeterminado en la ficha Delegación de autenticación de la regla.
Nota:
En Microsoft Exchange Server 2003, Internet Information Services (IIS) se ejecuta en la cuenta de servicio de red. Forefront TMG utiliza el comodín SPN HTTP\* y reemplaza el asterisco por el nombre de host del sitio publicado.
SecurID
53
Cuando un cliente proporciona credenciales de SecurID, puede usar la delegación de autenticación de SecurID. Forefront TMG transmite la cookie de SecurID de su propiedad al servidor publicado. Recuerde que Forefront TMG y el servidor publicado deben tener el mismo nombre de cookie y secreto de dominio.
Delegación limitada de KerberosA partir de ISA Server 2006, se admite la delegación limitada de Kerberos. Para obtener más información acerca de la delegación limitada de Kerberos, vea Kerberos Protocol Transition and Constrained Delegation (http://go.microsoft.com/fwlink/?LinkID=56785). Si no se utiliza la delegación limitada de Kerberos, el Forefront TMG sólo puede delegar credenciales si las credenciales de cliente se reciben mediante la autenticación básica o basada en formularios. Si se utiliza la delegación limitada de Kerberos, Forefront TMG puede aceptar otros tipos de credenciales de cliente como, por ejemplo, certificados de cliente. Forefront TMG debe estar habilitado en el controlador de dominio para poder utilizar la delegación limitada de Kerberos (limitada a un nombre principal de servicio determinado). Si se produce un error de autenticación, Forefront TMG envía el aviso de error del servidor al cliente. Si el servidor requiere un tipo de credenciales diferente, Forefront TMG desencadena una alerta.
Nota:
Para usar la delegación limitada de Kerberos, debe configurar AD DS para que reconozca Forefront TMG como un servidor de confianza para la delegación.El nombre principal de servicio predeterminado que se usa para obtener el vale es http/nombreDeSitioInterno. Si se trata de una granja de servidores, el SPN es el nombre de la granja. En Administración de Forefront TMG, se puede cambiar el nombre principal de servicio predeterminado en la ficha Delegación de autenticación de la regla.Para utilizar la delegación limitada de Kerberos, el dominio debe ejecutarse en Windows Server 2003 o un nivel funcional de dominio superior.La autenticación Kerberos se basa en paquetes UDP. Estos paquetes suelen estar fragmentados. Si el equipo Forefront TMG se encuentra en un dominio y habilita el bloqueo de fragmentos IP, se producirá un error en la autenticación Kerberos. Si, por ejemplo, el equipo utiliza Kerberos para la autenticación durante el inicio de sesión del usuario, este no será correcto. Si se utiliza la autenticación Kerberos, no es recomendable habilitar el bloqueo de paquetes que contengan fragmentos IP.SharePoint Portal Server 2003 deshabilita Kerberos de forma predeterminada, de modo que NTLM/Kerberos (Negotiate) y la delegación limitada de Kerberos no funcionan en la publicación de SharePoint. Para habilitar Kerberos, siga las instrucciones de Cómo configurar un servidor virtual de Windows SharePoint Services para utilizar autenticación Kerberos y cómo volver a la autenticación NTLM desde la autenticación Kerberos (http://go.microsoft.com/fwlink/?LinkId=160327).En Microsoft Exchange Server 2003, IIS se ejecuta en la cuenta de servicio de red. Forefront TMG utiliza el comodín SPN HTTP\* y reemplaza el asterisco por el nombre de host del sitio publicado.
Combinaciones válidas de credenciales de cliente y métodos de delegaciónNo todos los métodos de delegación son válidos para un tipo determinado de credencial de cliente. En la tabla siguiente se resumen las combinaciones válidas
Recepción de credenciales de cliente Proveedor de autenticación Delegación
Autenticación basada en formularios (sólo con contraseña)Básica
AD DS (Windows)AD DSLDAPRADIUS
Sin delegación, pero el cliente se puede autenticar directamente.Sin delegación y el cliente no se puede autenticar directamente.BásicaNTLMNegotiateDelegación limitada de Kerberos
ImplícitaIntegrado
AD DS (Windows) Sin delegación, pero el cliente se puede autenticar directamente.Sin delegación y el cliente no se puede autenticar directamente.Delegación limitada de Kerberos
Autenticación basada en formularios con código de acceso SecurIDContraseña de un solo uso RADIUS
Sin delegación, pero el cliente se puede autenticar directamente.Sin delegación y el cliente no se puede autenticar directamente.SecurIDDelegación limitada de Kerberos
Autenticación basada en formularios (con código de acceso y contraseña)
SecurIDContraseña de un solo uso RADIUS
Sin delegación, pero el cliente se puede autenticar directamente.Sin delegación y el cliente no se puede autenticar directamente.BásicaNTLMNegotiateSecurID (no con la contraseña de un solo uso de RADIUS)
Certificado de cliente AD DS (Windows) Sin delegación, pero el cliente se puede autenticar directamente.Sin delegación y el cliente no se puede autenticar directamente.Delegación limitada de Kerberos
Acerca de la autenticación de dos factores
54
Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La autenticación de dos factores ofrece una mejor seguridad porque requiere que el usuario cumpla con dos criterios de autenticación: una combinación de nombre de usuario y contraseña, y un token o certificado, denominado algo que se tiene, algo que se conoce. Forefront TMG es compatible con la autenticación de dos factores en estos escenarios:
El usuario tiene un certificado.
El usuario tiene un símbolo SecurID que proporciona un PASSCODE.
El usuario tiene un símbolo de contraseña de un solo uso que proporciona un PASSCODE.Un ejemplo de autenticación de dos factores con un certificado es el uso de una tarjeta inteligente. La tarjeta inteligente contiene el certificado, que Forefront TMG puede validar en un servidor que contenga la información de usuario y certificado. Al comparar la información de usuario (nombre de usuario y contraseña) con el certificado proporcionado, el servidor valida las credenciales e Forefront TMG autentica al usuario.
Importante:
La autenticación de dos factores con un certificado de cliente no es posible al implementar Forefront TMG en un grupo de trabajo.
Acerca del almacenamiento de credenciales en cachéPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG puede almacenar en memoria caché las credenciales de usuario básicas y basadas en formularios, lo que mejora el rendimiento de la revalidación de las credenciales para solicitudes de cliente adicionales. Cuando se usa el almacenamiento en caché de credenciales, Forefront TMG valida las credenciales una vez por sesión TCP, es decir, para la primera solicitud HTTP de la sesión, y almacena en caché las credenciales como validadas. Para posteriores solicitudes HTTP, Forefront TMG valida las credenciales comparándolas con las credenciales validadas que se almacenaron en caché en la primera solicitud.Puede habilitar las credenciales almacenándolas en caché en las propiedades de escucha de web. Esta característica está habilitada de manera predeterminada y almacena en caché las credenciales durante 300 segundos. El almacenamiento en caché de credenciales es compatible con la autenticación de Servicios de dominio de Active Directory (AD DS), la autenticación a través de LDAP y la autenticación de RADIUS, y solo cuando el cliente proporciona las credenciales utilizando autenticación de HTTP básica o basada en formularios.
Acerca de cómo publicar servidores no webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Al publicar en servidores que no son web, Forefront TMG usa reglas de publicación de servidor para asignar solicitudes para servidores en una red Forefront TMG procedentes de clientes ubicados en otras redes. Los clientes pueden ser clientes externos ubicados en Internet o clientes internos ubicados en una red interna diferente.
Nota:
En algunas circunstancias, podría pensar en usar las reglas de publicación de servidor en lugar de las reglas de acceso para acceso web; por ejemplo, permitir a los clientes internos tener acceso a un servidor no web situado en una red perimetral.
Al planear la publicación de servidor no web, tenga en cuenta lo siguiente:
La publicación de servidor puede utilizarse para publicar la mayoría de protocolos TCP y UDP.
El servidor publicado puede configurarse como cliente SecureNAT con una puerta de enlace predeterminada que señale a Forefront TMG.
No puede autenticar las solicitudes de usuario para los servidores no web.
Puede utilizar el control de direcciones IP para especificar quién puede tener acceso a recursos publicados.
Todas las reglas de publicación de servidor publican un solo servidor y protocolo.
La publicación de servidor configura Forefront TMG para escuchar en un puerto específico y enviar las solicitudes al servidor publicado. Puede configurar las siguientes propiedades de puertos:
Publique en un puerto distinto al puerto predeterminado. Por ejemplo, publique servicios FTP a través del puerto 22 en Forefront TMG; a continuación, Forefront TMGredirige las solicitudes al puerto 21 predeterminado en el servidor publicado.
Especificar el puerto del servidor publicado al que deben enviarse las solicitudes. Puede ser el puerto predeterminado u otro diferente.
Limitar los puertos de origen desde los que se pueden recibir solicitudes de clientes.Planeación para almacenar en caché el contenido webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG implementa un mecanismo de almacenamiento en caché para mejorar el rendimiento y los tiempos de respuesta para las solicitudes web desde Internet y desde los servidores web publicados. La memoria caché incluye contenido que se solicita con frecuencia por usuarios internos o remotos. Cuando los usuarios solicitan contenido almacenado en caché, Forefront TMG sirve el contenido directamente desde la memoria caché. Entre las ventajas del almacenamiento web se incluyen:
Acceso más rápido al contenido solicitado: las solicitudes se sirven desde la memoria caché en lugar de requerir una conexión a los servidores de Internet o acceso a los servidores web publicados.
Ancho de banda reducido en la conexión a Internet y carga reducida en servidores web publicados.En las siguientes secciones se proporciona información que puede ayudarle a planear sus necesidades de almacenamiento en caché:
Tipos de almacenamiento en caché compatibles
55
Consideraciones para almacenar el contenido almacenado en caché
Almacenamiento en caché en matrices de Forefront TMG
Nota:
Para obtener información acerca de cómo habilitar y configurar el almacenamiento en caché, vea Almacenar en memoria caché el contenido del sitio web.
Tipos de almacenamiento en caché compatiblesForefront TMG admite dos tipos de almacenamiento en caché:
Almacenamiento en caché de reenvío: almacena en caché el contenido de Internet solicitado con frecuencia y lo sirve a los usuarios internos.
Almacenamiento en caché inversa: almacena en caché el contenido que se solicita con frecuencia desde los servidores web internos publicados por Forefront TMG y lo sirve a usuarios remotos externos. El almacenamiento en caché inversa se habilita de manera predeterminada al habilitar el almacenamiento en caché de reenvío.
Consideraciones para almacenar el contenido almacenado en cachéForefront TMG almacena el contenido en caché en dos ubicaciones:
En memoria (de forma predeterminada, el diez por ciento de la RAM se usa para almacenar objetos en caché).
En disco.Dado que los objetos que se almacenan en caché en memoria se pueden recuperar de manera más rápida que los objetos almacenados en caché de disco, Forefront TMG almacena el contenido más popular en disco y en memoria. Si el archivo de contenido de caché de disco está demasiado lleno para contener un nuevo objeto, Forefront TMG quita los objetos más antiguos de la memoria caché. Determina qué objetos se van a quitar del disco con una fórmula que evalúa la antigüedad del objeto y la frecuencia con la que se tiene acceso al objeto, y su tamaño.
Al planear el almacenamiento en caché, tenga en cuenta lo siguiente:
Más RAM proporciona el rendimiento más rápido para servir el contenido almacenado en memoria caché. En implementaciones grandes, se recomienda que se use un disco duro de alto rendimiento.
Para la memoria caché debe utilizar una partición con formato de sistema de archivos NTFS y la unidad de caché debe ser local. Al configurar una unidad caché, se creará un archivo de contenido caché Dir1.cdat en la ubicación: drive:\urlcache.
El tamaño máximo del archivo de caché en una sola unidad es de 64 GB.
Los archivos que ocupan más de 512 MB no permanecen en caché después del reinicio.
Se recomienda que ubique el archivo en un disco físico que no sea el de instalación del sistema operativo y Forefront TMG. De esta manera se reduce la contención en los discos de sistema e inicio.Los contadores de rendimiento de caché de Forefront TMG ofrecen información sobre el rendimiento de la memoria caché, el espacio en caché y la administración de direcciones URL. A partir de esta información, puede modificar los valores de la memoria caché según convenga. Para obtener más información, vea Cache performance counters (http://go.microsoft.com/fwlink/?LinkId=160063).
Almacenamiento en caché en matrices de Forefront TMGEn matrices, Forefront TMG usa el protocolo de enrutamiento de matriz de caché (CARP) para proporcionar una memoria caché lógica y única para todos los servidores de la matriz. CARP permite utilizar miembros de la matriz de Forefront TMG para equilibrar de manera eficaz la carga de clientes basados en web y dividir entre ellos el contenido almacenado en caché. CARP proporciona a los equipos cliente la información y los algoritmos necesarios para identificar el mejor servidor de la matriz para atender su solicitud, eliminando así la necesidad de que los miembros de la matriz se reenvíen las solicitudes. Además, CARP admite que los propios servidores y los proxies encadenados realicen la selección del servidor de matriz.Planeación para BranchCache (SP1)Publicada: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Importante:
La información de este tema solo es relevante para Forefront TMG SP1 y en equipos que están ejecutando Windows Server 2008 R2.
BranchCache es una tecnología de optimización de ancho de banda de red de área extensa (WAN) que se incluye en algunas ediciones de los sistemas operativos Windows Server 2008 R2 y Windows 7. Para optimizar la utilización del ancho de banda WAN, BranchCache copia el contenido de los servidores de contenido de oficina principal y almacena en la memoria caché el contenido en ubicaciones de sucursal, permitiendo así a los equipos cliente en sucursales el acceso al contenido localmente en lugar de a través del WAN.
Nota:
BranchCache puede funcionar en caché hospedada (basada en servidor) o en el modo de caché distribuida (basada en cliente). Sin embargo, para implementar con Forefront TMG, debe usar el modo de caché hospedada.
En las secciones siguientes se describe:
Modo de caché hospedada
Conexiones seguras de caché hospedada
BranchCache y Forefront TMG
56
Modo de caché hospedadaEl modo de caché hospedada funciona implementando un equipo que está ejecutando Windows Server 2008 R2 como un host en la sucursal. La memoria caché hospedada es un repositorio central de datos que se descarga de los servidores habilitados con BranchCache en la oficina principal a la sucursal. El cliente Windows 7 y los equipos Windows Server 2008 R2 de la sucursal se configuran con el nombre de dominio completo (FQDN) del equipo host de manera que pueden recuperar contenido de la memoria caché hospedada, cuando está disponible. Si el contenido no está disponible en la memoria caché hospedada, se recupera del servidor de contenido usando el WAN y, a continuación, se ofrece a la memoria caché hospedada de manera que se pueden beneficiar equipos cliente posteriores. En el modo de caché hospedada, todos los clientes de una sucursal pueden obtener acceso a un memoria caché, incluso si se encuentran en diferentes subredes.Para implementar BranchCache en el modo de caché hospedada, debe instalar y configurar servidores de contenido en su oficina principal, e instalar y configurar un servidor de caché hospedada y clientes equipo en la sucursal. Además, los equipos en sucursales deben poder tener acceso a los servidores principales de contenido de oficina a través de un vínculo WAN, como una conexión dedicada o red principal virtual (VPN) a petición entre las oficinas; de lo contrario, los clientes deben usar otro método para conectarse a los servidores de contenido, como mediante DirectAccess.
Conexiones seguras de caché hospedadaLa memoria caché hospedada es de confianza para equipos cliente para almacenar en caché y distribuir datos que pueden estar bajo control de acceso. Por este motivo, los equipos cliente usan la seguridad de la capa de transporte (TLS) al comunicarse con el servidor de caché hospedada. Para admitir una conexión TLS, el servidor de caché hospedada debe estar provisto con un certificado que sea de confianza por clientes y sea adecuado para la autenticación del servidor. Para obtener más información acerca de la implementación de certificados de servidor para BranchCache, vea Deploy a hosted cache mode design (http://go.microsoft.com/fwlink/?LinkId=191128).
BranchCache y Forefront TMGDebido a que el modo de caché hospedada no requiere un servidor dedicado, puede colocar BranchCache e Forefront TMG en un equipo que ejecuta Windows Server 2008 R2.
Nota:
BranchCache también se puede configurar como una carga de trabajo virtual y ejecutarse en un servidor con otras cargas, posiblemente incluso en Forefront TMG.
Entre las ventajas de la colocación de BranchCache e Forefront TMG se incluyen:
Una reducción en el costo total de la propiedad, que es un problema común para implementaciones de sucursal.
Implementación simplificada. Al habilitar BranchCache mediante la consola de administración de Forefront TMG se instala y habilita la característica de Windows en pocos pasos, y se habilitan las reglas de directiva de sistema que permiten el tráfico de BranchCache que pasa por el firewall.Para obtener información acerca de la configuración de BranchCache en Forefront TMG, vea Configurar BranchCache en Forefront TMG (SP1).
Planeación para las redes privadas virtualesSe aplica a: Forefront Threat Management Gateway (TMG)La tecnología de la red privada virtual (VPN) habilita el acceso remoto seguro y rentable a redes privadas. Con una red privada virtual, puede extender su red privada en una red pública o privada, como Internet, de forma que emule un vínculo privado punto a punto. Mediante el uso del equipo Forefront TMG como servidor VPN, se beneficia de la protección de la red corporativa contra conexiones VPN malintencionadas. Puesto que el servidor VPN está integrado en la funcionalidad del firewall, sus usuarios están sujetos a la directiva de firewall de Forefront TMG.En las secciones siguientes se proporciona información que puede ayudarle a planear su implementación VPN de Forefront TMG:
Acerca de las VPN de Forefront TMG
Protocolos VPN
Acerca de la VPN de acceso remoto
Asignación de usuarios
Acerca de las VPN de Forefront TMGForefront TMG admite dos tipos de VPN:
VPN de acceso remoto: proporciona a los usuarios móviles acceso remoto seguro a la red interna.
VPN de sitio a sitio: habilita la conectividad rápida entre sitios, por ejemplo, entre una oficina central y sus sucursales.
Para obtener una descripción detallada acerca de cómo implementar una configuración VPN de interconexión radial o malla, vea el artículo acerca de los escenarios de implementación de red privada virtual en ISA Server Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=160842).
Nota:
Todas las conexiones VPN a Forefront TMG se incluyen en el registro de firewall, con el fin de que pueda supervisarlas.
Forefront TMG implementa tecnología VPN de Windows Server. Para obtener una descripción, vea el artículo sobre la descripción de la VPN (http://go.microsoft.com/fwlink/?LinkId=160092). Cuando lea este contenido, tenga en cuenta las diferencias funcionales entre Windows Server 2003 y las versiones más recientes de Windows como se documenta en el artículo sobre las novedades de enrutamiento y acceso remoto en Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=160094).
Protocolos VPNForefront TMG admite los siguientes protocolos VPN:
57
Protocolo de túnel punto a punto (PPTP): usado para acceso remoto y VPN de sitio a sitio, para servidores remotos que ejecutan sistemas operativos Windows Server con Enrutamiento y acceso remoto. No obstante, las conexiones VPN usan un mecanismo de cifrado que no proporciona integridad de datos (prueba de que los datos no se modificaron en tránsito) ni autenticación de origen de datos (prueba de que los datos se enviaron por el usuario autorizado).
Seguridad de protocolo de túnel de capa dos/protocolo Internet (L2TP/IPSec): usada para acceso remoto y VPN de sitio a sitio, para servidores remotos que ejecutan sistemas operativos de Windows Server con Enrutamiento y acceso remoto. Para usar el protocolo L2TP/IPSec, se debe instalar un certificado de IPsec en los servidores VPN. IPsec proporciona confidencialidad de datos, integridad de datos y autenticación del origen de datos.
Modo de túnel IPsec: usado para VPN de sitio a sitio y para la compatibilidad con dispositivos de terceros, como enrutadores y puertas de enlace, que no admiten PPTP o L2TP/IPSec. Para usar el modo de túnel L2TP, se debe instalar un certificado de IPsec en los servidores VPN. IPsec proporciona confidencialidad de datos, integridad de datos y autenticación del origen de datos.
Para obtener información acerca del modo de túnel de IPsec, vea Referencia técnica de IPSec (http://go.microsoft.com/fwlink/?linkid=69735).
Para obtener información de interoperabilidad, vea el artículo sobre pruebas VPNC para interoperabilidad (http://go.microsoft.com/fwlink/?LinkId=160129).
Protocolo de túnel punto a punto seguro (SSTP): usado para VPN de acceso seguro. SSTP es un formulario de túnel de VPN que permite el tráfico del transporte del protocolo de punto a punto (PPP) a través de un canal de capa de sockets seguros (SSL). Con SSTP, mejora la capacidad de las conexiones VPN de atravesar los firewalls y servidores proxy.
Acerca de la VPN de acceso remotoLa siguiente información es aplicable al acceso remoto de VPN de Forefront TMG:
Control de cuarentena
Credenciales de clientes de VPN
Clientes de VPN infectados por virus
Control de cuarentenaEl control de cuarentena se usa para retrasar el acceso de los equipos remotos a una red privada hasta que se examine y se valide la configuración del equipo. Forefront TMG puede poner en cuarentena a los clientes de VPN, gracias a la red de clientes de VPN en cuarentena, hasta que se compruebe que cumplen los requisitos de seguridad corporativos y puedan moverse a la red de clientes de VPN. Las dos redes de clientes de VPN están sujetas a la directiva de acceso del firewall de Forefront TMG, con el fin de que pueda controlar el acceso de los clientes de VPN a los recursos de la red. Por ejemplo, puede permitir el acceso a clientes en cuarentena solo a los recursos necesarios para restaurar su cumplimiento de los requisitos de seguridad, como el acceso a actualizaciones de antivirus o al servidor Windows Update.Puede aplicar la cuarentena mediante una de las siguientes opciones:
Protección de acceso a redes (NAP): le permite definir niveles de acceso a la red, en función de la identidad de un cliente, los grupos a los que pertenece el cliente y el grado en el que el cliente cumple la directiva de gobierno corporativo. Si un cliente no es compatible, NAP ofrece un mecanismo para que el cliente sea compatible automáticamente (un proceso conocido como correcciónn) y se aumente así de manera dinámica su nivel de acceso a la red.
El servicio de cuarentena de acceso remoto (Rqs.exe) y el cliente de cuarentena de acceso remoto (RQC): RQC determina el estado de mantenimiento del equipo cliente y, según sea necesario, informa a RQS de si el equipo cliente está sujeto a cuarentena.
Credenciales de clientes de VPNLas credenciales que recibe Forefront TMG cuando un usuario se conecta a través de una conexión de VPN de acceso remoto pueden variar según el escenario de conexión.
Cuando un usuario remoto establece una conexión VPN, Forefront TMG asocia sus credenciales a la conexión. Si otros usuarios usan la misma conexión, Forefront TMG no recibe sus credenciales, pero continua asociando tráfico a las credenciales usadas para establecer la conexión, lo que podría ser un problema de seguridad. Por ejemplo, si los usuarios usan Terminal Services para conectarse al equipo cliente y, a continuación, realizan solicitudes a través de la conexión VPN, o si el equipo cliente se configura para actuar como un dispositivo de traducción de direcciones de red (NAT), permitiendo el uso compartido de la conexión VPN entre muchos usuarios de equipos diferentes.
Cuando el equipo que hospeda una conexión de cliente de VPN, o los equipos de detrás, disponen de un cliente Forefront TMG o cliente firewall bien instalado y configurado, estos equipos se unirán a la red de clientes de VPN, pero Forefront TMG recibirá las credenciales de cada usuario en lugar de recibir las credenciales del equipo host.
Clientes de VPN infectados por virusLos equipos clientes de VPN infectados por virus no se bloquean automáticamente de manera que no puedan desbordar el equipo Forefront TMG (o la red que lo protege) con solicitudes. Para impedir que esto ocurra, implemente prácticas de supervisión que detecten anomalías como alertas o picos inusuales en las cargas de tráfico, y configure la notificación de las alertas por correo electrónico. Si detecta un equipo cliente de VPN infectado, realice una de las siguientes acciones:
Restringir el acceso a la VPN por nombre de usuario: use la directiva de acceso remoto para excluir a los usuarios de los clientes de VPN que pueden conectarse.
Restringir el acceso a la VPN por dirección IP: cree una red nueva que contenga las direcciones IP externas que están bloqueadas y mueva la dirección IP del cliente desde la red externa a esta nueva red. Sólo funciona cuando un usuario siempre se conecta desde la misma dirección IP. Si al equipo cliente se le asigna una dirección diferente cada vez que se conecta a la red pública, se recomienda que restrinja el acceso en función del nombre de usuario.
Asignación de usuariosAl crear una directiva del firewall basada en grupos, la asignación de usuarios se usa para asignar clientes de VPN que se conectan a Forefront TMG. Como resultado, las reglas de acceso a las directivas de firewall, que especifican conjuntos de usuarios para los usuarios y grupos de Windows, también se aplican a los usuarios autenticados que no utilizan Windows. Si no se define ninguna asignación de usuarios para los usuarios de espacios de nombres que no se basan en Windows, no se les aplicará las reglas de acceso a las directivas de firewall.Al definir la asignación de usuarios, tenga en cuenta lo siguiente:
58
Si el servidor del Servicio de usuario de marcado con autenticación remota (RADIUS) y el equipo Forefront TMG están en distintos dominios (o si uno de ellos está en un grupo de trabajo), la asignación de usuarios solo es compatible para los métodos de autenticación del protocolo de autenticación de contraseña (PAP) y del protocolo de autenticación de contraseña de Shiva (SPAP). No utilice la asignación de usuarios si está configurado cualquier otro método de autenticación.
Si no habilita la asignación de usuarios para los usuarios que no usan Windows, debe crear para ellos un conjunto de usuarios, con el fin de que se les puedan aplicar las reglas de directivas de firewall. Independientemente del método de autenticación (RADIUS o EAP), debe definirse el conjunto de usuarios para el espacio de nombres RADIUS.
La asignación de usuarios a cuentas de dominio no es compatible cuando Forefront TMG está instalado en un grupo de trabajo. En este escenario, la característica de asignación de usuarios solo se puede usar con los métodos de autenticación PAP y SPAP.
Importante:
Para crear una directiva de firewall basada en usuarios, puede definir conjuntos de usuarios con espacios de nombres RADIUS.
Preparación para habilitar VoIP mediante Forefront TMG
Se aplica a: Forefront Threat Management Gateway (TMG)Voz sobre IP (VoIP) se usa en telefonía por Internet para transmitir comunicaciones de voz y vídeo a través de intranets, extranets e Internet.Este tema está diseñado para ayudarle a planear cómo habilitar el tráfico de VoIP a través de Forefront TMG, en función de la implementación de VoIP en su organización, y las relaciones entre la IP PBX (central de conmutación de protocolo de Internet) y la red telefónica pública conmutada (PSTN) o el proveedor de servicios de telefonía de Internet (ITSP). Forefront TMG admite las siguientes implementaciones de VoIP:
PBX externa (hospedada)
PBX interna conectada a PSTN
PBX interna conectada a PSTN mediante un tronco SIP
PBX interna conectada a PBX externa (hospedada)
Nota:
Forefront TMG emplea la mitigación de ataques "flood" para protegerse a sí mismo y a la PBX de los mensajes REGISTER e INVITE masivos. Sin embargo, no protege la PBX de otros tipos de ataques de VoIP; por ejemplo, la sobrecarga de llamadas establecidas con otros mensajes de SIP, o el establecimiento y la desconexión de llamadas a teléfonos concretos.Para habilitar la compatibilidad con VoIP, debe existir una relación de enrutamiento entre varias redes internas. No se admiten las relaciones de NAT entre las redes internas.
PBX externa (hospedada)En un sistema de PBX hospedada (a menudo denominada Centrex), la funcionalidad de PBX se proporciona como servicio por un ITSP. En esta implementación:
Los usuarios internos y los usuarios móviles se deben registrar con el ITSP para poder iniciar y recibir llamadas.
Existen relaciones de Traducción de direcciones de red (NAT) entre la red donde se encuentran los teléfonos internos y las redes externas.
La PBX hospedada se encuentra en la red externa.
PBX interna conectada a PSTNEn esta implementación, VoIP se usa en la red interna y PSTN se usa para llamadas externas. Esta implementación requiere:
Un dispositivo de puerta de enlace del protocolo de inicio de sesión (SIP), para convertir las llamadas entre la red IP interna y el PSTN. El dispositivo puede formar parte de la PBX interna.
Una ruta o la misma relación de red entre las redes que contienen los componentes VoIP: teléfonos, PBX y puerta de enlace de SIP.
Para permitir a los usuarios móviles que usen VoIP mientras están conectados a la red interna mediante la red privada virtual (VPN) de acceso remoto de Forefront TMG, se debe instalar un controlador de borde de sesión en la red externa a la que se conectan los usuarios móviles.
PBX interna conectada a PSTN mediante un tronco SIPEn esta implementación, los servicios PSTN se proporcionan como un servicio por un ITSP. Un tronco SIP es un servicio que el ITSP proporciona para habilitar comunicaciones entre la PBX y el ITSP sobre SIP. En esta implementación:
El ITSP y la PBX usan el puerto 5060 para la comunicación de SIP.
El tronco se encuentra en la red externa.
Para habilitar a los usuarios móviles para que usen VoIP mientras están conectados a la red interna detrás de la NAT, se debe instalar un controlador de borde de sesión en la red externa a la que se conectan los usuarios móviles.
PBX interna conectada a PBX externa (hospedada)En esta implementación, PBX se usa en ambas redes internas y externas; la funcionalidad de PBX externa se proporciona como un servicio por un ITSP. Entre los motivos para elegir este modelo a través de una conexión a una PSTN se incluyen las capacidades de ITSP, el modelo de precios de ITSP o el uso de diferentes ITSP en distintas regiones para reducir el costo de las comunicaciones.Guía de diseño de protección para Forefront TMGPublicada: noviembre de 2009
59
Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La guía de diseño de protección para Forefront TMG está pensada para ayudarle a planear la protección de los equipos y servidores de su red extendida, con los mecanismos de protección de Forefront TMG. Le guía a través del proceso de diseño y proporciona información que le ayudará a tomar las decisiones de diseño de protección adecuadas para sus objetivos de negocio y para su entorno.
Acerca esta guíaEsta guía está dirigida al administrador del sistema o al encargado de la seguridad responsable de proteger los recursos corporativos contra amenazas, como amenazas basadas en web y correo electrónico, o de los ataques de red. Se supone que el lector de esta guía está familiarizado con los conceptos de red y amenazas y ataques web, prevención de ataques y protección frente amenazas.
Identificar y asignar los objetivos de diseño de protecciónLa siguiente tabla está diseñada para ayudarle a identificar los objetivos de diseño de protección de Forefront TMG. Después de identificar los objetivos que son adecuados para su organización, puede asignarlos a los diseños pertinentes de Forefront TMG.
Objetivo de diseño Diseños de Forefront TMG
Proteger la red contra las vulnerabilidades del sistema operativo y las aplicaciones. Sistema de inspección de red (NIS). Para obtener más información, vea Planeación de la protección frente a vulnerabilidades conocidas.
Proteger la red contra los ataques que usan características de detección de ataques sofisticadas, como la detección de intrusiones, la mitigación de ataques "flood" y la detección de réplicas.
Detección de intrusiones basada en el comportamiento. Para obtener más información, vea Planeación para proteger frente a los ataques de red.
Proteger la organización del malware y otras amenazas de la Web. Inspección de malwareFiltrado de URLFiltrado HTTPInspección de HTTPSPara obtener más información, vea Planeación para proteger frente a las amenazas a través de Internet.
Proteger la red del correo no deseado y de los virus. Protección de correo electrónico. Para obtener más información, vea Planeación de la protección frente a amenazas de correo electrónico.
Mantener las definiciones de protección actualizadas constantemente. Protección de correo electrónicoInspección de malwareNISPara obtener más información, vea Planeación de las actualizaciones de definiciones de protección.
Planeación de la protección frente a vulnerabilidades conocidas
Se aplica a: Forefront Threat Management Gateway (TMG)Este tema está diseñado para ayudarle a planear cómo usar Forefront TMG para proteger la red de las vulnerabilidades de la aplicación y del sistema operativo.Forefront TMG protege la red contra las vulnerabilidades de seguridad conocidas en sistemas operativos y aplicaciones con el Sistema de inspección de red (NIS), la parte basada en firmas del Sistema de prevención de intrusiones de Forefront TMG. El NIS es un sistema de inspección de tráfico basado en la descodificación de protocolo que usa firmas de vulnerabilidades conocidas para detectar y bloquear potencialmente ataques en los recursos de la red proporcionando:
Protección completa para las vulnerabilidades de red de Microsoft; el Centro de protección contra malware de Microsoft (MMPC) proporciona capacidades de investigación y respuesta. Para obtener información sobre MMPC, vea el Centro de protección contra malware (http://go.microsoft.com/fwlink/?LinkId=160624).
Un canal de distribución de firmas operativas que habilita la distribución de instantáneas de firmas dinámicas a través de Microsoft Update. Para obtener más información, vea Planeación de las actualizaciones de definiciones de protección.El NIS inspecciona el tráfico de web de los usuarios internos y, en función del análisis de protocolo por parte del analizador de protocolos de nivel de aplicación genérico de Microsoft (GAPA), detecta y bloquea el tráfico malintencionado. El NIS puede actualizarse con firmas MMPC en cuanto se crean, para protegerse frente a las nuevas clases de ataques y vulnerabilidades, incluyendo ataques del día cero, para minimizar la ventana de vulnerabilidad entre las divulgaciones de vulnerabilidades e implementación de revisiones, desde semanas a unas horas. Para obtener información acerca de GAPA, vea Generic Application-Level Protocol Analyzer and its Language (http://go.microsoft.com/fwlink/?LinkId=160623).Cuando planee implementar el NIS en su organización, tenga en cuenta lo siguiente:
El NIS protege contra las vulnerabilidades de la red; no protege contra las vulnerabilidades de archivo, como transporte de virus o spyware. La característica de inspección de malware administra la protección contra las vulnerabilidades de archivo. Para obtener más información, vea Planeación para proteger frente a contenido web malintencionado.
El NIS solo admite firmas certificadas y creadas por MMPC.
Para mantener sus sistemas protegidos de las amenazas más recientes, compruebe que Forefront TMG tiene conectividad con el origen de actualización seleccionado, Microsoft Update o Windows Server Update Services (WSUS), y que se ha habilitado la instalación automática del conjunto de firmas más reciente. Para obtener más información, vea Planeación de las actualizaciones de definiciones de protección.
Cuando descargue nuevos conjuntos de firmas de MMPC, solo se aplicarán a conexiones nuevas. Al crear su directiva de seguridad, tenga en cuenta la comodidad de los usuarios de conexiones duraderas (como conexiones de red privada virtual), frente a la seguridad de aplicar la protección más actualizada a todas las conexiones.
En el host local (el equipo con Forefront TMG), NIS inspecciona sólo los protocolos HTTP, HTTPS y de correo electrónico.
60
NIS inspecciona RPC sobre TCP; no inspecciona RPC sobre UDP. Se recomienda que utilice una regla de firewall para bloquear el tráfico RPC sobre UDP. Para obtener más información, vea Configuración de la directiva de firewall.
Planeación para proteger frente a los ataques de red
Se aplica a: Forefront Threat Management Gateway (TMG)Con las técnicas de detección de intrusiones basadas en comportamientos, Forefront TMG puede proteger su red contra los ataques que usan características de detección de ataques sofisticadas, como la detección de intrusiones, la mitigación de ataques "flood" y la detección de réplicas. Para obtener más información, vea:
Planeación de la protección frente a ataques comunes y ataques DNS
Planeación para protegerse contra los ataques de tipo “flood” de denegación de servicio
Planeación de la protección frente a ataques comunes y ataques DNSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Este tema está diseñado para ayudarle a planear la protección de la red de Forefront TMG frente a ataques comunes y a los ataques del Sistema de nombres de dominio (DNS). Describe lo siguiente:
Detección de ataques comunes
Detección de ataques DNS
Detección de ataques comunesLos ataques comunes incluyen los siguientes:
Ataque de tipo windows out-of-band (WinNuke): el atacante lanza un ataque de denegación de servicio fuera de banda (DoS) contra un host protegido mediante Forefront TMG. Si el ataque tiene éxito, se producirán errores en el equipo o se perderá la conectividad con la red en los equipos vulnerables.
Ataque de tipo “land”: el atacante envía un paquete TCP SYN con una dirección IP de origen simulada que coincide con la dirección IP del equipo de destino y que tiene un número de puerto permitido por las reglas de directiva de Forefront TMG, de modo que el equipo de destino intenta establecer una sesión TCP consigo mismo. Si el ataque tiene éxito, algunas implementaciones de TCP podrían entrar en un bucle que hace que el equipo genere un error.
Ping of death: el atacante adjunta un gran volumen de información, que supera el tamaño máximo para los paquetes IP, a la solicitud (ping) de eco del protocolo de mensajes de control de Internet (ICMP). Si el ataque tiene éxito, se produce un desbordamiento del búfer del núcleo que provoca errores en el equipo.
Ataque de tipo “IP half scan”: el atacante intenta conectarse repetidas veces a un equipo de destino, pero envía paquetes ACK en respuesta a los paquetes SYN/ACK. Durante una conexión TCP normal, el origen inicia la conexión mediante el envío de un paquete SYN a un puerto del sistema de destino. Si hay algún servicio que atiende dicho puerto, responde con un paquete SYN/ACK. A continuación, el cliente que inicia la conexión responde con un paquete ACK y se establece la conexión. Si el host de destino no está a la espera de la conexión en el puerto especificado, responde con un paquete RST. La mayoría de registros de sistema no registran las conexiones completadas hasta que se recibe el paquete ACK final desde el origen. El envío de otros tipos de paquetes, que no siguen esta secuencia, puede provocar respuestas útiles del host de destino, sin que se registre ninguna conexión.
Ataque de tipo “UDP bomb”: el atacante intenta enviar un datagrama del protocolo de datagramas de usuario (UDP) con valores no válidos en determinados campos, lo que podría causar un error en los sistemas operativos anteriores cuando se recibe el datagrama. De forma predeterminada, no hay ninguna alerta configurada para este tipo de ataque.
Ataque de tipo “Port scan”: el atacante sondea la respuesta de cada puerto para intentar contar los servicios que se ejecutan en un equipo. Se puede especificar el número de puertos que se pueden analizar antes de que se genere un evento.Cuando está habilitada la detección de intrusiones de Forefront TMG y se detectan paquetes malintencionados, estos se quitan, y se genera un evento que desencadena una alerta "Detección de intrusiones". De forma predeterminada, la alerta “Se detectó una intrusión” se restablece automáticamente después de un minuto, durante el que Forefront TMG sigue bloqueando los paquetes malintencionados pero no emite alertas. Esta alerta se puede configurar para que envíe una notificación de correo electrónico cuando se desencadena. También se puede habilitar el registro de los paquetes eliminados.El nombre de los tipos de ataque detectados se corresponde con una condición adicional de la definición del evento “Se detectó una intrusión”. Para cada condición adicional (tipo de ataque), se puede definir y habilitar una alerta que especifique las acciones que se deben emprender en respuesta al evento y que el servicio Firewall de Microsoft emitirá cuando se cumplan todas las condiciones especificadas en la alerta. Las acciones que una alerta puede desencadenar incluyen: el envío de un mensaje de correo electrónico, la invocación de un comando, la escritura en un registro y el inicio o detención de los servicios de Forefront TMG.
Detección de ataques DNSEl filtro del Sistema de nombres de dominio (DNS) de Forefront TMG intercepta y analiza todo el tráfico DNS entrante destinado a la red interna y a otras redes protegidas. Si la detección de ataques DNS está habilitada, puede especificar que el filtro DNS compruebe los siguientes tipos de actividades sospechosas:
Desbordamiento de nombres de host DNS: cuando una respuesta DNS para un nombre de host supera los 255 bytes, las aplicaciones que no comprueban la longitud del nombre de host pueden inundar los búferes internos al copiar este nombre de host, lo que permite que un atacante remoto ejecute los comandos arbitrarios en un equipo concreto.
Desbordamiento de la longitud DNS: cuando una respuesta DNS para una dirección IP supera los 4 bytes, algunas aplicaciones que ejecutan búsquedas DNS inundarán los búferes internos, lo que permite que un atacante remoto ejecute comandos arbitrarios en un equipo concreto. Forefront TMG también comprueba que el valor de RDLength no supera el tamaño del resto de la respuesta DNS.
Transferencia de zona DNS: un sistema cliente utiliza una aplicación cliente DNS para transferir zonas desde un servidor DNS interno.Si se detectan paquetes malintencionados, se eliminan y genera un evento que desencadena una alerta Intrusión DNS. Puede configurar las alertas para que se le notifique que se detectó un ataque. Cuando el evento Intrusión DNS se genera cinco veces en un segundo para una transferencia de zona DNS, se desencadena la
61
alerta Intrusión de transferencia de zona DNS. De forma predeterminada, una vez que se han desencadenado las alertas predefinidas aplicables, no se vuelven a desencadenar hasta que se restablecen manualmente.
Planeación para protegerse contra los ataques de tipo “flood” de denegación de servicioPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Nota:
En este tema se proporciona información general sobre cómo protegerse de una denegación de servicio frente a los ataques "flood" de congestión del servidor en Forefront TMG. Para obtener información detallada y la documentación más actualizada, vea la biblioteca TechNet de Forefront TMG (http://go.microsoft.com/fwlink/?LinkID=131702).
Los ataques "flood" de congestión del servidor de denegación de servicio (DOS) son los intentos por parte de un usuario malintencionado (o inconsciente), proceso o sistema para evitar que los usuarios legítimos tengan acceso a un recurso (normalmente un servicio de red), inundando las conexiones de red.En las secciones siguientes se proporciona información que puede ayudarle a planear la protección frente a los ataques "flood" de congestión del servidor DoS en una red con Forefront TMG:
Acerca de la mitigación de los ataques "flood" de congestión del servidor de Forefront TMG
Límites de conexiones
Acerca de la mitigación de los ataques "flood" de congestión del servidor de Forefront TMGEl mecanismo de mitigación de los ataques "flood" de congestión del servidor de Forefront TMG usa:
Límites de conexión que se utilizan para identificar y bloquear tráfico malintencionado.
Registro de eventos de mitigación de ataques "flood" de congestión del servidor.
Alertas que se desencadenan cuando se supera un límite de conexiones.La configuración predeterminada de la mitigación de ataques "flood" de congestión del servidor contribuye a garantizar que Forefront TMG continúe funcionando, incluso si se produce uno de estos ataques. Forefront TMG clasifica el tráfico y proporciona distintos niveles de servicio para los diferentes tipos de tráfico. El tráfico que se considera malintencionado (cuya intención es la de crear un ataque "flood" de congestión del servidor) se puede rechazar, mientras Forefront TMG sigue dando servicio al resto del tráfico.
El mecanismo de mitigación de ataques "flood" de congestión del servidor de Forefront TMG contribuye a identificar los diversos tipos de estos ataques, que se enumeran a continuación:
Propagación de gusanos: un host infectado examina una red para detectar hosts vulnerables; para ello, envía solicitudes de conexión TCP a direcciones IP aleatorias y a un puerto determinado. Los recursos se agotan a gran velocidad si existen reglas de directiva basadas en nombres del Sistema de nombres de dominio (DNS), que exigen una búsqueda DNS inversa para cada dirección IP.
Ataques de congestión TCP: el host que ataca establece numerosas conexiones TCP con un servidor de Forefront TMG o con los servidores víctimas, protegidos mediante Forefront TMG. En ciertos casos, el atacante abre y cierra inmediatamente, en secuencia, muchas conexiones TCP, en un intento de eludir los contadores. Esta acción consume gran cantidad de recursos.
Ataques SYN: un host atacante trata de congestionar el servidor Forefront TMG con conexiones TCP que sólo están medio abiertas, mediante el envío de gran número de mensajes SYN TCP a un servidor Forefront TMG y sin completar el protocolo de desafío mutuo; así, las conexiones TCP quedan a medio abrir.
Denegación HTTP de ataques de servicio: un único host atacante o un número reducido de hosts envía un gran número de solicitudes HTTP a un servidor Forefront TMG. En algunos casos, el infractor envía solicitudes HTTP a gran velocidad a través de una conexión TCP persistente. Dado que el proxy web de Forefront TMG autentica cada solicitud, esto consume una cantidad grande de recursos en Forefront TMG.
Ataques de denegación de servicio distribuidos que no son TCP: un gran número de hosts atacantes envía solicitudes a un servidor Forefront TMG. Si bien el volumen total de tráfico enviado a la víctima es enorme, la cantidad de tráfico enviado desde cada host infractor puede ser pequeña.
Ataques de congestión UDP: un host atacante abre numerosas sesiones UDP simultáneas con un servidor Forefront TMG.
Límites de conexionesForefront TMG proporciona un mecanismo de cuotas que impone límites de conexiones para el tráfico TCP y no TCP controlado por el servicio Firewall de Microsoft. Los límites de conexiones se aplican a las solicitudes de los equipos cliente internos configurados como clientes SecureNAT, firewall y proxy web en escenarios de proxy hacia adelante, así como a las solicitudes de clientes externos controladas por reglas de publicación de web y de publicación de servidor en escenarios de proxy inverso. El mecanismo contribuye a prevenir ataques "flood" de congestión del servidor desde direcciones IP determinadas. También ayuda a los administradores a identificar las direcciones IP que generan un tráfico excesivo, algo que puede constituir un síntoma de la existencia de un gusano u otra infección de código malintencionado.Se puede configurar una directiva de límite de conexiones para una matriz de servidores o un servidor Forefront TMG independiente. Las directivas de límite de conexiones constan de las siguientes categorías de límites de conexiones:
Límites de conexiones, que establecen el número de solicitudes de conexión TCP y solicitudes HTTP que se admiten en un minuto desde una única dirección IP no incluida en la lista de excepciones de direcciones IP.
Límites de conexiones, que establecen el número de conexiones simultáneas del protocolo del nivel de transporte que se admiten desde una única dirección IP no incluida en la lista de excepciones de direcciones IP. Se incluyen los límites de conexiones de conexiones TCP, sesiones UDP y de conexiones ICMP y otras conexiones Raw IP.
Límites de conexiones personalizados, que establecen el número de solicitudes de conexión y el número de conexiones simultáneas del protocolo del nivel de transporte que se admiten desde una única dirección IP no incluida en la lista de excepciones de direcciones IP. Las excepciones de direcciones IP pueden ser los servidores publicados, los servidores proxy en cadena y los dispositivos de traducción de direcciones de red (NAT) (enrutadores), que exigirían muchas más conexiones que la mayor parte de las demás direcciones IP. Los límites de conexiones personalizados se aplican a las conexiones TCP, las sesiones UDP y a las conexiones ICMP y otras conexiones Raw IP.
62
Importante:
Un infractor puede generar un ataque "flood" de congestión del servidor suplantando direcciones IP incluidas en la lista de excepciones. Para mitigar esta amenaza, se recomienda implementar una directiva del protocolo de seguridad de Internet (IPsec) entre Forefront TMG y las direcciones IP de confianza incluidas en la lista de excepciones. Una directiva IPsec exige la autenticación del tráfico procedente de estas direcciones IP, lo que contribuye a bloquear el tráfico suplantado.
Un límite de conexiones que restrinja el número total de conexiones UDP, ICMP y otras conexiones Raw IP que se pueden crear en un segundo para una única regla de publicación o de acceso de servidor. Al configurar una directiva de límite de conexiones, considere lo siguiente:
Al llegar al límite de conexiones TCP de una dirección IP, en ella no se admiten más conexiones TCP.
El límite de conexiones UDP se aplica a las sesiones en lugar de a las conexiones. Si se alcanza el límite de conexiones UDP para una dirección IP y se intenta crear una sesión UDP adicional desde dicha dirección, se cierra la primera sesión UDP que se creó desde ella y se establece una nueva sesión.
Al llegar al límite que restringe el número de conexiones creadas para una única regla durante el segundo actual, no se crearán más conexiones para el tráfico que no tenga una conexión asociada, se perderán los paquetes e Forefront TMG generará un evento que puede desencadenar una alerta de "Límite de conexiones excedido para una regla". Cuando termina el segundo actual, se vuelve a configurar el contador y se pueden crear nuevas sesiones durante el siguiente segundo hasta que se vuelva a alcanzar el límite.
Solo se cuentan los intentos de conexión permitidos por la directiva de firewall para los límites de conexión descritos anteriormente. Forefront TMG mantiene un contador independiente para los intentos de conexión que son denegados por la directiva de firewall, para cada dirección IP de origen. Cuando se excede el número de paquetes TCP y no TCP denegados desde una única dirección IP en un minuto, se genera un evento que puede desencadenar una alerta de "Límite de conexiones denegadas por minuto desde una dirección IP superado". Una vez que termina el minuto actual, se vuelve a configurar el contador y el evento se vuelve a generar cuando se alcanza el límite de nuevo. Con todo, de manera predeterminada, la alerta no se vuelve a emitir hasta que se vuelve a configurar.
Se pueden configurar más límites de conexiones para el tráfico controlado por el filtro de proxy web en las propiedades de cada escucha de web y en las propiedades del proxy web de cada red desde la que se pueden enviar solicitudes web salientes.
Si se especifica un límite de conexiones en una escucha de web, se limita el número de conexiones permitidas con los sitios web publicados mediante la escucha de web determinada. Las escuchas de web se usan en las reglas de publicación de web; una escucha de web se puede usar en varias reglas.
Si se especifica un límite de conexiones en las propiedades del proxy web de una red concreta, se limite el número de conexiones web salientes simultáneas que se admiten desde la red del puerto 80 en un momento dado.
Además de la mitigación de ataques "flood" de congestión del servidor y de propagación de gusanos, también se puede limitar el número de conexiones de proxy web simultáneas que se admiten con el servidor Forefront TMG para controlar la asignación de los recursos del sistema. Esta característica es particularmente útil a la hora de publicar servidores web. Mediante los límites de conexiones, puede limitar el número de equipos que se conectan, mientras permite a clientes específicos que sigan estableciendo conexión, aunque se haya sobrepasado el límite.
Planeación para proteger frente a las amenazas a través de InternetPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los siguientes temas están diseñados para ayudarle a planear cómo usar Forefront TMG para proteger a su organización de malware y otras amenazas basadas en web:
Planeación para proteger frente a contenido web malintencionado
Planeación del filtrado de URL
Planeación para el filtrado HTTP
Planeación para la inspección de HTTPS
Planeación para proteger frente a contenido web malintencionadoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El tráfico web puede contener código malintencionado, como gusanos, virus y spyware. Forefront TMG usa las definiciones de virus conocidos, gusanos y otro código malintencionado, que descarga de Microsoft Update o Windows Server Update Services (WSUS), para la inspección de malware. El Filtro de inspección de malware de Forefront TMG examina el tráfico web saliente y limpia el contenido HTTP dañino o lo bloquea para que no entre en la red interna.
Nota:
La inspección de salida hace referencia a las solicitudes HTTP que se originan en clientes ubicados en redes protegidas por Forefront TMG.Al examinar el contenido almacenado, si el análisis determina que el archivo está dañado, el contenido evita la detección y se puede abrir mediante programas de almacenamiento como WinZip.
En las siguientes secciones se proporciona información para ayudarle a planear la inspección de malware en su organización:
Consideraciones de implementación
Nivel de amenaza
Métodos de entrega de contenido
Consideraciones de implementaciónAl planear la implementación de inspección de malware en su organización, tenga en cuenta lo siguiente:
63
La inspección de malware se basa en suscripciones y forma parte de la licencia del servicio de seguridad web de Forefront TMG. Para obtener información sobre las licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).
Para mantener sus sistemas protegidos de las amenazas más recientes, compruebe que Forefront TMG tiene conectividad con el origen de actualización seleccionado, Microsoft Update o WSUS, y que la instalación automática de las firmas más recientes está habilitada. Para obtener más información, vea Planeación de las actualizaciones de definiciones de protección.
El servidor de Forefront TMG y el equipo cliente realizan una detección de tipo. Si la identificación del servidor del tipo de contenido de un archivo difiere de la identificación del cliente del mismo archivo, el servidor no puede implementar los mecanismos de protección en ese archivo para este cliente. Para evitar este riesgo, asegúrese de que se apliquen todas las revisiones en el servidor y los equipos cliente de Forefront TMG de modo que la detección de tipo coincida entre ellos.
De forma predeterminada, Forefront TMG acumula y almacena temporalmente los archivos para la inspección de malware en la carpeta %SystemRoot%\Temp. Tenga en cuenta que al descargar un gran número de archivos mayores de 64 KB, el rendimiento puede verse afectado. Si anticipa un gran número de grandes descargas en su organización, se recomienda que coloque la carpeta ScanStorage en un disco físico independiente. Para obtener más información, vea Configurar la ubicación de almacenamiento de la inspección de malware.
Puede que desee excluir sitios web seleccionados de la inspección de malware por razones concretas:
Excluyendo orígenes: la razón principal para excluir orígenes de la inspección de malware es evitar examinar contenido más de una vez, lo cual afecta al rendimiento y resulta problemático en algunos escenarios. Un escenario típico es cuando se examina el contenido en busca de malware por parte de un proxy que sigue en la cadena. En ese caso, debería configurar el proxy que precede en la cadena para excluir de la detección a todas las solicitudes que proceden del proxy posterior.
Excluyendo destinos: los dos motivos principales para excluir destinos de la inspección de malware son mejorar el rendimiento mediante la exclusión de sitios de confianza, archivos grandes o sitios que tardan mucho tiempo en descargarse, y resolver los problemas de compatibilidad.
Para obtener más información, vea Definir las exenciones a la inspección de malware.
La inspección de malware puede deshabilitarse de forma general, con fines de solución de problemas, o cuando el mecanismo de inspección de malware de otro desarrollador. Por ejemplo, puede deshabilitar la inspección de malware para determinar si el hecho de deshabilitar la inspección de malware mejora el rendimiento.
Nivel de amenazaEn la siguiente tabla se muestra en una lista las categorías que pueden estar asignadas a las amenazas que se detectan durante la inspección de malware y la acción llevada para cada categoría cuando la inspección de malware está habilitada. Para obtener información acerca de la configuración, vea Configurar las opciones de inspección de malware.
Categoría de amenaza Descripción Acción
Amenaza de severidad baja
El software potencialmente no deseado que podría recopilar información acerca de usted o de su equipo, o cambiar la manera en la que funciona su equipo, pero está funcionando de acuerdo con las condiciones de licencia mostradas al instalar el software.
Configurable por el administrador de Forefront TMG.Valor predeterminado: permitir
Amenaza de severidad media
Programas que podrían afectar a su privacidad o realizar cambios en su equipo que podrían afectar negativamente a su experiencia de computación, por ejemplo, recopilando datos personales o cambiando la configuración.
Configurable por el administrador de Forefront TMG.Valor predeterminado: permitir
Amenaza de alta sensibilidad
Programas que podrían recopilar sus datos personales y afectar negativamente a su privacidad o dañar su equipo, por ejemplo, recopilando información o cambiando la configuración, normalmente sin su conocimiento o consentimiento.
Configurable por el administrador de Forefront TMG.Valor predeterminado: bloquear
Archivos infectados
Tradicionalmente, los archivos infectados hacen referencia a los archivos infectados por un virus. Los virus insertan o agregan su código a un archivo para permitir que se expanda el virus. Sin embargo, los archivos infectados se pueden describir más ampliamente que cualquier archivo notificado como malware o software potencialmente no deseado.
Bloquear
Archivos sospechosos
Los archivos sospechosos pueden mostrar una o más características o comportamientos asociados a malware conocido. Los archivos notificados como sospechosos se detectan a menudo de forma proactiva y es posible que nuestros analistas no los hayan visto anteriormente. Los archivos detectados como sospechosos se ponen en cuarentena y se les puede solicitar a los usuarios que nos envíen estos archivos para un análisis más extenso, de manera que se pueda agregar una detección concreta si es necesario.
Configurable por el administrador de Forefront TMG.Valor predeterminado: bloquear
Archivos dañados
Los archivos dañados son aquellos que se han modificado de alguna manera y puede que ya no funcionen de la manera pensada.
Configurable por el administrador de Forefront TMG.Valor predeterminado: permitir
Archivos cifrados
Los archivos cifrados son aquellos que se han transformado usando el cifrado en un formato ilegible para fines de confidencialidad. Una vez cifrados, no se pueden interpretar dichos datos (por humanos o equipos) hasta que se descifren. El malware puede usar el cifrado para obstruir su código (hacer su código ilegible), esperando así obstaculizar su detección y eliminación del equipo afectado.
Configurable por el administrador de Forefront TMG.Valor predeterminado: bloquear
Métodos de entrega de contenido
64
Dado que la inspección de malware puede producir retrasos en la entrega de contenido del servidor al cliente, Forefront TMG permite dar forma a la experiencia del usuario mientras se examina el contenido web en busca de malware mediante la selección de uno de los siguientes métodos de entrega para el contenido examinado:
Generación: Forefront TMG envía partes del contenido al usuario a medida que se inspeccionan los archivos. Este proceso ayuda a evitar que la aplicación cliente alcance el límite de tiempo de espera antes de que se descargue e inspeccione todo el contenido.
Notificación de progreso: Forefront TMG envía una página HTML al equipo cliente para informar al usuario de que se está inspeccionando el contenido solicitado e indicar el progreso de descarga e inspección. Una vez que han finalizado la descarga y la inspección del contenido, se informa al usuario de que el contenido está listo y se muestra un botón para descargarlo.Para obtener más información, vea Configurar la entrega del contenido de inspección de malware.
Planeación del filtrado de URLPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El filtrado de direcciones URL de Forefront TMG permite aplicar una directiva de exploración en toda la organización bloqueando el acceso a los sitios web relacionados con la productividad, la responsabilidad y la seguridad, en función de las categorías de direcciones URL predefinidas.Este tema está diseñado para ayudarle a planear el filtrado de direcciones URL, de la siguiente manera:
Acerca del filtrado de direcciones URL
Ventajas de aplicar el filtrado de direcciones URL
Acerca de las categorías de direcciones URL
Acerca del filtrado de direcciones URLEl filtrado de direcciones URL identifica determinados tipos de sitios web, como los sitios malintencionados conocidos y los sitios que muestran material pornográfico o inadecuado, y permite o bloquea el acceso a los sitios en función de las categorías de direcciones URL predefinidas. El servicio de reputación de Microsoft (MRS) determina la categorización predeterminada de un sitio web concreto y el administrador del sistema de Forefront TMG la puede editar. Cuando se recibe una solicitud para tener acceso a un sitio web, Forefront TMG consulta MRS para determinar la categorización del sitio web. Si el sitio web se ha categorizado como una categoría o un conjunto de categorías de direcciones URL bloqueadas, Forefront TMG bloquea la solicitud.Cuando los usuarios solicitan acceso a un sitio web al que se bloquea el acceso, reciben una notificación de denegación que incluye la categoría de solicitud denegada. En algunos casos, los usuarios pueden ponerse en contacto con el administrador para cuestionar la categorización del sitio web. En ese caso, puede comprobar si la dirección URL se categorizó correctamente. Si el sitio web no se categorizó correctamente, puede crear una configuración personalizada para esta dirección URL. Para obtener información, vea Introducción a la administración del filtrado de URL.El filtrado de URL está basado en la suscripción y forma parte de la licencia de Forefront TMG Web Security Service. Para obtener información sobre las licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).
Ventajas de aplicar el filtrado de direcciones URLEntre las ventajas de aplicar el filtrado de direcciones URL se incluyen:
La mejora de su seguridad al evitar el acceso a sitios malintencionados, como sitios de suplantación de identidad (phishing).
La disminución de riesgos en la seguridad al evitar el acceso a sitios que muestran materiales inadecuados, como sitios que incitan al odio, actividades penales o pornográficos.
La mejora de la productividad de su organización, al evitar el acceso a sitios improductivos, como juegos o mensajería instantánea.
El uso de entradas de registro e informes relacionados con el filtrado de direcciones URL acerca del uso de sitios web en su organización, como cuáles son las categorías de direcciones URL más examinadas.
La exclusión de la inspección de los mecanismos de inspección de malware y HTTPS, como la exclusión de los sitios financieros de la inspección de HTTPS por razones de privacidad.
Acerca de las categorías de direcciones URLForefront TMG incluye más de 70 categorías de direcciones URL. Una categoría de dirección URL es una colección de direcciones URL que coinciden con un criterio predefinido, como contenido malintencionado, servidores proxy anónimos o medicamentos ilegales. Las categorías se agrupan por conjuntos de categorías, que se pueden usar para simplificar la configuración de las directivas de Forefront TMG.Forefront TMG usa y se beneficia de MRS, un sistema de categorización de objetos basado en nube hospedado en centros de datos de Microsoft, para categorizar las direcciones URL que los usuarios solicitan. MRS está diseñado para proporcionar contenido completo de reputación para habilitar escenarios de confianza principales para las soluciones Microsoft, y mantiene una base de datos con decenas de millones de direcciones URL únicas y sus respectivas categorías.
Invalidar la categorización de direcciones URLPuede invalidar la categorización de URL predeterminada de una dirección IP o URL. Con esta finalidad se crea una invalidación de categorías de URL, que permite especificar una categoría de URL diferente para esa dirección. Las invalidaciones de categorías de URL se pueden crear para cada matriz por separado o se pueden aplicar a todas las matrices de una empresa.
Nota:
El cambio de categorización de direcciones URL en el nivel de empresa es una nueva característica de Forefront TMG 2010 SP1.
Si una dirección IP o URL se invalida para distintas categorías en los niveles de empresa y matriz, tiene prioridad la invalidación de direcciones URL en el nivel de matriz. Para obtener información, vea Invalidar la categorización de direcciones URL.Puede informar de los problemas de clasificación a Microsoft, aumentando así la probabilidad de que MRS trate las lagunas de cobertura y exactitud específicas de su organización. Para obtener información, vea Comentarios e informes de errores de Microsoft Reputation Services (http://go.microsoft.com/fwlink/?LinkId=178581).
65
Planeación para el filtrado HTTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Este tema está diseñado para ayudarle a planear el filtrado HTTP, que le permite protegerse frente a amenazas de exploración de la Web mediante la inspección del contenido que se transfiere a través de Forefront TMG.
Nota:
En este tema también se proporciona una descripción de los valores necesarios para configurar encabezados y bloqueo de URL en una directiva de HTTP para una regla. Vea Información general sobre la configuración de filtrado HTTP a continuación.
Forefront TMG proporciona un control detallado y preciso del tráfico HTTP en forma de filtro HTTP. El filtro de la capa de aplicación HTTP examina los comandos y los datos HTTP que pasan por el equipo de Forefront TMG, admitiendo solo el paso de las solicitudes que cumplan los requisitos. Al asegurarse de que los servidores solo responden a solicitudes válidas, la seguridad de sus servidores web se ve mejorada de manera significativa y puede controlar el acceso a Internet del cliente. El filtrado HTTP se puede aplicar en los siguientes entornos:
Cuando los clientes internos tienen acceso a objetos HTTP (gráficos y páginas HTML, u otros datos que se pueden transferir con el protocolo HTTP) en otra red (normalmente Internet) a través del equipo de Forefront TMG, el acceso se controla mediante las reglas de acceso de Forefront TMG. Se puede aplicar una directiva HTTP a cada regla de acceso con el filtro HTTP.
Cuando los clientes externos tienen acceso a objetos HTTP en un servidor web que se publica a través del servidor de Forefront TMG, las reglas de publicación web de Forefront TMG controlan el acceso. Una directiva HTTP puede aplicarse a cada regla de publicación de web con el filtro HTTP.El filtrado HTTP es específico de una regla, por lo que se pueden definir distintos criterios para cada regla. Por ejemplo, se puede usar el filtrado HTTP para bloquear el uso de un servicio de uso compartido de archivos de punto a punto para un conjunto de usuarios, y permitir este mismo servicio para otro conjunto. Si el contenido está bloqueado por un filtro HTTP en una regla, los usuarios reciben un error de proxy 502 con el mensaje "El cambio fue rechazado por el filtro HTTP".La configuración de una directiva de filtrado HTTP para una regla requiere:
El establecimiento de un número máximo de bytes para un encabezado, carga , dirección URL o consulta, así como el bloqueo de solicitudes con direcciones URL que contienen caracteres concretos. Vea Información general sobre la configuración de filtrado HTTP para obtener una descripción de algunos de los valores necesarios para configurar encabezados y bloqueo de direcciones URL en una directiva de HTTP.
El bloqueo de métodos HTTP concretos (verbos). Los métodos HTTP (también denominados verbos HTTP) son instrucciones enviadas en un mensaje de solicitud que notifica a un servidor HTTP la acción que debe realizar en el recurso especificado. Un ejemplo de esto sería bloquear POST, de manera que los clientes internos no puedan publicar datos en una página web externa. Este método es útil en un entorno de red segura para impedir la publicación de información confidencial en un sitio web. También puede resultar útil en la publicación web, para evitar que usuarios malintencionados publiquen material malintencionado en su sitio web.
Bloquear extensiones concretas: puede permitir todas las extensiones o solo algunas concretas. Para una configuración segura, se recomienda que solo permita extensiones seleccionadas. Por ejemplo, si va a publicar un sitio web, el diseñador web o el administrador del servidor web pueden definir una lista de extensiones necesarias para la funcionalidad del sitio. El bloqueo de archivos ejecutables (.exe) es un uso típico de este método.
El bloqueo de encabezados HTTP concretos.
El bloqueo de firmas concretas en los encabezados o cuerpo.
Información general sobre la configuración de filtrado HTTPEn la siguiente tabla se proporciona información acerca de la configuración más compleja necesaria para configurar encabezados y bloqueo de direcciones URL en una directiva HTTP para una regla.
Configuración Descripción
Longitud máxima de encabezados (bytes)
Esta configuración se aplica a todas las reglas; si la cambia en una regla, se cambiará en todas ellas. Al reducir el tamaño de encabezado permitido, se reduce el riesgo de ataques que requieren encabezados complejos y largos, como los ataques de desbordamiento del búfer y algunos ataques de denegación de servicio. Sin embargo, el establecimiento de la longitud máxima del encabezado en un valor demasiado bajo, podría afectar a determinadas aplicaciones legítimas que usan encabezados largos. Se recomienda empezar con un límite de 10.000 bytes y aumentarlo solo en caso de que se bloqueen las aplicaciones necesarias.
Permitir cualquier longitud de carga
Al limitar la carga de las solicitudes, puede restringir la cantidad de datos que puede PUBLICAR un usuario en su sitio web en un entorno de publicación de web. Para determinar el límite que debe establecer, calcule el tamaño máximo de un archivo legítimo para su sitio y utilice dicho tamaño como longitud de carga permitida. De esta forma, se asume que cualquier PUBLICACIÓN con un tamaño mayor que el límite definido es un ataque potencial.
Longitud máxima de consulta (bytes)
Una consulta es la parte de la dirección URL que sigue al signo de interrogación (?). Es aconsejable limitar la longitud de la consulta si se conoce un ataque basado en un cadena de consulta larga. De forma predeterminada, la longitud máxima de la consulta se establece en 10240. Las direcciones URL y las consultas largas constituyen un vector de ataque conocido para los gusanos de Internet. Estos gusanos envían una solicitud GET larga y utilizan la dirección URL para integrar su carga.
Comprobar normalización
Los servidores web reciben solicitudes de dirección URL codificada. Esto significa que algunos caracteres pueden ser reemplazados por un signo de porcentaje (%) seguido de un número. Por ejemplo, %20 corresponde a un espacio, de modo que una solicitud http://myserver/My%20Dir/My%20File.htm es igual que una solicitud http://myserver/My Dir/My File.htm. La normalización es el proceso de descodificación de solicitudes de dirección URL codificada. Dado que el signo % puede estar codificado, un atacante puede enviar una solicitud cuidadosamente diseñada a un servidor que, básicamente, tenga una doble codificación. Si sucede esto, es posible que el servidor web acepte una solicitud que, de otra manera, rechazaría como no válida. Al seleccionar Comprobar normalización, el filtro HTTP normaliza la dirección URL dos veces. Si, tras la segunda normalización, la dirección URL es diferente de la dirección URL de la primera normalización, el filtro rechaza la solicitud. De esta forma, se evitan ataques basados en solicitudes con doble codificación.
Bloquear caracteres ASCII de 8 bits
Normalmente, son caracteres de idiomas que requieren más de 8 bits para representar los caracteres del idioma y, por lo tanto, utilizan 16 bits. Por ejemplo, las direcciones URL que contengan un juego de caracteres de doble byte (DBCS) o caracteres Latin 1 se bloquearán. Aunque esto puede ayudar a bloquear algunos ataques, también puede bloquear solicitudes y respuestas que contengan caracteres desde uno
66
de varios idiomas que requieren caracteres ASCII de 8 bits. La función Bloquear caracteres ASCII de 8 bits puede afectar a entornos como la publicación de Outlook Web Access, la publicación de Microsoft Windows SharePoint Portal Server y cualquier entorno en que una solicitud GET transfiera un parámetro que incluya un carácter de un juego de caracteres de doble byte.
Encabezado de vía Los encabezados de vía permiten a los servidores proxy de la ruta de acceso de una solicitud asegurarse de que se incluyen también en la ruta de acceso de la respuesta. Cada servidor de la ruta de acceso de la solicitud puede agregar su propio encabezado de vía. Cada remitente de la ruta de acceso de la respuesta quita su propio encabezado de vía y envía la respuesta al servidor especificado en el próximo encabezado de vía de la pila. Por ejemplo, puede usar esta característica para evitar la revelación del nombre de servidor de Forefront TMG en una respuesta.
Planeación para la inspección de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede usar Forefront TMG para inspeccionar el tráfico HTTPS y proteger una organización de riesgos de seguridad como:
Los virus y otro contenido malintencionado que podrían usar los túneles de Capa de sockets seguros (SSL) para infiltrarse en una organización sin ser detectados.
Los usuarios que omiten la directiva de acceso de la organización con aplicaciones de túnel a través de un canal seguro (por ejemplo, aplicaciones punto a punto).
Nota:
Tráfico saliente hace referencia al tráfico que se origina de los equipos cliente en las redes protegidas por Forefront TMG.Aunque pueda habilitar el tráfico HTTPS saliente sin inspección, no se recomienda.
En las siguientes secciones se proporciona información para ayudarle a planear la inspección de HTTPS:
Cómo funciona la inspección de HTTPS
Consideraciones para habilitar la inspección de HTTPS
Acerca de la validación de certificado en la inspección de HTTPS
Problemas de privacidad
Cómo funciona la inspección de HTTPSPara proporcionar protección frente al tráfico HTTPS, Forefront TMG actúa de intermediario entre el equipo cliente que inicia la conexión HTTPS y el sitio web seguro. Cuando un equipo cliente inicia una conexión con un sitio web seguro, Forefront TMG intercepta la solicitud y hace lo siguiente:
1. Establece una conexión segura (un túnel SSL) al sitio web solicitado y valida el certificado del servidor del sitio.2. Copia los detalles del certificado del sitio web, crea un nuevo certificado SSL con esos detalles y lo firma con un certificado de entidad de certificación denominado el
certificado de inspección de HTTPS.3. Presenta el nuevo certificado al equipo cliente y establece un túnel SSL independiente con él.
Dado que el certificado de inspección de HTTPS se colocó anteriormente en el almacén de certificados de las entidades de certificación raíz de confianza del equipo cliente, el equipo confía en cualquier certificado que esté firmado por este certificado. Al cortar la conexión y crear dos túneles seguros, el servidor de Forefront TMG puede descifrar e inspeccionar toda la comunicación entre el equipo cliente y el sitio web seguro durante esta sesión.
Nota:
La fuerza del túnel entre el cliente y Forefront TMG no puede ser igual que la del túnel entre Forefront TMG y el servidor HTTPS de destino.
Consideraciones para habilitar la inspección de HTTPSAl habilitar la inspección de HTTPS, tenga en cuenta lo siguiente:
Para inspeccionar el tráfico HTTPS, debe haber un certificado de una entidad de certificación (CA) en el servidor Forefront TMG, que se debe implementar además en todos los equipos cliente. Puede obtener el certificado de una de estas dos maneras:
Generar un certificado autofirmado en el servidor de Forefront TMG.
Importar un certificado emitido por una entidad de certificación raíz de su organización o por una entidad de certificación pública de confianza, es decir, creado por una entidad externa como VeriSign. El certificado debe ser un archivo de intercambio de información personal (.pfx), y debe ser de confianza para el servidor de Forefront TMG.
En implementaciones de varias matrices, el certificado de inspección de HTTPS se genera o se importa para cada una de las matrices.
SSL de validación extendida (EV) no está admitido con la inspección de HTTPS. Cuando Forefront TMG realiza la inspección de HTTPS en un sitio que usa un certificado SSL de EV, la visibilidad de EV que se ofrece en algunos exploradores web, como Internet Explorer 7, que hace que la barra de dirección URL cambie a color verde, no se mostrará en los exploradores de los usuarios. Para mantener la visibilidad de EV de un sitio, debe excluirlo de la inspección de HTTPS.
La inspección de HTTPS es incompatible con las conexiones a los servidores SSTP externos y los servidores que requieran autenticación de certificado del cliente. Si se conoce la existencia de dicho servidor, se recomienda que lo excluya de la inspección de HTTPS.
Para implementar el certificado de la entidad de certificación raíz de confianza de la inspección de HTTPS en los equipos cliente mediante Active Directory, Forefront TMG se debe implementar en un entorno de dominio.
La inspección de HTTPS no admite certificados autofirmados. Si necesita permitir el acceso a sitios que usen certificados autofirmados, se recomienda que los excluya de la inspección de HTTPS. Para obtener más información, vea Excluir orígenes y destinos de la inspección de HTTPS.
Por ejemplo, si implementa la protección de correo electrónico con Microsoft Forefront Protection 2010 for Exchange Server, para habilitar la descarga de actualizaciones de definiciones de Cloudmark Antispam Engine, excluya el sitio de descarga de Cloudmark de la inspección de HTTPS, porque usa un certificado autofirmado.
67
Nota:
Para obtener información acerca de cómo excluir sitios de la inspección de HTTPS, vea Excluir orígenes y destinos de la inspección de HTTPS.
Acerca de la validación de certificado en la inspección de HTTPSEn la siguiente tabla se resume la validación del certificado que Forefront TMG realiza cuando la inspección de HTTPS está habilitada. Para los sitios que se excluyen de la inspección de HTTPS, puede seleccionar excluir con o sin validación al configurar excepciones de destino. Para obtener información acerca de cómo excluir sitios de la inspección de HTTPS, vea Excluir orígenes y destinos de la inspección de HTTPS.
Tipo de validaciónTráfico inspeccionado
Sitios que se excluyen de la inspección de HTTPS con validación de certificado
Sitios que se excluyen de la inspección de HTTPS sin validación de certificado
Elegible para autenticación de servidor
Sí Sí Sí
Expiración, revocación Sí No No
Los nombres no coinciden, confianza
Sí Sí No
Consideraciones sobre la revocación de certificados en la inspección de HTTPS de Forefront TMGTenga en cuenta los siguientes problemas con respecto a la revocación de certificados:
Dado que Forefront TMG almacena en caché los certificados, si un certificado necesita ser revocado, se revocará una vez que expire el tiempo de espera de almacenamiento en caché.
Si Forefront TMG no puede conectarse con el servicio de lista de revocación de certificados (CRL) y, por tanto, no puede comprobar la revocación, trata el certificado como válido.
Problemas de privacidadDado que el usuario del equipo cliente no es consciente de que Forefront TMG está interrumpiendo la conexión e inspeccionando el tráfico, por motivos legales y de privacidad, podría ser conveniente lo siguiente:
Notifique a los clientes que se está inspeccionando su tráfico de HTTPS. Estas acciones se pueden realizar para los equipos cliente que ejecutan el cliente de Forefront TMG. Para obtener más información, vea Notificar a los usuarios que se está inspeccionando el tráfico HTTPS.
Excluya de la inspección categorías de direcciones URL o direcciones URL concretas, como los sitios de mantenimiento y financieros. Para obtener más información, vea Excluir orígenes y destinos de la inspección de HTTPS.
Planeación de la protección frente a amenazas de correo electrónicoSe aplica a: Forefront Threat Management Gateway (TMG)Este tema está diseñado para ayudarle a planear el uso de Forefront TMG para proteger la red contra el correo no deseado y los virus que tienen acceso a su organización a través del correo electrónico. Forefront TMG inspecciona el tráfico del correo en ruta hacia los servidores SMTP (Protocolo simple de transferencia de correo), antes de que el correo llegue a los buzones de los usuarios. En las secciones siguientes se describe:
Usar las tecnologías de protección de correo de Microsoft
Protección superpuesta
Beneficio de crear una directiva de correo electrónico con Forefront TMG
Consideraciones de implementación
Pasos siguientes
Usar las tecnologías de protección de correo de MicrosoftForefront TMG se beneficia de las capacidades del rol de servidor de transporte perimetral de Exchange y Forefront Protection 2010 for Exchange Server (FPES) para ofrecer la retransmisión del correo y la protección contra el correo no deseado y los virus. Estas dos tecnologías incluyen una variedad de características de protección contra correo electrónico no deseado y antivirus que están diseñadas para funcionar de manera acumulativa, para reducir el correo electrónico no deseado que entra y sale de su organización. Al implementar la característica de protección de correo electrónico de Forefront TMG, se instalan Exchange Edge y FPES en el equipo de Forefront TMG. Mientras que estos productos se pueden instalar de manera independiente en equipos distintos, su instalación en Forefront TMG y la implementación de la característica de protección de correo electrónico proporcionan varias ventajas, que se describen en Beneficio de crear una directiva de correo electrónico con Forefront TMG.
Protección superpuestaDado que los spammers o remitentes malintencionados usan varias técnicas, Forefront TMG implementa un enfoque superpuesto y de varias facetas para reducir los virus y el correo no deseado. El enfoque superpuesto para reducir el correo no deseado hace referencia a la configuración de varias características antivirus y de protección contra correo electrónico no deseado que filtran mensajes de entrada en un orden concreto. Cada característica filtra una característica o un conjunto de características relacionadas en el mensaje entrante.
Beneficio de crear una directiva de correo electrónico con Forefront TMG
68
Hay varias ventajas al implementar la protección de correo electrónico con Forefront TMG:
Protección en el perímetro: la característica de protección de correo electrónico de Forefront TMG inspecciona el tráfico del correo en el perímetro (el punto de entrada en las redes básicas de una empresa), en contraposición a examinar mensajes en busca de virus y otro malware más allá a lo largo de la ruta de acceso del flujo de correo, ahorrando así recursos de procesamiento, ancho de banda y almacenamiento.
Administración integrada: al crear una directiva de correo electrónico mediante Forefront TMG, configura los valores en la consola de administración de Forefront TMG y, a continuación, Forefront TMG aplica su configuración a Exchange Edge y FPES. Al usar esta solución de administración integrada, no es necesario abrir las consolas de administración de Exchange Edge o FPES (de hecho, no debería abrirlas excepto para requisitos de solución de problemas). Por consiguiente, la implementación de protección de correo electrónico no requiere experiencia en Exchange Edge y FPES.
Administración extendida: Forefront TMG permite implementar varios servidores en una matriz y administrar dichos servidores en una interfaz única. Esto es así para la característica de protección de correo electrónico, que es una ventaja no disponible para otras implementaciones de Exchange y FPES. Al configurar una directiva de correo electrónico con Forefront TMG, los valores de configuración se almacenan para la matriz completa. La configuración de la directiva de correo electrónico se realiza solo una vez, tras la cual todos los miembros de la matriz reciben la configuración al sincronizar con el almacenamiento de la configuración.
Compatibilidad nativa para el equilibrio de carga en la red (NLB): con NLB y una dirección IP virtual, puede implementar más servidores de Forefront TMG en un punto único de entrada, procesando así más tráfico de correo. De modo similar, al implementar varios servidores de Forefront TMG, cada uno de los cuales ejecuta Exchange Edge y FPES, puede mantener con mayor facilidad un servicio de entrega de correo de alta disponibilidad y protección para su organización.
Consideraciones de implementaciónCuando planee implementar la protección de correo electrónico en su organización, tenga en cuenta lo siguiente:
Compile la siguiente información antes de implementar la protección de correo electrónico:
La dirección IP externa que su organización usa para el correo entrante.
Nota:
Se debe registrar un registro de recursos de intercambiador de correo (MX) para su dominio en servidores DNS de Internet, y el registro MX debe señalar a la dirección IP externa de Forefront TMG.
La lista de servidores SMTP internos, con sus direcciones IP.
Nota:
Si tiene una organización de correo de Microsoft Exchange, sus servidores SMTP internos son los servidores de transporte de concentradores.
Para mantener sus sistemas protegidos de las amenazas más recientes, compruebe que Forefront TMG tiene conectividad con el origen de actualización seleccionado, Microsoft Update o Windows Server Update Services (WSUS), y que se ha habilitado la instalación automática de las firmas más recientes. Para obtener más información, vea Planeación de las actualizaciones de definiciones de protección.
Una vez completada la instalación, se recomienda que realice una copia de seguridad de la configuración y almacene el archivo de copia de seguridad en una ubicación segura. Puede serle útil para solucionar problemas de protección de correo electrónico en el futuro y, si es necesario revertir a la configuración original. Debería hacerlo para cada miembro de la matriz.
Si implementa la protección de correo electrónico con Microsoft Forefront Protection 2010 for Exchange Server y se habilita la característica de inspección de HTTPS de Forefront TMG, debe habilitar la descarga de actualizaciones de las definiciones de Cloudmark Antispam Engine al servidor de Forefront TMG. Debido a que el sitio de descarga de Cloudmark utiliza un certificado autofirmado y la inspección de HTTPS de Forefront TMG no admite la inspección de certificados autofirmados, debe excluir el sitio de la inspección de HTTPS. Para obtener más información, vea Excluir orígenes y destinos de la inspección de HTTPS.
Pasos siguientesAl implementar la protección de correo electrónico se requiere la instalación del rol Transporte de Exchange Edge y FPES, así como sus requisitos previos asociados. Se recomienda la instalación de estos programas antes de instalar Forefront TMG. Lea Instalar los requisitos previos para la protección de correo electrónico para obtener instrucciones de instalación.
Planeación de las actualizaciones de definiciones de protecciónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Algunos mecanismos de protección de Forefront TMG usan actualizaciones de productos Microsoft para mantener las definiciones de protección constantemente actualizadas. Entre ellas se incluyen:
Antivirus de correo electrónico y protección contra correo no deseado. Para obtener más información, vea Planeación de la protección frente a amenazas de correo electrónico.
Inspección de código malintencionado. Para obtener más información, vea Planeación para proteger frente a contenido web malintencionado.
Sistema de inspección de red (NIS). Para obtener más información, vea Planeación de la protección frente a vulnerabilidades conocidas.Microsoft Update proporciona los archivos de definición actualizados y están sujetos a licencias. Para obtener información sobre las licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).
Puede seleccionar actualizar archivos de definición mediante cualquiera de los métodos siguientes:
Microsoft Update: las actualizaciones que se publican a través de Microsoft Update se instalan en el equipo de Forefront TMG.
Windows Server Update Services (WSUS): para las matrices de Forefront TMG, puede implementar WSUS en la red en la que se implemente Forefront TMG. Un solo servidor descarga las actualizaciones que se publican a través de Microsoft Update y distribuye las actualizaciones a todos los equipos con Forefront TMG de la
69
red. Este es el método de actualización recomendado para las matrices de Forefront TMG, ya que, además de posibilitar la administración centralizada, ahorra tiempo y ancho de banda de red. Para obtener más información, vea Introducción a Microsoft Windows Server Update Services 3.0 (http://go.microsoft.com/fwlink/?LinkId=108173).
Nota:
Puede seleccionar usar Microsoft Update si se produce un error en la actualización desde WSUS.Si va a unir un servidor de Forefront TMG de producción a una matriz, descargue las actualizaciones en el servidor antes de unirlo a la matriz.
Guía de planeación de administración para Forefront TMGPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La guía de planeación de administración de Forefront TMG está diseñada para ayudarle a administrar su implementación de Forefront TMG, una vez instalado y configurado.
Identificar y asignar sus objetivos de administraciónLa siguiente tabla está diseñada para ayudarle a identificar sus objetivos de administración de Forefront TMG y asignarlos a las tareas de Forefront TMG relevantes.
Objetivo de administración Para obtener información, vea…
Supervise las actividades y el rendimiento de Forefront TMG.Reciba las alertas de eventos en tiempo de ejecución, las alertas del sistema predefinidas y las alertas personalizadas.La información del registro del tráfico procesado por el servicio Firewall de Microsoft y el filtro proxy web.Genere informes que resuman y analicen la información del registro.
Planeación para supervisión y registro
Prepárese para desastres.Realice copias de seguridad y restaure los ajustes de configuración de Forefront TMG.Realice copias de seguridad de los certificados de capa de sockets seguros (SSL).
Planeación para copia de seguridad y restauración
Analice y resuma la información del registro. Planeación para creación de informes
Planeación para supervisión y registroPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Nota:
En este tema se proporciona información general sobre la supervisión y el registro en Forefront TMG. Para obtener información detallada y la documentación más actualizada, vea la biblioteca TechNet de Forefront TMG (http://go.microsoft.com/fwlink/?LinkID=131702).
Forefront TMG proporciona las siguientes opciones de supervisión y registro:
Supervise las actividades y el rendimiento de Forefront TMG. Para obtener más información, vea Supervisar la actividad del escritorio digital.
Reciba las alertas de eventos en tiempo de ejecución, las alertas del sistema predefinidas y las alertas personalizadas. Para obtener más información, vea Configuración de alertas.
La información del registro del tráfico procesado por el servicio Firewall de Microsoft y el filtro proxy web. Para obtener más información, vea Configurar los registros de Forefront TMG.
Genere informes que resuman y analicen la información del registro. Para obtener más información, vea Configurar los informes de Forefront TMG.
Planeación para copia de seguridad y restauraciónSe aplica a: Forefront Threat Management Gateway (TMG)El Forefront TMG incluye una característica de copia de seguridad y restauración que permite exportar su configuración a un archivo .xml y, después, volver a importarla en Forefront TMG. En Forefront TMG, a la realización de una copia de seguridad se le conoce como exportar y a restaurar como importar. Esta característica de importación/exportación es flexible, en el sentido de que permite exportar en muchos niveles de Forefront TMG. Por ejemplo, se puede exportar (y, posteriormente, importar) toda una directiva de firewall, una sola regla o un solo objeto de red. También se puede realizar una copia de seguridad de toda una configuración y restaurarla posteriormente.En este tema se proporciona información acerca de:
Preparación para desastres
Acerca de la copia de seguridad y restauración de la configuración de Forefront TMG
Acerca de cómo realizar una copia de seguridad de los certificados SSL
Preparación para desastres
70
Es importante realizar una copia de seguridad de la configuración tanto para la recuperación de desastres como para volver a una configuración anterior si es necesario. Es recomendable que realice una copia de seguridad de toda la configuración después de:
La configuración inicial del equipo Forefront TMG.
Cualquier modificación importante como, por ejemplo, el cambio del tamaño o la ubicación de la caché, la modificación de un directiva de firewall, la configuración de reglas del sistema, la creación de definiciones o reglas de red, y la delegación de derechos administrativos o la eliminación de una delegación de derechos administrativos.Si sigue estas directrices, podrá restaurar la configuración a partir de un archivo de copia de seguridad actual en caso de una pérdida catastrófica.
Acerca de la copia de seguridad y restauración de la configuración de Forefront TMGAntes de realizar una copia de seguridad de la configuración o restaurarla, tenga en cuenta lo siguiente:
Debe ser Administrador de empresa de Forefront TMG o Auditor de empresa para realizar una copia de seguridad y restaurar la configuración de nivel de empresa.
Para realizar una copia de seguridad y restaurar información confidencial de nivel de empresa, debe ser Administrador de empresa de Forefront TMG.
Debe ser administrador de matriz de Forefront TMG para exportar información confidencial de nivel de matriz.
Para mayor seguridad, se recomienda guardar los archivos de copia de seguridad en una partición de disco del sistema de archivos NTFS. Sólo los administradores del equipo Forefront TMG deben tener permisos de lectura en el directorio.
Al exportar una configuración completa, también se exporta la configuración de los certificados. La configuración del certificado en el equipo de Forefront TMG donde importa la configuración debe coincidir con la configuración del certificado en el archivo exportado. Si importa en un equipo de Forefront TMG con diferentes certificados, no se iniciará el servicio Firewall de Microsoft.
Al exportar detalles confidenciales, como contraseñas de usuario, se cifra la información segura del archivo de copia de seguridad. Se le solicitará que especifique una contraseña necesaria para abrir el archivo y descifrar la información al importar la configuración. Se recomienda que especifique una contraseña de alta seguridad para garantizar la protección adecuada de la información cifrada. Una contraseña se considera segura si proporciona una defensa efectiva contra el acceso no autorizado. Una contraseña de alta de seguridad no debería contener el nombre de la cuenta de usuario, ni parte del mismo. Debería contener al menos tres de las cuatro categorías de caracteres siguientes: caracteres en mayúsculas, caracteres en minúsculas, dígitos en base 10 y símbolos del teclado (como !, @ y #).
Lo que se presenta a continuación describe:
Realizar copias de seguridad de una configuración
Restaurar una configuración
Realizar copias de seguridad de una configuraciónForefront TMG proporciona el Asistente para exportación para guiarle en el proceso de exportación de la configuración de Forefront TMG a un archivo .xml. Al exportar una configuración, se exporta toda la información general de configuración. El archivo de copia de seguridad incluye toda la información de directivas y todos los demás datos específicos de la organización. También incluye las reglas de acceso, las reglas de publicación, los elementos de regla, la configuración de alertas, la configuración de la caché y demás propiedades de Forefront TMG como, por ejemplo, las unidades de caché y las claves de certificados SSL (capa de sockets seguros).
Nota:
El proceso de copia de seguridad y restauración realiza la copia de seguridad y restaura las claves de certificados SSL, lo que indica a Forefront TMG que certifica su uso. No es lo mismo que realizar la copia de seguridad y la restaurar los certificados ellos mismos. Se recomienda mantener una copia de seguridad de los certificados SSL, que debería realizar manualmente en una ubicación segura.
Cuando se crea el archivo de copia de seguridad, además de exportar toda la información general de configuración, se ofrece la opción de exportar la configuración de permisos de usuarios e información confidencial, como las contraseñas de usuario. La información confidencial incluida en el archivo exportado se cifra usando la contraseña especificada durante el proceso de exportación. La información confidencial incluye contraseñas de credenciales de usuario (por ejemplo, la contraseña que se usa para iniciar sesión en un equipo que ejecuta Microsoft SQL Server), secretos compartidos de RADIUS (Servicio de usuario de marcado con autenticación remota) y claves IPSec (seguridad del protocolo Internet) previamente compartidas. Cuando la información confidencial se exporta con el archivo, se solicita la contraseña especificada durante el proceso de exportación para abrir y descifrar la información segura. Tenga en cuenta que los datos generales de configuración del archivo de copia de seguridad exportado no están cifrados. Los datos de configuración exportados de Forefront TMG que se encuentran en los archivos de copia de seguridad deben tratarse como datos confidenciales que tienen el potencial de revelar información.
Restaurar una configuraciónPara restaurar la configuración, se importa el archivo de configuración de copia de seguridad en el servidor Forefront TMG. Durante el proceso de importación, la configuración guardada en el archivo .xml de copia de seguridad se copia en el servidor Forefront TMG. El proceso de restauración reconstruye la mayor parte de la información de la configuración. Cuando se importe el archivo de configuración .xml, puede seleccionar sobrescribir la configuración actual o importar los detalles de configuración en la configuración actual. Al restaurar una configuración, siempre debería seleccionar para sobrescribir la configuración existente; esta opción reemplaza la configuración existente por la configuración del archivo de importación.
Acerca de cómo realizar una copia de seguridad de los certificados SSLLos certificados SSL se almacenan en el almacenamiento del certificado local del equipo. Puede usar Certutil.exe, un programa de línea de comandos que se instala como parte de Servicios de servidor de certificados, para realizar copias de seguridad y restaurar componentes de la entidad de certificación, como el certificado SSL. Para obtener información acerca de Certutil.exe, vea el artículo acerca de las herramientas para crear, ver y administrar certificados (http://go.microsoft.com/fwlink/?LinkId=152904) and Certutil (http://go.microsoft.com/fwlink/?LinkId=152902).También puede realizar una copia de seguridad de los certificados SSL con un complemento de la consola de administración de Microsoft (MMC) para administrar certificados. Para obtener información, vea el artículo acerca de cómo realizar una copia de seguridad de un certificado de servidor (http://go.microsoft.com/fwlink/?LinkId=152903).Planeación para creación de informesPublicada: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG ofrece informes flexibles y personalizables que pueden ayudarle a analizar y resumir la información del registro, así como a crear un registro permanente de los patrones de uso habituales.
71
Hay tres tipos de informes disponibles:
Informe de una sola ejecución: proporciona una imagen inmediata de la actividad registrada por Forefront TMG en cualquier período especificado.
Trabajo de informe periódico: ofrece una manera de generar informes automáticamente diaria, semanal o mensualmente. Los períodos de tiempo disponibles para estos informes están más estructurados que los de los informes de una sola ejecución o actividad de usuario; un informe que se genera cada día mostrará la actividad durante un día y un informe que se genera una vez al mes mostrará exactamente la actividad durante un mes.
Informe de actividad de usuario: muestra los sitios web (incluyendo las categorías de direcciones URL) que se solicitan por parte de usuarios específicos para cualquier período especificado.
Importante:
El informe de la actividad del usuario es una nueva característica de Forefront TMG SP1.
Al planear la creación de informes en Forefront TMG, tenga en cuenta lo siguiente:
Report categories
Custom reporting
The reporting mechanism
Publishing reports to a file share
Categorías de informesDe manera predeterminada, los informes de una sola ejecución y los trabajos de informes periódicos muestran el intervalo completo de actividad disponible para la creación de informes en Forefront TMG. La actividad registrada se divide en las siguientes categorías de informes:
Resumen: ofrece información sobre el uso del tráfico de red, ordenado por aplicación. Esta categoría es muy importante para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa.
Uso de web: muestra información sobre usuarios frecuentes de web, respuestas comunes y exploradores. Esta categoría muestra cómo se utiliza la web en una empresa. Es muy importante para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa.
Uso de aplicaciones: muestra información del uso de las aplicaciones de Internet sobre los usuarios más importantes, las aplicaciones cliente y los destinos.
Tráfico y uso: muestra el uso total de Internet por aplicación, protocolo y dirección. Esta categoría también muestra el promedio del tráfico y el número máximo de conexiones simultáneas, la frecuencia de aciertos de la memoria caché, los errores y otras estadísticas.
Seguridad: muestra los intentos de quebrantar la seguridad de la red.
Protección contra malware: muestra los nombres de las amenazas actuales, los usuarios y los sitios web que generan el mayor número de incidentes de malware, estadísticas sobre el filtro de malware, así cómo un resumen diario de la actividad del malware.
Filtrado de URL: muestra la actividad del filtrado de URL de Forefront TMG.
Sistema de inspección de red: muestra información acerca de los ataques a la red detectados por el Sistema de inspección de red (NIS). El NIS es un sistema de inspección de tráfico, basado en la descodificación de protocolo, que usa firmas de vulnerabilidades conocidas para detectar y bloquear potencialmente ataques en los recursos de la red.
Nota:
El informe de actividad de usuario produce un informe breve que muestra los sitios, con sus categorías de direcciones URL asociadas, que los usuarios específicos han solicitado para obtener acceso durante un período de tiempo especificado. A diferencia del trabajo de informes periódicos y de una sola ejecución, el informe de actividad de usuario no tiene categorías pero no puede modificar el número de sitios web que mostrará. Al crear un informe de actividad de usuario, se especifican los nombres de usuario o los alias que desea que aparezcan en el informe. Para obtener más información acerca de la creación de un informe de actividad de usuario, vea Crear informes.
Creación personalizada de informesAl configurar un informe, puede elegir excluir algunas categorías de informe, así como modificar los detalles de las subcategorías para cada categoría incluida en el informe. Por ejemplo, podría editar la categoría de informe Resumen seleccionando la subcategoría Protocolos más usados y cambiando la opción Número de protocolos que se van a incluir desde el valor predeterminado 15 a 7. También podría excluir la categoría de informe Resumen del todo.Para obtener más detalles sobre cómo crear informes, vea Configurar los informes de Forefront TMG.
El mecanismo de informesLos informes de Forefront TMG se basan en resúmenes de registro que se derivan de los registros de firewall y proxy web, y que contienen así actividad del día anterior o anteriores. Mediante los servicios de generación de informes de SQL Server, Forefront TMG genera resúmenes del registro diarios y mensuales, en los que se basan todos los informes. Los resúmenes del registro se generan de noche (a la 1:00am de forma predeterminada); sin embargo, esta hora puede configurarse.
El servidor de informesEl servidor de informes es un servidor Forefront TMG que ejecuta los servicios de informes de SQL Server para agregar los resúmenes de registro. El servidor de informes predeterminado es el primer miembro de matriz de Forefront TMG creado.En el momento de la generación del registro de resumen los registros de proxy web y firewall de cada miembro matriz se consolidan como registro de resumen y se almacenan en el servidor de informes. Todos los trabajos de informes se basan en este registro de resumen consolidado.En Forefront TMG Enterprise Edition, la pestaña Servidor de informes de las propiedades de Creación de informes se puede usar para cambiar el servidor de informes designado. Para obtener instrucciones, vea Cambiar el servidor de informes.En Forefront TMG Standard Edition, el servidor de informes siempre es el servidor de Forefront TMG local.
72
Publicación de informes en un recurso compartido de archivosAl planear la publicación de informes, piense en lo siguiente:
Cuando especifique un directorio de informes publicados, éste debe existir en el sistema de archivos. El generador de informes no creará la carpeta.
Al publicar informes, debe otorgar como mínimo permisos de acceso de lectura a aquellos usuarios que deben ver el informe en esta carpeta compartida. Si no publica el informe, sólo podrá verlo en el equipo que esté ejecutando la Administración de Forefront TMG.
Al publicar un informe, el equipo Forefront TMG requiere permisos de escritura en la carpeta en la que publique el informe. De forma predeterminada se utiliza la cuenta Sistema local para publicar el informe. Sin embargo, si publica el informe en una carpeta que resida en otro equipo, las credenciales de la cuenta Sistema local se transfieren como la cuenta del equipo basado en Forefront TMG. Por esta razón, la cuenta del equipo basado en Forefront TMG deberá tener permisos suficientes para escribir en la carpeta de destino. Si especifica una cuenta de usuario para publicar el informe, deberá asegurarse de que a esta cuenta de usuario se le otorgan permisos de escritura sobre la carpeta de destino.
Si Forefront TMG está instalado en modo grupo de trabajo, Forefront TMG utiliza la cuenta No autenticado. En este caso, se recomienda que especifique las credenciales de usuario al publicar informes en otro equipo.Implementación de Forefront TMGPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La guía de implementación de Forefront TMG está diseñada para ayudarle a instalar e implementar Forefront TMG. Durante la fase de implementación, configure las opciones iniciales del sistema y de la red de Forefront TMG así como la infraestructura de soporte, como los servidores de autenticación, las redes y los clientes internos. La guía de implementación se incluyen los siguientes temas:
Lista de comprobación de implementación: proporciona un resumen de las principales tareas requeridas para implementar Forefront TMG.
Requisitos del sistema para Forefront TMG: proporciona una lista de los requisitos de sistema para ejecutar Forefront TMG y Administración de Forefront TMG.
Instalar los requisitos previos para la protección de correo electrónico: describe las tecnologías de protección del correo electrónico que debe instalar antes que Forefront TMG.
Migración y actualización a Forefront TMG: proporciona información acerca de cómo migrar a Forefront TMG.
Instalación de Forefront TMG: describe cómo instalar Forefront TMG.
Instalación de Forefront TMG SP1: describe cómo instalar Forefront TMG Service Pack 1.
Configurar los valores de implementación iniciales: describe cómo configurar o modificar la configuración de la implementación inicial usando el Asistente de introducción.
Configuración de redes y enrutamiento: proporciona información acerca de cómo crear redes y reglas de redes, y cómo enrutar las solicitudes de cliente.
Configuración de funciones y permisos: describe cómo proporciona Forefront TMG roles administrativos para los administradores de empresa y los administradores de matriz.
Configuración de funciones y permisos: describe cómo configurar servidores Forefront TMG en una matriz independiente o en una matriz administrada de manera centralizada por un servidor Enterprise Management Server (EMS).
Configuración de equipos clientes: describe cómo protege Forefront TMG a los clientes de Firewall que ejecutan software cliente de firewall, clientes proxy web y clientes SecureNAT.
Configuración de servidores de autenticación de clientes: describe cómo implementar los servidores de autenticación que utiliza Forefront TMG para autenticar a los usuarios.
Configuración de la Protección de acceso a redes: describe cómo se configuran las directivas de protección de acceso a redes (NAP) en el servidor de directivas de red (NPS) y cómo se configura el NPS para establecer comunicación con Forefront TMG.
Interoperabilidad con la guía de solución de BranchCache: describe la manera en la que se habilita la interoperabilidad deForefront TMG y BranchCache, una característica de Windows 7 y Windows Server 2008 R2, que habilita el contenido web en una red de área extendida (WAN) que se va a almacenar en memoria caché en equipos de una sucursal local, mejorando así el tiempo de respuesta de la aplicación y reduciendo el tráfico WAN.
Guía de solución de puerta de enlace web segura de Forefront TMG: le ayuda a planear, implementar y mantener una puerta de enlace web segura de Forefront TMG, que está diseñada para ayudar a proteger a los usuarios de las amenazas procedentes de Internet.
Lista de comprobación de implementaciónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Esta lista de comprobación está diseñada para ayudarle a planear una implementación de Forefront TMG. Enumera las tareas que debe realizar para instalar e implementar Forefront TMG correctamente. Del mismo modo, la lista de comprobación contiene también vínculos a instrucciones e información de planeación relativas a cada tarea. Las tareas se agrupan en función de los siguientes factores:
Tareas de preinstalación
Tareas posteriores a la instalación
Configuración del acceso a la red corporativa
Protección de la red corporativa
Tareas de preinstalaciónEn la siguiente tabla se muestra una lista de las tareas que debería completar antes de instalar Forefront TMG:
Tarea Dónde buscar información
Compruebe que el equipo en el que desea instalar Forefront TMG cumple los requisitos de software y hardware del sistema.
Para obtener una lista de todos los requisitos de hardware y software necesarios para instalar Forefront TMG, vea Requisitos del sistema para Forefront TMG.
73
Ejecute Windows Update para asegurarse de que el equipo está actualizado y dispone de la versión más reciente. Si se aplican actualizaciones, reinicie el equipo antes de instalar Forefront TMG.
Si desea obtener información sobre los procedimientos necesarios para asegurarse de que las últimas actualizaciones se han instalado en su equipo, vea Preparación de la instalación.
Decida si desea ejecutar la instalación de Forefront TMG en modo interactivo o desatendido.
Modo interactivo: se recomienda para la instalación de un único servidor de Forefront TMG o de un número reducido de servidores de Forefront TMG. Para obtener instrucciones, vea Instalación de los servicios de Forefront TMG en modo interactivo.Modo desatendido: se recomienda para la implementación de varios servidores de Forefront TMG. Para obtener instrucciones, vea Instalar los servicios de Forefront TMG en modo desatendido.Vea Planeación para instalar Forefront TMG.Nota: puede migrar a Forefront TMG desde ISA Server o actualizar una versión anterior de Forefront TMG. Para obtener más información, vea Planeación de migración.
Seleccione la opción de instalación necesaria en función del entorno.
Están disponibles las siguientes opciones:
Instalar un único servidor de Forefront TMG en el equipo, incluidos todos los servicios de Forefront TMG y la consola de administración de Forefront TMG, para la administración local de Forefront TMG. Para obtener instrucciones, vea Instalación de Forefront TMG.Instalar sólo la consola de administración de Forefront TMG si desea administrar de manera remota los servidores de Forefront TMG instalados en otros equipos. Para obtener instrucciones, vea Instalación de la consola de administración para tareas de administración remota.Instalar un servidor Enterprise Management Server (EMS) que le permita administrar de manera centralizada varias matrices de Forefront TMG. Para obtener instrucciones, vea Instalación de un servidor Enterprise Management Server (EMS) para la administración centralizada.Para obtener información acerca de la planeación, vea Planeación para instalar Forefront TMG.
Comprobar la configuración del adaptador de red Todos los adaptadores de red se deben instalar y configurar correctamente con las direcciones IP adecuadas antes de instalar y configurar Forefront TMG.Para obtener información sobre cómo planear la configuración del adaptador de red, vea Planeación de la topología de red de Forefront TMG.
Planear la resolución de nombres de dominio Antes de iniciar la instalación, debe planear cómo desea configurar la resolución de nombres de dominio en Forefront TMG.Vea Planeación de resolución de nombres de dominio.
Tareas posteriores a la instalación
En la siguiente tabla se muestra una lista de las tareas que debe realizar una vez instalado Forefront TMG, incluidas las opciones de infraestructura que debe tener en cuenta al configurar la red:
Tarea Dónde buscar información
Configurar los valores de implementación básicos
Utilice el Asistente de introducción si desea obtener ayuda con la configuración de los valores iniciales de la implementación, como los relativos al adaptador de red o al sistema operativo, entre los que se encuentran la información sobre el nombre del equipo y el dominio o grupo de trabajo, y a la protección contra malware para el tráfico web.Para obtener instrucciones, vea Configurar los valores de implementación iniciales.
Configurar la pertenencia a un dominio o grupo de trabajo
Una vez completada la instalación, puede configurar Forefront TMG como miembro de un dominio o grupo de trabajo.Para obtener información sobre cómo planear estas opciones de implementación en Forefront TMG, vea Consideraciones del dominio o del grupo de trabajo.
Configurar la implementación de la matriz
La configuración de la matriz ofrece una gran disponibilidad si se unen los servidores TMG. Una vez instalado Forefront TMG en un servidor, puede unirlo a una matriz independiente o a una matriz administrada de manera centralizada por un EMS.Para obtener información sobre cómo configurar una matriz independiente o administrada de manera centralizada, vea Planeación para la escalabilidad y alta disponibilidad del servidor de Forefront TMG.Para obtener instrucciones sobre cómo configurar una matriz de servidores de Forefront TMG con el fin de efectuar la implementación, vea Configuración de una matriz de Forefront TMG.
Configuración del acceso a la red corporativaEn la siguiente tabla se muestra una lista de las tareas que puede llevar a cabo para garantizar la seguridad del acceso a la red corporativa. Para obtener información detallada sobre cómo preparar el acceso a su red corporativa, vea Guía de diseño de acceso para Forefront TMG.
Tarea Dónde buscar información
Configurar la autenticación Para configurar la infraestructura de autenticación, están disponibles las siguientes opciones:
Instalación de certificados de servidor emitidos por entidades de certificación: los certificados de servidor emitidos por entidades le permiten garantizar el cifrado de la comunicación y la autenticación entre el equipo cliente y Forefront TMG.Configuración de autenticación basada en formularios: si utiliza Forefront TMG para publicar el acceso al cliente web de Exchange, deberá configurar la autenticación basada en formularios en el equipo con Forefront TMG.Configuración de la delegación limitada de Kerberos: si utiliza la delegación limitada de Kerberos como método de delegación de
74
autenticación, debe configurarla para el objeto del equipo de Forefront TMG en los Servicios de dominio de Active Directory.Configuración de la delegación de autenticación: si desea configurar la delegación de autenticación, deberá asegurarse de que coincida el método de delegación de autenticación seleccionado con un método admitido de autenticación en el servidor publicado.Para obtener más información, vea Información general de autenticación en Forefront TMG.
Configurar el acceso de red Forefront TMG permite configurar valores como la compatibilidad con el cliente de Forefront TMG con el fin de obtener acceso de manera segura a las aplicaciones internas de una red.Vea Planeación para controlar el acceso de red.
Configurar el acceso web Forefront TMG permite configurar valores mediante los cuales los usuarios internos pueden obtener acceso a Internet de forma segura.Vea Planeación para el acceso web.
Configurar el acceso a una red privada virtual (VPN)
Puede configurar un sistema de manera que los clientes de una red remota puedan conectarse a una red corporativa de manera segura mediante una red privada virtual (VPN). Vea Planeación para las redes privadas virtuales.
Configurar la publicación La publicación de Forefront TMG permite a los usuarios remotos obtener acceso de manera segura a sus aplicaciones internas a través de Internet. Las reglas de publicación en web le permiten especificar qué servidores y sitios web estarán disponibles para los usuarios de Internet en función de la directiva de acceso definida.Vea Planeación de publicación.
Instalar certificados de servidor para el sitio web publicado
Para habilitar las comunicaciones seguras entre el equipo de Forefront TMG y el sitio web publicado, debe instalar un certificado de servidor emitido por una entidad de certificación para el sitio web publicado.Vea Planeación de certificados de servidor.
Protección de la red corporativaEn la tabla siguiente se muestra una lista de las funciones de protección que puede configurar en Forefront TMG para contribuir a la protección de una red corporativa. Para obtener más información sobre protección, vea Guía de diseño de protección para Forefront TMG.
Tarea Dónde buscar información
Configurar la protección contra las vulnerabilidades conocidas
Puede configurar Forefront TMG para proteger sus equipos contra los ataques a la red y los intentos malintencionados de beneficiarse de las vulnerabilidades conocidas tanto del sistema operativo como de otras aplicaciones relacionadas.Vea Planeación de la protección frente a vulnerabilidades conocidas.
Configurar la protección contra los intentos de intrusión y otros ataques comunes
Puede configurar Forefront TMG para proteger la red de usuarios malintencionados que pretendan, por ejemplo, llevar a cabo ataques por denegación de servicio HTTP, ataques de SYN o una propagación de gusanos.Si la detección de ataques de DNS está habilitada, también puede especificar que el filtro DNS busque tipos concretos de actividad sospechosa.Vea Planeación para proteger frente a los ataques de red.
Configurar la protección contra las amenazas a través de Internet
Puede configurar Forefront TMG de manera que efectúe una inspección de malware con el fin de detectar, eliminar y bloquear tanto contenido como archivos dañinos con formato HTTP o HTTPS.Vea Planeación para proteger frente a las amenazas a través de Internet.
Configurar la protección contra las amenazas a través del correo electrónico
Si piensa implementar sistemas de protección del correo electrónico en una organización, debe configurar una directiva de seguridad de correo electrónico con el fin de proteger su empresa.Vea Planeación de la protección frente a amenazas de correo electrónico.
Requisitos del sistema para Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describen los requisitos de hardware y software mínimos para ejecutar las siguientes implementaciones de Forefront TMG:
Forefront TMG: seguridad perimetral unificada con firewall integrado, VPN, prevención de intrusiones, inspección de malware y filtrado de URL.
Enterprise Management Server: administración centralizada de las matrices de Forefront TMG. Utilice EMS para crear y actualizar directivas de empresa, así como para crear las reglas de directiva que se asignarán a las matrices de la empresa.
Administración de Forefront TMG: administración remota de servidores de Forefront TMG instalados en otros equipos.
Importante:
En la siguiente tabla se muestran los requisitos mínimos de hardware para instalar el software de Forefront TMG. Para aprovisionar Forefront TMG correctamente de acuerdo con el número de usuarios, el ancho de banda de la red de área extensa, y las características y protección que se encuentren habilitadas, vea Recomendaciones de hardware para Forefront TMG 2010.
Forefront TMG
Hardware Requisitos mínimos
75
CPU Procesador de dos núcleos (1 CPU x doble núcleo) de 64 bits a 1,86 GHz.
Memoria 2 GB, 1 GHz RAM.
Disco duro Espacio disponible de 2,5 GB. Este espacio en disco excluye el necesario para el almacenamiento en caché o el almacenamiento temporal de archivos durante la inspección de malware.Una partición del disco duro local con el formato del sistema de archivos NTFS.
Adaptadores de red
Un adaptador de red compatible con el sistema operativo del equipo para las comunicaciones con la red interna
Nota:
Puede usar Forefront TMG en un equipo con un único adaptador de red. Normalmente, llevará a cabo esta tarea cuando otro firewall se encuentre en los límites de la red, conectando los recursos corporativos a Internet. En este escenario de un adaptador único, Forefront TMG suele proporcionar una capa adicional de protección de filtrado de aplicaciones a los servidores publicados, o bien para almacenar en caché el contenido de Internet.
Software Requisitos mínimos
Sistema operativo Windows Server 2008
Versión: SP2 o R2Edición: Standard, Enterprise o Datacenter
Roles y características de Windows
La herramienta de preparación de Forefront TMG instala estos roles y características:
Servidor de directivas de redes.Servicios de enrutamiento y acceso remoto.Herramientas de Active Directory Lightweight Directory Services.Herramientas de equilibrio de carga de red.Windows PowerShell.Puede ejecutar la herramienta de preparación desde la página de ejecución automática de Forefront TMG.
Nota:
Los roles y características de Windows que se instalan durante la instalación de Forefront TMG no se desinstalan al desinstalar Forefront TMG. Si es necesario, desinstálelos manualmente tras desinstalar Forefront TMG del servidor.
Otro software Microsoft .NET Framework 3.5 SP1.API de Servicios web de Windows.Windows Update.Microsoft Windows Installer 4.5.
Nota:
Los servicios y archivos de controlador instalados por Forefront TMG se ubican en la carpeta de instalación de Forefront TMG.
Importante:
No se admite la instalación de Forefront TMG en un controlador de dominio.
Enterprise Management ServerHardware Requisitos mínimos
CPU Procesador de doble núcleo de 64 bits a 1,86 GHz.
Memoria 1 GB RAM.
Disco duro Espacio disponible de 2,5 GB.Una partición del disco duro local con el formato del sistema de archivos NTFS.
Software Requisitos mínimos
Sistema operativo Windows Server 2008
Versión: SP2 o R2Edición: Foundation, Standard, Enterprise o Datacenter
76
Roles y características de Windows Herramientas de Active Directory Lightweight Directory Services.
Otro software Microsoft .NET Framework 3.5 SP1.Microsoft Windows Installer 4.5.
Importante:
No se admite la instalación de EMS en un controlador de dominio o en un equipo con Forefront TMG.
Administración de Forefront TMGHardware Requisitos mínimos
CPU Procesador de 1 GHz.
Memoria 1 GB RAM.
Disco duro Espacio disponible de 2 GB.Una partición del disco duro local con el formato del sistema de archivos NTFS.
Software Requisitos mínimos
El sistema operativo Windows Server 2008 R2, Windows Server 2008 SP2, Windows 7 o Windows Vista SP1.
Instalar los requisitos previos para la protección de correo electrónicoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG permite proteger su organización frente al correo no deseado, los virus y otras amenazas asociadas al correo electrónico. Para ello, se beneficia de la protección que Forefront Protection 2010 for Exchange Server (FPES) proporciona al correo electrónico y del servicio de retransmisión de correo de un extremo a otro del servidor de transporte perimetral Exchange. Estas tecnologías de protección no se incluyen en la instalación predeterminada de Forefront TMG, por lo que el usuario deberá instalarlas por separado en cada miembro de matriz de Forefront TMG. Las versiones admitidas son:
Exchange Server 2007 SP2 y Exchange Server 2010.
Nota:
Puede descargar software de evaluación de Exchange Server desde el sitio de descargas de Microsoft.
Forefront Protection 2010 for Exchange Server.Se recomienda que instale estas tecnologías de protección del correo electrónico (y sus requisitos previos) en cada miembro de matriz en el orden siguiente:
1. Instale Active Directory Lightweight Directory Services. Para obtener instrucciones, vea Instalación de Active Directory Lightweight Directory Services.2. Instale el rol Transporte perimetral de Exchange Server. Para obtener instrucciones, vea Instalación del rol Transporte perimetral de Exchange Server.3. Instale Forefront Protection 2010 for Exchange Server. Para obtener instrucciones, vea Instalación de Forefront Protection 2010 for Exchange Server.4. Instale Forefront TMG. Para obtener instrucciones, vea Instalación de Forefront TMG.
Instalación de Active Directory Lightweight Directory Services
Debe instalar Active Directory Lightweight Directory Services (AD LDS) antes de instalar el rol Transporte perimetral de Exchange Server. Si AD LDS no está instalado, siga las instrucciones que aparecen a continuación para instalarlo.
Para instalar Active Directory Lightweight Directory Services1. Desde un símbolo del sistema con privilegios elevados, escriba cmd.exe /c start /w pkgmgr.exe /iu:"DirectoryServices-ADAM".
Instalación del rol Transporte perimetral de Exchange Server
Nota:
Si ya ha instalado Forefront TMG, debe quitar Windows Powershell 1.0 antes de instalar Exchange. Para obtener instrucciones, vea Desinstalación de Windows Powershell 1.0.No puede instalar el rol Transporte perimetral de Exchange Server en un servidor con un sufijo DNS que incluye caracteres no ingleses.
Antes de instalar el rol Transporte perimetral de Exchange Server, debe comprobar que el equipo esté configurado con un sufijo DNS. Utilice el procedimiento siguiente:
Para agregar un sufijo DNS a un equipo Forefront TMG1. En el Escritorio, haga clic con el botón secundario en Equipo y seleccione Propiedades.2. Haga clic en Configuración avanzada del sistema y, a continuación, en la ficha Nombre de equipo.
77
3. Haga clic en Cambiar y, a continuación, en Más.4. En el cuadro Sufijo DNS principal de este equipo, si no hay ningún FQDN configurado, escriba uno y haga clic en Aceptar.
Para instalar el rol Transporte perimetral de Exchange Server1. Ejecute el archivo Exchange Server Setup.exe y siga los pasos del asistente de instalación de Exchange Server, incluida la instalación de todos los requisitos previos. 2. En la página Tipo de instalación, haga clic en Instalación personalizada de Exchange Server. 3. En la página Selección de funciones de servidor, seleccione Rol Transporte perimetral y haga clic en Siguiente. En la página Comprobaciones de disponibilidad,
consulte el estado para determinar si las comprobaciones de los requisitos previos del rol del servidor y la organización se han llevado a cabo correctamente. A continuación, haga clic en Instalar para instalar Exchange.
4. En la página Finalización, haga clic en Finalizar.5. Una vez completada la instalación, se recomienda que realice una copia de seguridad de la configuración y almacene el archivo de copia de seguridad en una
ubicación segura. Puede serle útil para solucionar problemas de protección de correo electrónico en el futuro y, si es necesario revertir a la configuración original. Debería hacerlo para cada miembro de la matriz. Para obtener instrucciones, vea Configurar el servidor de transporte perimetral mediante el uso de configuración clonada (http://go.microsoft.com/fwlink/?LinkId=177822) para Exchange 2010 y Cómo hacer una copia de seguridad de servidores de transporte perimetral mediante las tareas de configuración clonada (http://go.microsoft.com/fwlink/?LinkId=177823) para Exchange 2007.Instalación de Forefront Protection 2010 for Exchange Server.
Para instalar Forefront Protection 2010 for Exchange Server1. Inserte el DVD de Forefront TMG y ejecute autorun.hta. 2. Haga clic en Instalar Microsoft Forefront Protection 2010 for Exchange Server.3. Siga las instrucciones que aparecen en la pantalla del asistente de instalación.4. Una vez completada la instalación, se recomienda que realice una copia de seguridad de la configuración y almacene el archivo de copia de seguridad en una
ubicación segura. Puede serle útil para solucionar problemas de protección de correo electrónico en el futuro y, si es necesario revertir a la configuración original. Debería hacerlo para cada miembro de la matriz. Para obtener instrucciones, vea Copia de seguridad y restauración (http://go.microsoft.com/fwlink/?LinkId=177824).Desinstalación de Windows Powershell 1.0
Nota:
Si ya ha instalado Forefront TMG, utilice el procedimiento siguiente para quitar Windows Powershell 1.0 antes de instalar Exchange:
Haga clic en Inicio, en Ejecutar y escriba CompMgmtLauncher. Haga clic en Aceptar.En el árbol Administrador de servidores, expanda Características y, en el Resumen de características, haga clic en Quitar características.En el Asistente para quitar características, desplácese a Windows Powershell y, a continuación, desactive la casilla. Haga clic en Siguiente y, a continuación, en Quitar.Una vez completado el proceso, reinicie el equipo y, a continuación, instale Exchange Server 2010. A través de la página de requisitos previos, podrá instalar Windows Powershell 2.0.
Pasos siguientes
Tras completar la instalación del rol de servidor Transporte perimetral de Exchange, FPES y Forefront TMG en cada miembro de su matriz, puede empezar a configurar una directiva de correo electrónico para su organización. Para obtener información acerca de la configuración, vea Configurar la protección de las amenazas basadas en correo electrónico.
Migración y actualización a Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los temas de esta sección proporcionan la siguiente información sobre la migración y la actualización a Forefront TMG:
Migración de ISA Server 2004/2006 a Forefront TMG
Actualización de Forefront TMG Standard Edition a Forefront TMG Enterprise Edition
Migración de Forefront TMG RC a RTM
Actualizar Forefront TMG Evaluation a RTMPara obtener información sobre las limitaciones de la migración, vea Planeación de migración.
Migración de ISA Server 2004/2006 a Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Se admiten las siguientes rutas de migración de Microsoft Internet Security and Acceleration (ISA) Server a Forefront TMG:
De ISA Server Standard Edition a Forefront TMG Standard Edition.
De ISA Server Standard Edition a servidor independiente de Forefront TMG Enterprise Edition.
De una matriz de servidores ISA Server Enterprise Edition (incluso una matriz que contenga un solo servidor) a una matriz de servidores de Forefront TMG Enterprise Edition administrada por un servidor Enterprise Management Server (EMS) de Forefront TMG.
Nota:
Una matriz de servidores ISA Server no se puede migrar a una matriz de servidores de Forefront TMG no administrada por un servidor EMS de Forefront TMG.
78
Aunque se puede crear una matriz de servidores de Forefront TMG no administrada por un servidor EMS de Forefront TMG, esta opción no está disponible para la migración.
Antes de migrar de ISA Server a Forefront TMG, lea la siguiente información:
Planeación de migración
Requisitos del sistema para Forefront TMG
Importante:
Si va a migrar a Forefront TMG un servidor que no es el servidor en el que está instalado ISA Server, se recomienda que mantenga la funcionalidad del servidor ISA Server de producción hasta que la migración se haya completado y que compruebe que Forefront TMG funciona correctamente.
Este tema contiene las siguientes secciones:
Recopilación de información
Migrar un único servidor ISA Server a Forefront TMG
Migrar una matriz de servidores ISA Server a una matriz de servidores de Forefront TMG
Exportación de la configuración de ISA Server
Importación de la configuración a Forefront TMG
Recopilación de informaciónAntes de comenzar el proceso de migración, recoja la siguiente información sobre la implementación de su solución ISA Server existente:
Nombre de dominio completo (FQDN) del equipo en el que se ejecuta ISA Server.
Dirección IP, máscara de subred y dirección de servidor DNS del adaptador de red conectado a la red corporativa principal. Este adaptador de red estará asociado a la red interna predeterminada de Forefront TMG.
Dirección IP, máscara de subred, puerta de enlace predeterminada y dirección de servidor DNS del adaptador de red conectado a la red externa (normalmente, Internet). Si va a instalar Forefront TMG con un adaptador de red único, no se requiere una configuración externa del adaptador.
Dirección IP, máscara de subred y dirección de servidor DNS de adaptadores de red conectados a cualquier otra red, como una red perimetral.
Migrar un único servidor ISA Server a Forefront TMGPara migrar un único servidor ISA Server a Forefront TMG se requieren las siguientes tareas:
1. Recopilar la información necesaria para la instalación. Para obtener más información, vea Recopilación de información.2. Exportar la configuración de ISA Server. Para obtener más información, vea Exportación de la configuración de ISA Server.3. Exportar los certificados de servidor utilizados por ISA Server. Si desea obtener instrucciones sobre cómo exportar un certificado de servidor en Windows 2003, vea
Importar y exportar certificados (http://go.microsoft.com/fwlink/?LinkId=152428).4. Si va a realizar la migración a Forefront TMG en el mismo equipo en el que se ejecuta ISA Server, desinstalar ISA Server del equipo. Para obtener información
detallada, vea ISA Server SE: Uninstalling ISA Server Software (http://go.microsoft.com/fwlink/?LinkId=152933). 5. Realizar una instalación limpia de Windows 2008 (SP2 de 64 bits o R2) en el equipo. Esto afecta tanto a equipos nuevos como al equipo que tenía ISA Server
instalado (no se admiten actualizaciones en contexto de Windows 2003 de 32 bits a Windows 2008 de 64 bits). Para obtener información detallada, vea Instalación de Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=152429).
6. Instalar Forefront TMG. Para obtener más información, vea Instalación de Forefront TMG.7. Importar el certificado de servidor en el servidor de Forefront TMG. Para obtener información detallada, vea Mover certificados (http://go.microsoft.com/fwlink/?
LinkId=152430).8. Importar y aplicar la configuración de ISA Server en la consola de administración de Forefront TMG. Para obtener más información, vea Importación de la
configuración a Forefront TMG.9. Restaurar los trabajos de informes de ISA Server y las propiedades de registro de firewall en Forefront TMG. Para obtener más información, vea Configurar los
informes de Forefront TMG y Configurar los registros de Forefront TMG.10. Si se va a instalar Forefront TMG en un servidor limpio, es decir, en un equipo en el que no se haya ejecutado antes ISA Server, actualizar el entorno de producción
con la nueva información del servidor, como las direcciones IP internas y externas, y la dirección del servidor del sistema de nombres de dominio (DNS).11. Comprobar que la configuración es operacional y que se inician los servicios en el servidor de Forefront TMG.
Migrar una matriz de servidores ISA Server a una matriz de servidores de Forefront TMG
Al realizar este procedimiento, tenga en cuenta lo siguiente:
Es preciso ajustar la configuración específica del equipo de la nueva matriz de equipos con Forefront TMG en caso de que difiera de la configuración de ISA que se importa. Por ejemplo, FQDN, informes y registro, credenciales y certificados.
Sólo la configuración del servidor de Almacenamiento de configuración (CSS) se migra a un equipo independiente que ejecuta Forefront TMG EMS. Aun cuando CSS se encuentre en uno de los equipos ISA Server y no en un equipo independiente, Forefront TMG EMS se debe instalar en un equipo independiente.
Para migrar una matriz de servidores ISA Server a una matriz de servidores de Forefront TMG se requieren las siguientes tareas:
1. Recopilar la información necesaria para la instalación de cada servidor de la matriz. Para obtener más información, vea Recopilación de información.2. Exportar la configuración de ISA Server del equipo designado como CSS. Para obtener más información, vea Exportación de la configuración de ISA Server.3. Exportar los certificados de servidor utilizados por los servidores ISA Server. Si desea obtener instrucciones sobre cómo exportar un certificado de servidor en
Windows 2003, vea Importar y exportar certificados (http://go.microsoft.com/fwlink/?LinkId=152428).
79
4. Si va a migrar una matriz de equipos con Forefront TMG utilizando los mismos equipos que ejecutan ISA Server, desinstale ISA Server de los equipos. Para obtener información detallada, vea ISA Server EE: Uninstalling ISA Server Software (http://go.microsoft.com/fwlink/?LinkId=152936).
5. Realizar una instalación limpia de Windows 2008 (SP2 de 64 bits o R2) en los equipos. Esto afecta tanto a los equipos nuevos como a los equipos que tenían instalado ISA Server (no se admiten actualizaciones en contexto de Windows 2003 de 32 bits a Windows 2008 de 64 bits). Para obtener información detallada, vea Instalación de Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=152429).
6. Instalar Forefront TMG EMS en el servidor de administración (debe ser un equipo independiente, no uno de los equipos de la nueva matriz). Para obtener más información, vea Instalación de un servidor Enterprise Management Server (EMS) para la administración centralizada.
7. Importar y aplicar la configuración de CSS de ISA Server en Forefront TMG EMS en el servidor de administración. Para obtener más información, vea Importación de la configuración a Forefront TMG.
8. Instalar Forefront TMG en cada uno de los nuevos miembros de la matriz. Para obtener más información, vea Instalación de Forefront TMG.9. Importar los certificados de servidor en los servidores de Forefront TMG. Para obtener información detallada, vea Mover certificados
(http://go.microsoft.com/fwlink/?LinkId=152430).10. Restaurar las propiedades de registro de firewall y los trabajos de informes de ISA Server. Para obtener más información, vea Configurar los informes de Forefront
TMG y Configurar los registros de Forefront TMG.11. Si se va a instalar Forefront TMG en un equipo en el que no se haya ejecutado antes ISA Server, actualizar el entorno de producción con la nueva información del
servidor, como las direcciones IP internas y externas, y la dirección del servidor del sistema de nombres de dominio (DNS).12. Unir cada servidor de Forefront TMG de la matriz al servidor de administración de Forefront TMG EMS. Para obtener más información, vea Unión de un servidor a
una matriz de empresa.13. Comprobar que la configuración está sincronizada y que los servicios se inician en cada servidor de Forefront TMG de la matriz.
Exportación de la configuración de ISA Server
Utilice el procedimiento siguiente para exportar la configuración de ISA Server actual.
Para exportar la configuración de ISA Server1. En el árbol de la consola de administración de ISA Server, obtenga acceso al nodo raíz:
En un equipo ISA Server, expanda Microsoft Internet Security and Acceleration Server y, a continuación, haga clic en ServerName.
En un equipo de servidor de Almacenamiento de configuración, haga clic en Microsoft Internet Security and Acceleration Server.
Nota:
Se recomienda que exporte toda la configuración desde el nodo raíz. La otra opción es exportar solo los nodos concretos que desee migrar a Forefront TMG. Observe que solo se pueden migrar los siguientes nodos individualmente: los nodos correspondientes al conjunto de direcciones URL, conjunto de nombres de dominio, conjunto de equipos, equipo, subred e intervalo de direcciones.
2. En el panel Tareas, haga clic en Exportar configuración de ISA Server a un archivo. 3. En el Asistente para exportación, en la página Exportar preferencias, seleccione las opciones siguientes:
Exportar información confidencial. Especifique una contraseña de un mínimo de ocho caracteres.
Exportar configuración de permisos de usuario.Al exportar información confidencial, se incluye lo siguiente en los datos exportados:
Credenciales que se usan para alertas, registro, informes, trabajos de informes, rutas principal y de reserva, conexiones de acceso telefónico y publicación web.
El secreto compartido que se especifica si se utiliza un servidor RADIUS.
La clave previamente compartida que se especifica para la configuración del protocolo de seguridad de Internet (IPsec).La información confidencial se cifra durante el proceso de exportación. La contraseña se utiliza para descifrar la información durante el proceso de importación.
Importante:
Para importar la configuración a Forefront TMG, debe seleccionar la opción Exportar información confidencial exista o no la información en el sistema.
4. En la página Ubicación del archivo de exportación, especifique un nombre y ubicación para el archivo de copia de seguridad exportado. Si piensa actualizar este equipo a Windows Server 2008 e instalar en él Forefront TMG, copie el archivo exportado en una ubicación de red para que no se elimine antes de que se complete el proceso de migración.
5. En la barra Aplicar cambios, haga clic en Aplicar.
Importación de la configuración a Forefront TMGUse el siguiente procedimiento para importar la configuración de ISA Server a Forefront TMG.
Para importar la configuración a Forefront TMG1. En el árbol de la consola de administración de Forefront TMG, obtenga acceso al nodo raíz: En un equipo con Forefront TMG, expanda Microsoft Forefront Threat Management Gateway y, a continuación, haga clic en ServerName.
En un equipo de EMS, haga clic en Microsoft Forefront Threat Management Gateway.2. En la pestaña Tareas, haga clic en Importar (restaurar) configuración. 3. En Buscar en, vaya a la carpeta que contiene el archivo que desea importar. 4. En el paso Seleccionar el archivo de importación, en Nombre de archivo, especifique el nombre del archivo .xml que va a importar. 5. Especifique la contraseña necesaria para descifrar la información confidencial. 6. En la barra Aplicar cambios, haga clic en Aplicar.
Actualización de Forefront TMG Standard Edition a Forefront TMG Enterprise EditionPublicada: noviembre de 2009Actualizado: febrero de 2010
80
Se aplica a: Forefront Threat Management Gateway (TMG)Para actualizar Forefront TMG a la versión Enterprise Edition, adquiera una licencia para su servidor y obtenga una nueva clave para el producto.
Para actualizar a Enterprise Edition1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema.2. En la ficha Sistema, haga clic con el botón secundario en el servidor y, a continuación, haga clic en Propiedades.3. Haga clic en la ficha Id. del producto y, a continuación, en Actualizar a Enterprise Edition.4. Escriba la clave del producto Forefront TMG Enterprise Edition.5. Haga clic en Aceptar para cerrar el cuadro de diálogo Introducción de clave de producto y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo
Propiedades del sistema.
Nota:
Tras la actualización, el Id. de producto mostrado en la página Acerca de Forefront Threat Management Gateway en el apartado Ayuda es el identificador del producto anterior. Esto no afecta al comportamiento de la empresa.
Migración de Forefront TMG RC a RTMPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede migrar las siguientes instalaciones de la versión candidata de versión comercial (RC) de Forefront TMG a la versión para fabricación (RTM) de Forefront TMG:
Servidor de Forefront TMG Standard Edition
Servidor independiente de Forefront TMG Enterprise Edition
Forefront TMG Enterprise Management Server (EMS)
Para la migración de Forefront TMG RC a RTM son necesarios los pasos siguientes:
1. Exportar la configuración de Forefront TMG RC. Para obtener instrucciones, vea Exportar la configuración de Forefront TMG RC.2. Desinstalar Forefront TMG RC del servidor. Para obtener instrucciones, vea Desinstalación de Forefront TMG.3. Instalar Forefront TMG RTM en el servidor. Para obtener instrucciones, vea Instalación de Forefront TMG y Instalación de un servidor Enterprise Management
Server (EMS) para la administración centralizada.4. Importar la configuración de Forefront TMG RC a Forefront TMG RTM. Para obtener instrucciones, vea Importar la configuración a Forefront TMG RTM.
Exportar la configuración de Forefront TMG RC
Para exportar la configuración de Forefront TMG RC1. En la consola de administración de Forefront TMG, obtenga acceso al nodo raíz: En un servidor de Forefront TMG, expanda Microsoft Forefront Threat Management Gateway y, a continuación, haga clic en Server_Name.
En un servidor EMS, haga clic en Microsoft Forefront Threat Management Gateway.2. En la pestaña Tareas, haga clic en Exportar (hacer copia de seguridad) configuración. 3. En la página Exportar preferencias del Asistente para exportación:
a. Seleccione Exportar información confidencial y, a continuación, especifique una contraseña que contenga por lo menos ocho caracteres.
b. Seleccione Exportar configuración de permisos de usuario. Al exportar información confidencial, se incluye la siguiente información en los datos exportados:
Credenciales usadas para alertas, registro, informes, trabajos de informes, rutas principal y de copia de seguridad, conexiones de acceso telefónico y publicación de web.
El secreto compartido especificó si se utiliza un servidor RADIUS.
La clave previamente compartida especificada para la configuración de seguridad del Protocolo Internet (IPsec).La información confidencial se cifra durante el proceso de exportación. La contraseña se utiliza para descifrar la información durante el proceso de importación.
Importante:
Para importar la configuración a Forefront TMG RTM, debe seleccionar la opción Exportar información confidencial exista o no la información en el sistema.
4. En Guardar los datos en este archivo, especifique la carpeta en la que se guardará el archivo de exportación. Importar la configuración a Forefront TMG RTM
Para importar la configuración de Forefront TMG RC1. En la consola de administración de Forefront TMG, obtenga acceso al nodo raíz: En un servidor de Forefront TMG, expanda Microsoft Forefront Threat Management Gateway y, a continuación, haga clic en Server_Name.
En un servidor EMS, haga clic en Microsoft Forefront Threat Management Gateway.2. En la pestaña Tareas, haga clic en Importar (restaurar) configuración. 3. En Buscar en, vaya a la carpeta con el archivo que está importando. 4. En Nombre, especifique el nombre del archivo .xml que va a importar.
81
5. Especifique la contraseña necesaria para descifrar la información confidencial. 6. En la barra Aplicar cambios, haga clic en Aplicar.
Actualizar Forefront TMG Evaluation a RTMPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Hay dos maneras de actualizar la versión de evaluación de Forefront TMG con la versión completa:
Inserte el DVD de la versión completa de Forefront TMG y ejecute la instalación (no es necesario desinstalar antes la versión de evaluación). Forefront TMG se reinstalará, conservando su configuración.
Importante:
No puede ejecutar esta instalación desde un recurso compartido de red.
Alternativamente, puede desinstalar primero la versión de evaluación y, a continuación, instalar la versión completa de Forefront TMG. Si también desea conservar la configuración, asegúrese de exportarla desde el nodo raíz antes de desinstalar la versión de evaluación de Forefront TMG; después de instalar la versión completa de Forefront TMG, importe la configuración.
Nota:
Este procedimiento es idéntico al que se describe en Migración de Forefront TMG RC a RTM
Instalación de Forefront TMGPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Importante:
Si está instalando Forefront TMG Service Pack 1, vea Instalación de Forefront TMG SP1 y Notas de la versión de Forefront TMG 2010 SP1.
En los siguientes temas se proporciona información para la instalación de Forefront TMG:
Preparación de la instalación
Preparación para la instalación en un entorno de grupo de trabajo
Instalación de servicios Forefront TMG
Installing Forefront TMG on a domain controller
Instalación de un servidor Enterprise Management Server (EMS) para la administración centralizada
Instalación de la consola de administración para tareas de administración remota
Desinstalación de Forefront TMG
Preparación de la instalaciónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Antes de instalar Forefront TMG, debe ejecutar la herramienta de preparación para comprobar que las aplicaciones necesarias para la correcta instalación de Forefront TMG se han instalado en su equipo. Si ejecuta Forefront TMG sin ejecutar previamente la herramienta de preparación, Forefront TMG no se instalará en caso de que el equipo no incluya las aplicaciones necesarias. Estas aplicaciones varían en función del tipo de instalación:
Forefront TMG Administración de Forefront TMG Enterprise Management System
Funciones y características de Windows
Servidor de directivas de redes Sí No No
Servicios de enrutamiento y acceso remoto Sí No No
Herramientas de Active Directory Lightweight Directory Services Sí No Sí
Herramientas de equilibrio de carga en la red Sí No No
Windows PowerShell Sí No No
Microsoft .NET 3.5 Framework SP1 Sí No Sí
Microsoft Windows Installer 4.5 Sí No Sí
82
Windows Update Sí No No
API de Windows Web Services Sí No No
Importante:
La herramienta de preparación requiere una conexión a Internet para descargar e instalar las aplicaciones necesarias. Por ejemplo, si Forefront TMG se está ejecutando detrás de un servidor proxy, es posible que sea necesario configurar el proxy para permitir el acceso del servidor de Forefront TMG a Internet.
Si estas aplicaciones aún no están instaladas en su equipo, la herramienta de preparación las descargará e instalará.
Nota:
Después de ejecutar la herramienta de preparación y antes de instalar Forefront TMG, debe reiniciar el equipo.
Para ejecutar la herramienta de preparaciónEn la página Tipo de instalación, seleccione la opción de tipo de instalación requerida:
Administración y servicios de Forefront TMG.
Solo Administración de Forefront TMG
Enterprise Management Server (EMS) para la administración centralizada de matricesLa herramienta de preparación descarga e instala las aplicaciones que se consideran requisito previo, según el tipo de instalación de Forefront TMG seleccionado.En la página Preparación completada de la herramienta de preparación, seleccione Iniciar el Asistente para la instalación de Forefront TMG y, a continuación, haga clic en Finalizar.
Preparación para la instalación en un entorno de grupo de trabajoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se describen las tareas necesarias para preparar su entorno antes de instalar Forefront TMG en un grupo de trabajo:
Creación de FQDN para los servidores de Forefront TMG
Creación de cuentas de usuario
Creación de certificados
Creación de FQDN para los servidores de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo crear un nombre de dominio completo (FQDN) para Forefront TMG en un grupo de trabajo. El FQDN es un nombre utilizado para permitir que los miembros de matriz y Enterprise Management Server (EMS) se comuniquen entre sí. FQDN no está disponible de manera predeterminada en ningún grupo de trabajo, por lo que debe crear el mismo nombre para cada servidor de Forefront TMG y para el EMS.El procedimiento siguiente describe cómo crear un FQDN para un servidor en un grupo de trabajo.Para crear un FQDN para un servidor de Forefront TMG
1. Haga clic en Inicio, seleccione Panel de control y, a continuación, haga doble clic en Sistema. 2. Haga clic en la ficha Nombre de equipo.3. Haga clic en el botón Cambiar y, a continuación, en el cuadro de diálogo Nombre de equipo/Cambios de dominio, haga clic en el botón Más.4. En el cuadro de diálogo Sufijo DNS y nombre de equipo NetBIOS, en Sufijo DNS principal de este equipo, especifique el sufijo DNS que se va a anexar al nombre del
equipo. A continuación, haga clic en Aceptar.5. Después de aplicar los cambios, reinicie el equipo para inicializarlo con su nuevo nombre de FQDN.6. Compruebe que todos los servidores de Forefront TMG funcionen con el FQDN de todos los servidores (incluido el suyo propio) en IPv4.
Repita este proceso en cada uno de los servidores de Forefront TMG
Creación de cuentas de usuarioPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo crear cuentas de usuario para los servidores de Forefront TMG en un grupo de trabajo. Forefront TMG utiliza las cuentas del reflejo para administrar los distintos servidores porque no puede definir una cuenta compartida fuera de un dominio. Tiene que definir una cuenta de administrador de reflejo en todos los servidores creando un usuario con el mismo nombre y contraseña que el grupo de administradores local de cada servidor.
Importante:
Al crear las cuentas de usuario, no debería especificar ningún dominio ni prefijo del nombre del equipo.
Para crear una cuenta de usuario con privilegios de administrador
1. En Administración de equipos en el servidor Forefront TMG, haga clic en Usuarios y grupos locales, haga clic con el botón secundario en Usuarios y, a continuación, seleccione Nuevo usuario.
83
2. En Nuevo usuario, escriba un nombre para el grupo, escriba una contraseña y haga clic en Crear. A continuación, haga clic en Cerrar.3. En Grupos, haga clic con el botón secundario en el grupo Administradores y, a continuación, seleccione Agregar a grupo.4. Haga clic en Agregar y escriba el nombre del usuario que ha creado.5. Haga clic en Comprobar nombres y, a continuación, en Aceptar.
Creación de certificadosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Lightweight Directory Access Protocol (LDAPS) requiere certificados de autenticación de servidor. Este protocolo se utiliza para la comunicación entre el servidor de almacenamiento de configuración y los servidores de Forefront TMG en una implementación de grupo de trabajo.El certificado se debe instalar como un certificado personal del servicio ADAM_ISASTGCTRL en el servidor de almacenamiento de configuración. El certificado se debe instalar durante la instalación de Forefront TMG o después de ella. El asunto del certificado debe ser el FQDN del servidor de almacenamiento de configuración con el fin de que los demás servidores de Forefront TMG acepten el certificado. Después de instalar el certificado en el servidor de almacenamiento de configuración, se debe instalar el certificado de la entidad correspondiente en los otros servidores en el espacio destinado a certificados de “Equipos locales” con la clasificación de "Entidades de certificación raíz de confianza". Puede crear un certificado a través de su propia entidad u obtener un certificado de una entidad global. Si los certificados son para uso interno, se recomienda que cree una entidad de carácter local, de manera que ya no sea necesaria la adquisición de un certificado comercial. Los siguientes procedimientos describen cómo se crea y se exporta un certificado de servidor.Creación de un certificado de servidor
Para crear un certificado de servidor1. En el equipo de la entidad de certificación, vaya a: http://localhost/certsrv.2. Haga clic en Solicitar un certificado.3. Seleccione Solicitud de certificado avanzada.4. Seleccione Crear y enviar una solicitud a esta entidad.5. En Nombre, proporcione un nombre para el certificado. Para evitar que el cliente reciba un mensaje de error al intentar establecer la conexión, es vital que el
nombre común especificado para el certificado coincida con el nombre del servidor. En nombre común, escriba el nombre completo del host para el servidor de almacenamiento de configuración en el que se instalará el certificado, como server01.east.fabrikam.com.
6. Complete el formulario y seleccione Certificado de autenticación de servidor en la lista desplegable Tipo.7. Seleccione Marcar claves como exportables.8. Seleccione Almacenar el certificado en el almacén de certificados del equipo local o Usar almacén de equipo local y haga clic en Enviar para enviar la solicitud.
Lea el mensaje de advertencia que aparece y haga clic en Sí.9. Haga clic en su solicitud y elija Instalar este certificado.
Exportación del certificado de servidor
Para exportar el certificado de servidor1. En el menú Iniciar, haga clic en Ejecutar. Escriba MMC y, a continuación, haga clic en Aceptar.2. En MMC, haga clic en Archivo y, a continuación, en Agregar o quitar complemento.3. En Agregar o quitar complemento, haga clic en Agregar para abrir el cuadro de diálogo Agregar un complemento independiente. En la lista de complementos,
seleccione Certificados y, a continuación, haga clic en Agregar.4. En Complemento de certificados, seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente. En Seleccionar equipo, compruebe que está seleccionado
Equipo local (el valor predeterminado) y, a continuación, haga clic en Finalizar. Haga clic en Cerrar y, a continuación, en Aceptar.5. En la consola de MMC, expanda Certificados (equipo local) y Personal y haga clic en Certificados.6. En el panel de detalles, haga clic con el botón secundario en el certificado recién creado (muestra el nombre de dominio completo (FQDN) del servidor de
almacenamiento de configuración), señale Todas las tareas y seleccione Exportar.7. En la página de bienvenida del Asistente para exportación de certificados, haga clic en Siguiente.8. En la página Exportar clave privada, seleccione Exportar la clave privada y haga clic en Siguiente.9. En la página Formato de archivo de exportación, seleccione Si es posible, incluir todos los certificados en la ruta de certificados, deje sin modificar los demás
ajustes predeterminados y, a continuación, haga clic en Siguiente.10. En la página Contraseña, puede proporcionar y confirmar una contraseña y, a continuación, hacer clic en Siguiente.11. En la página Archivo para exportar, haga clic en Examinar y vaya a la ubicación en la que desee almacenar el archivo de certificado exportado. Esta puede ser
cualquier ubicación de la que la instalación de Forefront TMG pueda recuperar con facilidad el archivo al instalar los servicios de Forefront TMG en los que se incluye el servidor de almacenamiento de configuración. Haga clic en Siguiente.
12. En la página de resumen, haga clic en Finalizar.13. Cierre MMC. Guarde la configuración de la consola con un nombre descriptivo, como, por ejemplo, CertificadosEquipoLocal.
Instalación de servicios Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede instalar Forefront TMG en un equipo en modo interactivo o desatendido. Para obtener información sobre estos modos de instalación, consulte Planeación de la instalación de Forefront TMG. En los siguientes temas se proporcionan las instrucciones de instalación:
Instalación de los servicios de Forefront TMG en modo interactivo
Instalar los servicios de Forefront TMG en modo desatendido
Configuración de Forefront TMG para la implementación de grupos de trabajoInstalación de los servicios de Forefront TMG en modo interactivoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo instalar Forefront TMG en un equipo en modo interactivo. En el modo interactivo, supervisa el proceso de instalación y escribe la información de instalación necesaria cuando el proceso de instalación la solicita. Para ejecutar la instalación en modo interactivo, debe ser miembro del grupo Administradores en el equipo local. Para obtener instrucciones sobre cómo instalar Forefront TMG en modo desatendido, vea Instalar los servicios de Forefront TMG en modo desatendido.Instalación de Forefront TMG en modo interactivo
Para ejecutar una instalación interactiva1. Inserte el DVD de Forefront TMG en la unidad de DVD o ejecute autorun.hta desde una unidad de red compartida.2. En la página de instalación principal, haga clic en Ejecutar Windows Update. Windows Update podría requerir que el equipo se reinicie una o varias veces. Si el equipo
se reinicia, debe iniciar de nuevo la página de instalación, tal y como se describe en el paso 1 de este procedimiento.
84
3. En la página de instalación principal, haga clic en Herramienta de preparación de la ejecución para iniciar la herramienta de preparación. Para obtener instrucciones sobre cómo ejecutar la herramienta de preparación, vea Preparación de la instalación.
4. En la página de instalación principal, haga clic en Ejecutar Asistente para la instalación para iniciar el Asistente para la instalación de Forefront TMG.5. En la página Tipo de instalación, haga clic en el botón Servicios y administración de Forefront TMG. 6. En la página Ruta de instalación, especifique la ruta de instalación de Forefront TMG.7. En la página Definir red interna, haga clic en Agregar, haga clic en Agregar adaptador y, a continuación, seleccione el adaptador que está conectado a la red
corporativa principal. Vea Agregar direcciones IP a la red interna a continuación.
Nota:
Si va a instalar Forefront TMG en un equipo con un único adaptador de red, todos los intervalos de direcciones IP se deberían configurar para la red interna, salvo el siguiente:
0.0.0.0255.255.255.255127.0.0.0-127.255.255.255 (Host local)224.0.0.0-254.255.255.255 (multidifusión)
8. En la página Listo para instalar el programa, haga clic en Instalar.
Nota:
La primera vez que ejecuta la consola de administración de Forefront TMG, el Asistente de introducción se inicia automáticamente y le permite modificar la configuración de las direcciones IP de las redes y configurar la actualización. Para obtener más información, vea Configurar los valores de implementación iniciales.
Nota:
Después de reiniciar el equipo o los servicios de Forefront TMG, puede que aparezca el siguiente mensaje de error:“Forefront TMG detectó filtros de la Plataforma de filtrado de Windows que pueden ocasionar conflictos de directiva en el servidor. Los siguientes proveedores podrían definir filtros que ocasionen conflictos con la directiva de firewall de Forefront TMG: Microsoft Corporation.”Si aparece este mensaje, deshabilite la alerta para que no aparezca de nuevo, puesto que no indica un conflicto real.
Agregar direcciones IP a la red internaEn la página Direcciones, seleccione alguno de los métodos siguientes para agregar las direcciones a la red interna:
Agregar intervalo: agregue un intervalo de direcciones IP. Debe especificar la dirección IP inicial y final del intervalo; por ejemplo, 10.0.0.1 a 10.0.0.255.
Agregar adaptador: seleccione un adaptador de red. Las direcciones IP que están incluidas en la red interna se basan en la dirección IP y la máscara de subred del adaptador seleccionado.
Agregar privada: agregue direcciones IP definidas como no enrutables, según el documento de solicitud de comentarios (RFC) 1918 y la característica Dirección IP privada automática (APIPA). Para obtener más información sobre las direcciones privadas, vea RFC1918 (http://rfc.net/rfc1918.html) y How to use automatic TCP/IP addressing without a DHCP server (http://go.microsoft.com/fwlink/?linkid=51291). En la tabla siguiente se muestran los intervalos de direcciones IP permitidos, según RFC 1918 o APIPA.
Intervalo de direcciones IP RFC 1918 o APIPA
10.0.0.0–10.255.255.255 RFC 1918
172.16.0.0–172.31.255.255 RFC 1918
192.168.0.0–192.168.255.255 RFC 1918
169.254.0.0–169.254.255.255 APIPA
Instalar los servicios de Forefront TMG en modo desatendidoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede instalar Forefront TMG mediante una instalación desatendida del servidor. Para ejecutar la instalación en el modo desatendido, debe preparar la información de instalación en un archivo que usa el proceso de instalación durante la misma. Al ejecutar un comando, en este modo, se activa la instalación y lee la configuración de un archivo de respuesta. No es necesario que supervise el proceso de instalación y escriba la información de instalación cuando se pida en el proceso de configuración. Este modo se recomienda para la implementación de varios servidores de Forefront TMG.
Nota:
Para ejecutar una instalación desatendida, debe ser miembro del grupo Administradores en el equipo local.Se recomienda deshabilitar el protector de pantalla antes de realizar una instalación desatendida; el proceso de instalación se pausará si el protector de pantalla del equipo está activado.
Para ejecutar una instalación desatendida1. Cree un archivo de respuesta con los parámetros necesarios o modifique el archivo de respuesta de instalación de ejemplo de Forefront
TMG(InstallStandaloneServer.ini). Puede consultar a continuación una descripción de los parámetros en Parámetros del archivo de respuesta.2. Escriba lo siguiente en la ventana del símbolo del sistema:
RutaDeAccesoAInstalaciónISA \Setup.exe [/r]/v" /q[b|n] FULLPATHANSWERFILE=\"RutaDeAccesoAArchivoINI\NombreDeArchivo.ini\""donde:
85
RutaDeAccesoAInstalaciónISA es la ruta de acceso a los archivos de instalación de Forefront TMG. La ruta de acceso puede ser la carpeta raíz del CD de Forefront TMG o una carpeta compartida (en la red) que contenga los archivos de Forefront TMG.
/r indica una reinstalación desatendida.
/q establece el nivel de la interfaz de usuario:
q, qn: no hay interfaz de usuario.
qb: interfaz de usuario básica; solo con la barra de progreso de la instalación y los mensajes de error.
RutaDeAccesoAArchivoINI es la ruta de acceso a la carpeta que contiene la información de la instalación desatendida.
NombreDeArchivo.inies el nombre del archivo de respuesta.Por ejemplo, el comando siguiente realiza una instalación desatendida utilizando el archivo InstallStandaloneServer.ini de ejemplo como archivo de respuesta. Se encuentra en la unidad C:\Microsoft Forefront TMG./v" /qn FULLPATHANSWERFILE="C:\Microsoft Forefront TMG\Unattended_Setup_Sample\InstallStandaloneServer.INI\""Tenga en cuenta las consideraciones siguientes:
El archivo InstallStandaloneServer.ini contiene información de configuración que el programa de instalación usa en modo desatendido. No tiene ningún efecto en una instalación interactiva de Forefront TMG.
Si no especifica un parámetro en el archivo, se utiliza el valor predeterminado.
El archivo InstallStandaloneServer.ini se encuentra en la carpeta siguiente en el CD de Forefront TMG:
FPC\Unattended_Setup_Sample En una configuración Enterprise, hay varios archivos de respuesta de ejemplo adicionales, tal y como se describe en la tabla siguiente.
Nombre de archivo Descripción
InstallStandaloneServer.ini Instala un equipo que ejecuta los servicios de Forefront TMG.
InstallRemoteManagement.ini Solo instala la administración de TMG.
InstallEnterpriseManagementServer.ini Instala un servidor Enterprise Management Server.
Uninstallserver.ini Desinstala un servidor.
Parámetros del archivo de respuesta
En la tabla siguiente se describen las entradas y los valores del archivo InstallStandaloneServer.ini del servidor.
Entrada Descripción Obligatorio u opcional
PIDKEY Especifica la clave del producto. Se trata de un número con 25 dígitos que se encuentra en el reverso de la caja del CD de Forefront TMG.
Se requiere en todos los escenarios de instalación.
UPDATESUPPRESS De forma predeterminada, Forefront TMG inicia una detección de las actualizaciones en todo el sistema mediante Windows Update. Si se especifica este parámetro, Forefront TMG no inicia la detección de las actualizaciones.
Opcional.
INTERNALNETRANGES Especifica el intervalo de direcciones en la red interna. InstallStandaloneServer.ini debe especificar una dirección IP al menos; de lo contrario, el programa de instalación da error. La sintaxis es:N De1-A1, De2-A2,... DeN-ANdonde N es el número de intervalos y De1-A1 representa a las direcciones IP inicial y final de cada intervalo.
Obligatorio.
InstallDir={directorioDeInstalación} Especifica la carpeta de instalación de Forefront TMG. Si no se especifica, el valor predeterminado es la primera unidad de disco con suficiente espacio. La sintaxis es:Unidad:\CarpetaLa carpeta predeterminada es: %Program Files%\Microsoft Forefront TMG
Opcional para todos los escenarios de instalación.
COMPANYNAME=NombreDeCompañía Especifica el nombre de la compañía que instala el producto. Opcional para todos los escenarios de instalación.
DONOTDELLOGS = {0|1} Si el valor está establecido en 1, no se eliminan los archivos de registro del equipo. El valor predeterminado es 0.
Opcional para desinstalar.
DONOTDELCACHE = {0|1} Si el valor está establecido en 1, no se eliminan los archivos caché del equipo. El valor predeterminado es 0.
Opcional para desinstalar.
ADDLOCAL= {Storage_Server,MSFirewall_Management }, {MSFirewall_Management}, { Storage_Server,MSFirewall_Services, MSFirewall_Management}
Especifica una lista de características (delimitada por comas) que se deben instalar en el equipo para cada escenario de instalación: EMS (Storage_Server,MSFirewall_Management), Solo Administración de Forefront TMG (MSFirewall_Management) y Servidor independiente (Storage_Server,MSFirewall_Services, MSFirewall_Management)
Opcional para todos los escenarios de instalación. No se admite para los modos de reparación o instalación.
86
Sugerencia:
En el escenario de EMS, Storage_Server hace referencia al servidor EMS y, en el escenario independiente, hace referencia al servidor de almacenamiento de configuración.
REMOVE=ALL Especifica que todas las características se deben quitar del servidor. Opcional para todos los escenarios de instalación.
IMPORT_CONFIG_FILE =ArchivoDeImportación.xml No se admite. No se admite.
MIGRATION_PASSWORD No se admite. No se admite.
Empresa: ARRAY_AUTHENTICATIONMETHOD Ya no se admite este parámetro
Empresa:ARRAY_DESCR
Describe la matriz.Valor predeterminado: vacío.
Opcional
Empresa:ARRAY_MODE
Especifica que la instalación del servidor crea una nueva matriz. Valor posible: NewValor predeterminado: New.
Opcional
Empresa:ARRAY_DNS_NAME
Especifica el nombre que los clientes de proxy web y Firewall utilizan al conectarse a la matriz.Valor predeterminado: NombreDeEquipo.
Opcional
Empresa:ARRAY_ENTERPRISEPOLICY
Especifica qué directiva de empresa utilizar. Valor predeterminado: Array Policy Only.
Obligatorio al instalar un servidor en una nueva matriz. No se debería especificar al instalar un servidor Enterprise Management Server.
Empresa:ARRAY_INTERNALNET
Especifica el intervalo de direcciones IP en las redes internas de la nueva matriz. Define la descripción de la nueva matriz.N De1-A1, De2-A2,... DeI-AIdonde N es el número de intervalos y DeI-AI representa a las direcciones IP inicial y final de cada intervalo.
Necesario al instalar los servicios de Forefront TMG
Empresa:ARRAY_INTERNALNET_ENTERPRISE_NETS
Especifica los nombres de las redes de empresa que están incluidas en la red interna de la matriz.Sintaxis: "red1" "red2"…"redN".Si un nombre de red contiene comillas dobles ("), reemplácelas con dos comillas dobles ("").
Opcional si se especifica ARRAY_INTERNALNET.No se debería especificar al instalar un servidor Enterprise Management Server.
Empresa:ARRAY_NAME
Especifica el nombre de la nueva matriz.Valor predeterminado: nombre de equipo (para la instalación de la nueva matriz).
Opcional. No se usa al instalar el escenario de Enterprise Management Server.
Empresa:CLIENT_CERTIFICATE_FULLPATH
No se admite. No se admite.
Empresa:ENTERPRISE_DESCR
Describe la empresa.Valor predeterminado: vacío.
Opcional al instalar el escenario de Enterprise Management Server.
Empresa:ENTERPRISE_MODE
Especifica si el servidor Enterprise Management Server es una empresa nueva o una réplica de un servidor Enterprise Management Server existente. Valores posibles: New o Replica. Valor predeterminado: New.
Opcional. Se usa al instalar Enterprise Management Server.
Empresa:ENTERPRISE_NAME
Especifica el nombre de la empresa.Valor predeterminado: Enterprise.
Opcional. Se usa al instalar Enterprise Management Server.
Empresa:HOST_ID
Especifica el identificador de host del miembro de matriz. Cada miembro de matriz debe tener un número de identificador de host diferente.Valor predeterminado: se asigna automáticamente.
Opcional. No se usa al instalar Enterprise Management Server.
INTRA_ARRAY_ADDRESS_IP Define la dirección IP que usan para la comunicación los equipos con Forefront TMG que están en la misma matriz. La dirección IP debe ser una dirección IP en el equipo con Forefront TMG.
Opcional. No se usa al instalar Enterprise Management Server.
SERVER_CERTIFICATE_FULLPATH Especifica qué certificado de servidor utilizar. Opcional al instalar lo siguiente:
Escenario de Enterprise Management Server.Servidor independiente.Se requiere en escenarios que
87
contienen grupos de trabajo o dominios que no son de confianza.
SERVER_CERTIFICATE_PASSWORD Especifica la contraseña para el certificado de servidor. Debe establecer SERVER_CERTIFICATE_PASSWORD cuando en SERVER_CERTIFICATE_FULLPATH se especifica un certificado cifrado.
Opcional al instalar lo siguiente:
Escenario de Enterprise Management Server.Servidor independiente.Se requiere en escenarios que contienen grupos de trabajo o dominios que no son de confianza.
STORAGESERVICE_ACCOUNT No es compatible No se admite.
STORAGESERVER_COMPUTERNAME Especifica el nombre de dominio completo (FQDN) del servidor Enterprise Management Server al que conectarse.
Un servidor Enterprise Management server de réplica (cuando ENTERPRISE_MODE está establecido en Replica).
STORAGESERVER_CONNECT_ACCOUNT Especifica el nombre de la cuenta de usuario que se utilizará para conectarse a STORAGESERVER_COMPUTERNAME. Valor predeterminado: la cuenta de usuario que tiene iniciada una sesión actualmente.
Opcional al instalar la réplica del servidor Enterprise Management Server.
STORAGESERVER_CONNECT_PWD Especifica, en texto simple, una contraseña para STORAGESERVER_CONNECT_ACCOUNT. Valor predeterminado: la contraseña del usuario que tiene iniciada una sesión actualmente.
Opcional al instalar la réplica del servidor Enterprise Management Server.
STORAGESERVICE_PWD No se admite. No se admite.
SUPPORT_EARLIER_CLIENTS Especifica si los clientes en los que se ejecutan versiones anteriores del cliente firewall o de sistemas operativos pueden conectarse a esta matriz de Forefront TMG. Valores posibles: 0 (valor predeterminado) o 1.
Opcional. No se usa al instalar el escenario de Enterprise Management Server.
Configuración de Forefront TMG para la implementación de grupos de trabajoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En el tema se describe cómo configurar Forefront TMG para una implementación de grupo de trabajo, después de una instalación de Forefront TMG. En una implementación de grupo de trabajo, debe instalar un certificado de autenticación de servidor en el equipo Forefront TMG para habilitar la comunicación entre el servidor de almacenamiento de configuración y los servidores Forefront TMG.Requisitos previos
Antes de comenzar, asegúrese de completar los pasos descritos en Preparación para la instalación en un entorno de grupo de trabajo. Para instalar un certificado de servidor de almacenamiento
1. En el árbol de la consola de Administración de Forefront TMG, haga clic en el nodo Sistema y, en el panel de detalles, haga clic en la ficha Servidores. 2. En la ficha Tareas, haga clic en Instalar certificado de servidor.3. Busque el certificado de servidor que creó al preparar el entorno de grupo de trabajo. Vea Creación de certificados.4. Compruebe que la casilla Crear automáticamente el certificado de entidad de certificación raíz en este administrador de matriz está activada.
Nota:
Otros servidores Forefront TMG en la matriz deben tener el certificado de entidad de certificación raíz emitido por la misma entidad que este certificado de servidor.
Instalación de un servidor Enterprise Management Server (EMS) para la administración centralizadaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El servidor Enterprise Management Server (EMS) de Forefront TMG le permite administrar las matrices de Forefront TMG de forma centralizada. Puede crear y actualizar directivas de empresa, y crear reglas de directivas que puede asignar entonces a las matrices de la empresa. El procedimiento siguiente describe cómo instalar un EMS para la administración centralizada.
Nota:
El equipo debe estar conectado a Internet durante el proceso de instalación.
Para instalar un servidor Enterprise Management Server (EMS) para la administración centralizada1. Inserte el DVD de Forefront TMG en la unidad de DVD o ejecute autorun.hta desde una unidad de red compartida. 2. En la página de instalación principal, haga clic en Ejecutar Windows Update. Windows Update podría requerir que el equipo se reinicie una o varias veces. Si el equipo
se reinicia, debe volver a iniciar la instalación, tal y como se describe en el paso 1.3. En la página de instalación principal, haga clic en Herramienta de preparación de la ejecución para iniciar la herramienta de preparación de Forefront TMG. Para
obtener instrucciones sobre cómo ejecutar la herramienta de preparation, vea Preparación de la instalación.4. En la página de instalación principal, haga clic en Ejecutar Asistente para la instalación para iniciar el Asistente para la instalación de Forefront TMG.5. En la página Escenarios de instalación, haga clic en Enterprise Management Server para la administración centralizada de matrices.
88
6. En la página Ruta de instalación, especifique la ruta de instalación de Forefront TMG.7. En la página Configuración de Enterprise Management Server: Haga clic en Crear una nueva configuración de empresa en este EMS para crear directivas nuevas de empresa y reglas de directivas para esta instalación de EMS.
Haga clic en Copiar una configuración de empresa existente en este EMS para duplicar la configuración de empresa de un EMS existente en este equipo. La configuración copiada incluye las directivas de empresa y la configuración de las matrices de la empresa.
8. Si seleccionó Crear una nueva configuración de empresa en este EMS, en la página Crear nueva empresa, escriba el nombre de la empresa en el cuadro Nombre de empresa y una breve descripción de la empresa en el cuadro Descripción.
9. Si seleccionó Copiar una configuración de empresa existente en este EMS, en la página Buscar servidor de Almacenamiento de configuración, escriba el nombre de dominio completo (FQDN) del EMS de donde copiar la configuración de empresa y, a continuación, seleccione qué cuenta de usuario se utilizará al conectarse al servidor de almacenamiento de configuración.
Importante:
Antes de copiar la configuración de empresa de un EMS existente, en este debe agregar el nuevo equipo EMS a Replicar servidores de almacenamiento de configuración en Conjuntos de equipos de Objetos de red.
10. En la página Origen de réplica de configuración de Forefront TMG:1. Haga clic en Replicar a través de la red para copiar la configuración a través de la red.2. Haga clic en Copiar de los archivos de copia de seguridad restaurados para copiar la configuración de una carpeta de copia de
seguridad.11. En la página Entorno de implementación de empresa, seleccione el tipo de miembros de la implementación de empresa de Forefront TMG.
1. Haga clic en Única implementación de dominio si los equipos de empresa están en el mismo dominio.2. Haga clic en Implementación de grupo de trabajo si los equipos de empresa residen en un grupo de trabajo. Debe instalar un
certificado de servidor. Para obtener más detalles sobre cómo instalar los certificados de servidor, vea Creación de certificados12. En la página final, puede seleccionar abrir la consola de Administración de Forefront TMG inmediatamente.
Configuración de matrices en EMS para la implementación de grupos de trabajoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar las matrices en una empresa para una implementación de grupo de trabajo:
Configuración de la autenticación para las matrices de un grupo de trabajo: describe cómo configurar el tipo de autenticación para un entorno de grupo de trabajo, de modo que los equipos de Forefront TMG de la matriz puedan conectarse al servidor de almacenamiento de la configuración.
Asignación de roles a los usuarios: describe cómo asignar roles a los usuarios en la matriz.Configuración de la autenticación para las matrices en una implementación de grupo de trabajo
Para configurar la autenticación para un grupo de trabajo en la matriz de la empresa1. En el nombre de la matriz, en la consola de Administración de Forefront TMG, en la ficha Tareas, haga clic en Configurar propiedades de matriz.2. Haga clic en la ficha Almacenamiento de configuración y, a continuación, haga clic en Seleccionar.3. Haga clic en Autenticación a través de canal cifrado de SSL.
Importante:
Debe haber instalado un certificado digital en el servidor de almacenamiento de la configuración para permitir la autenticación a los equipos de Forefront TMG en la matriz.
Asignación de roles a los usuarios
Para asignar los roles a los usuarios en la matriz1. En el nombre de la matriz, en la consola de Administración de Forefront TMG, en la ficha Tareas, haga clic en Configurar propiedades de matriz.2. Haga clic en la ficha Asignar roles.3. Agregue los usuarios y grupos que pueden supervisar la matriz y, a continuación, agregue a los usuarios con cuentas reflejadas que creó para los equipos de
Forefront TMG en el grupo de trabajo. Para obtener más información sobre cuentas de usuario, vea Creación de cuentas de usuario.
Nota:
No puede agregar a los usuarios con cuentas reflejadas a menos que haya configurado el tipo de autenticación, utilizado para las conexiones entre los equipos de Forefront TMG en la matriz y el servidor de almacenamiento de configuración, como Autenticación a través de canal cifrado de SSL.
Instalación de la consola de administración para tareas de administración remotaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo instalar la consola de administración de Forefront TMG para administrar de manera remota los servidores de Forefront TMG que se encuentran instalados en otros equipos. Antes de comenzar la instalación, se recomienda que lea la sección "Escenarios de instalación" del tema Planeación para instalar Forefront TMG.
Nota:
El equipo debe estar conectado a Internet durante el proceso de instalación.El DVD de Forefront TMG instala la versión de 64 bits. También hay una versión de 32 bits disponible para la descarga (http://go.microsoft.com/fwlink/?LinkId=179755).
Para instalar Forefront Threat Management Gateway Management
1. Inserte el DVD de Forefront TMG en la unidad de DVD o ejecute autorun.hta desde la unidad de red compartida. 2. En la página de instalación principal, haga clic en Ejecutar asistente de instalación. 3. En la página Tipo de instalación, seleccione Solo Administración de Forefront TMG.
89
4. En la página Ruta de instalación, puede cambiar la ruta de instalación predeterminada.5. En la página Listo para instalar el programa, haga clic en Instalar.6. Una vez completada la instalación, si desea abrir Administración de Forefront TMG, seleccione Iniciar la Administración de Forefront TMG cuando se cierre el
asistente.Desinstalación de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Al desinstalar Forefront TMG, se quita el servidor de la matriz, desaparecen las instancias de la base de datos de SQL Server para los informes y los registros, y se quita la configuración almacenada. Así pues, tal vez desee hacer una copia de seguridad de la configuración antes de proceder a la desinstalación. Para obtener más información, vea Realizar copias de seguridad y restaurar la configuración de Forefront TMG. Los programas instalados como requisito previo no se desinstalan.. Para obtener más información, vea Preparación de la instalación.Para desinstalar Forefront TMG de un servidor, haga lo siguiente:Para desinstalar Forefront TMG.
1. Haga clic en Inicio y, a continuación, en Panel de control.2. Haga doble clic en Programas y características.3. Haga clic en Microsoft Forefront Threat Management Gateway y, a continuación, haga clic en el botón Desinstalar/Cambiar.
Nota:
Los roles y características de Windows que se instalan durante la instalación de Forefront TMG no se desinstalan al desinstalar Forefront TMG. Si es necesario, desinstálelos manualmente tras desinstalar Forefront TMG del servidor.
Instalación de Forefront TMG en un controlador de dominioEn esta sección se proporcionan instrucciones acerca de cómo instalar Forefront TMG en un controlador de dominio de solo lectura (RODC). La instalación de Forefront TMG en un RODC es distinta de la instalación típica de Forefront TMG y también lo es de una instalación típica de un RODC. Para instalar Forefront TMG en un RODC, debe completar las siguientes tareas de alto nivel:
1. Preparar el controlador de dominio de oficina principal, que incluye las siguientes tareas:a. Crear una nueva cuenta de sucursal en Servicios de dominio de Active Directory (AD DS).b. Crear previamente una cuenta RODC en AD DS.
Nota:
Estas cuentas deben incluir los grupos de seguridad Forefront TMG (¿o se debe usar el término de grupos de "Directiva de replicación de contraseña"?).
2. Conectar el servidor de sucursal a la cuenta de RODC.3. Instalar Forefront TMG SP1 mediante una instalación integrada.
En estas instrucciones se describe cómo realizar una instalación por fases de un RODC, en la que la instalación se completa en dos fases por personas distintas. La primera fase de la instalación, que requiere credenciales administrativas de dominio, crea una cuenta para el RODC en AD DS. La segunda fase de la instalación adjunta el servidor real que será el RODC en una ubicación remota, como una sucursal, para la cuenta que se ha creado previamente para él. Puede delegar la capacidad de adjuntar el servidor para la cuenta a un grupo o usuario no administrativo en la ubicación remota.
Importante:
El servidor que se convertirá en el RODC no se unirá al dominio antes de que intente adjuntarlo a la cuenta del RODC. Como parte de la instalación, el asistente detecta automáticamente si el nombre del servidor coincide con los nombres de cualquier cuenta de RODC que se haya creado por adelantado para el dominio. Cuando el asistente encuentra un nombre de cuenta coincidente, solicita al usuario que use dicha cuenta para completar la instalación de RODC. Puede usar el complemento Usuarios y equipos de Active Directory para crear una cuenta de RODC.
Para obtener más información acerca de los controladores de dominio de solo lectura, vea Guía de planeación e implementación de controladores de dominio de solo lectura (puede estar en inglés) (http://go.microsoft.com/fwlink/?LinkID=160576) y para obtener información específica de la instalación de RODC por fases, vea Realizar una instalación de RODC por fases (puede estar en inglés) (http://go.microsoft.com/fwlink/?LinkID=196009). En los siguientes temas se proporciona información para la instalación de Forefront TMG en un RODC:
Preparación del controlador de dominio de oficina principal
Preparación del RODC
Instalación de Forefront TMG en el RODCPreparación del controlador de dominio de oficina principalEn los procedimientos siguientes se describe cómo configurar un controlador de dominio de oficina principal que ejecute Servicios de dominio de Active Directory (AD DS) para funcionar con los controladores de dominio de solo lectura (RODC) que se encuentran en las sucursales. En este tema se supone que tiene un controlador de dominio configurado para la organización.
Ensure that the forest functional level is Windows Server 2003 or higher
Run adprep /rodcprep
Install a writable domain controller that runs Windows Server 2008
Create the branch accounts on the HQ DC
Pre-create RODC accounts Asegúrese de que el nivel funcional del bosque es Windows Server 2008 o superior
Cualquier usuario de dominio puede comprobar que el nivel funcional del bosque actual es Windows Server 2008 o superior. Para elevar el nivel funcional del bosque, debe ser miembro del grupo Admins. del dominio en el dominio raíz del bosque o un miembro del grupo Administradores de empresas.Para asegurarse de que el nivel funcional del bosque es Windows Server 2008 o superior
1. Abra Dominios y confianzas de Active Directory.
90
2. En el árbol de la consola, haga clic con el botón secundario del mouse en el nombre del bosque y, a continuación, haga clic en Propiedades.3. En Nivel funcional del bosque, compruebe que el valor es Windows Server 2008.4. Si es necesario elevar el nivel funcional del bosque, en el árbol de la consola, haga clic con el botón secundario del mouse en Dominios y confianzas de Active Directory y, a
continuación, haga clic en Elevar el nivel funcional del bosque.5. En Seleccione un nivel funcional del bosque disponible, haga clic en Windows Server 2008 y, a continuación, en Elevar.
Ejecución de adprep /rodcprep
En este paso se actualizan los permisos en todas las particiones de directorio de aplicaciones DNS en el bosque. Esto les permite replicarse correctamente mediante todos los RODC que también son servidores DNS. Para ejecutar adprep /rodcprep, debe ser miembro del grupo Administradores de empresas.
Nota:
No tiene que realizar este paso si está creando un nuevo bosque que solo tendrá controladores de dominio que ejecuten Windows Server 2008.Para obtener más información acerca de este comando, vea Ejecución de Adprep.exe (puede estar en inglés) (http://go.microsoft.com/fwlink/?LinkID=142597).
Para ejecutar adprep /rodcprep1. Inicie sesión en un controlador de dominio como miembro del grupo Administradores de empresas. 2. Realice una de las acciones siguientes: Para Windows Server 2008, copie el contenido de la carpeta \sources\adprep del DVD de instalación de Windows Server 2008 en el maestro de esquema.
Para Windows Server 2008 R2, copie el contenido de la carpeta \support\adprep del DVD de instalación de Windows Server 2008 R2.3. Abra un símbolo del sistema, cambie a la carpeta adprep, escriba el siguiente comando y, a continuación, presione Entrar:
adprep /rodcprepInstalación de un controlador de dominio de escritura que ejecuta Windows Server 2008
Un RODC debe replicar las actualizaciones de dominio desde un controlador de dominio de escritura que ejecuta Windows Server 2008 o Windows Server 2008 R2. Antes de instalar un RODC, asegúrese de instalar un controlador de dominio de escritura que ejecuta Windows Server 2008 o Windows Server 2008 R2 en el mismo dominio. El controlador de dominio puede ejecutar una instalación completa o una instalación Server Core de cualquier versión de Windows Server. En cualquiera de las versiones, no es necesario que el controlador de dominio de escritura contenga el rol de maestro de operaciones de emulador de controlador de dominio principal (PDC). Para obtener más información y procedimientos paso a paso para instalar un controlador de dominio de escritura que ejecute Windows Server 2008, vea la guía paso a paso para la instalación y eliminación de Servicios de dominio de Active Directory de Windows Server (http://go.microsoft.com/fwlink/?LinkId=86716).Creación de las cuentas de sucursal en el controlador de dominio de oficina principal
Use el script PrepareBranch.cmd para crear:
Una unidad organizativa para la nueva sucursal en el dominio.
Una cuenta de usuario administrativo para la administración de sucursales.
Siete grupos de seguridad para SQL Server y servidor de informes de Forefront TMG.
Advertencia:
En concreto, se debe prestar atención especial al uso de los nombres exactos de todas las cuentas de usuario administrativo en el RODC. Un error ortográfico producirá (¿qué?).
Para crear las cuentas de sucursal en el controlador de dominio de oficina principal1. En el controlador de dominio de oficina principal, cree un nuevo directorio (por ejemplo, c:\rodc).2. Copie el texto siguiente en el Portapapeles.
Copiar código @echo off REM Este script agrega una unidad organizativa para la nueva oficina en el dominio, REM agrega grupos de seguridad para SQL Server e informes de TMG SQL REM y crea un usuario para la administración de sucursales
if [%2]==[] goto :usage
set SQLserverName=%1&rem set OrganizationUnitTree=%~2&rem set password=*&rem if NOT [%3]==[] set password=%3&rem
REM Crear la unidad organizativa para la sucursal si no se ha creado :VerifyOrCreateOU dsquery ou | findstr %OrganizationUnitTree% || ( echo No se encontró el árbol de unidades organizativas %OrganizationUnitTree% echo Se creará %OrganizationUnitTree% en 10 segundos echo *** Si no desea crear %OrganizationUnitTree% echo *** Presione Ctrl-C AHORA. timeout /t 10 Echo Creando %OrganizationUnitTree% dsadd ou %OrganizationUnitTree% || goto :OUError goto :VerifyOrCreateOU )
call :AddSecurityGroup "CN=SQLServer2005SQLBrowserUser$%SQLserverName%,%OrganizationUnitTree%" "Grupo para SQL Server Browser en SQL Server 2008." call :AddSecurityGroup "CN=SQLServerMSSQLServerADHelperUser$%SQLserverName%,%OrganizationUnitTree%" "Grupo para Servicio auxiliar de Active Directory de SQL Server en SQL Server 2008." call :AddSecurityGroup "CN=SQLServerMSSQLUser$%SQLserverName%$ISARS,%OrganizationUnitTree%" "Grupo para SQL Server." call :AddSecurityGroup "CN=SQLServerMSSQLUser$%SQLserverName%$MSFW,%OrganizationUnitTree%" "Grupo para SQL Server." call :AddSecurityGroup "CN=SQLServerReportServerUser$%SQLserverName%$MSRS10.ISARS,%OrganizationUnitTree%" "Grupo para SQL Server Reporting Services en SQL Server 2008." call :AddSecurityGroup "CN=SQLServerSQLAgentUser$%SQLserverName%$ISARS,%OrganizationUnitTree%" "Grupo para Agente SQL Server." call :AddSecurityGroup "CN=SQLServerSQLAgentUser$%SQLserverName%$MSFW,%OrganizationUnitTree%" "Grupo para Agente SQL Server." echo. echo Se crearon estos grupos: echo. dsquery group -name *%SQLserverName%* echo. dsadd user "CN=%SQLserverName%Admin,%OrganizationUnitTree%" -pwd %password% dsquery user "%OrganizationUnitTree%" exit /b 0
:AddSecurityGroup REM Crear grupo de seguridad en el ámbito global de controlador de dominio para SQL set SQLgroupName=%1&rem set Description=%2&rem dsadd group %SQLgroupName% -secgrp yes -scope g -desc %Description% || ( echo --- No se pudo crear el grupo %SQLgroupName% exit /b ) exit /b 0
:usage echo Agregar al dominio un grupo de seguridad para TMG en RODC echo. echo Uso: %0 ^<Nombre de servidor^> ^<Árbol de unidades organizativas^> [contraseña] echo. echo Nombre de servidor: El nombre del RODC echo Árbol de unidades organizativas: En formato DS "OU=unidad organizativa1,OU=unidad
91
organizativa2,DC=nombre del controlador de dominio,DC=nombre del controlador de dominio" echo contraseña: contraseña opcional para el usuario administrativo de sucursales echo Ejemplo: %0 B4-RODC "OU=Sucursal4,OU=Sucursales,DC=YRHQ,DC=Local" p@$$w0rd echo Sugerencia : Ejecute "dsquery ou" para obtener una lista de los ^<árboles de unidades organizativas^> echo. exit /b
:OUError echo. echo Error %errorlevel% echo No se puede crear la unidad organizativa %OrganizationUnitTree% echo porque no se puede encontrar la unidad organizativa de contenido. exit /b
3. Abra el Bloc de notas y pegue el texto. Guarde el archivo como PrepareBranch.cmd.4. En el símbolo del sistema con privilegios elevados, escriba dsquery ou y presione Entrar. Registre la sintaxis de la unidad organizativa, que debe ser similar a la siguiente:
"OU=Branches,DC=DC1,DC=DC2".5. Ejecute el comando PrepareBranch con la siguiente sintaxis:
c:\rodc\PrepareBranch.cmd<nombre del servidor RODC> “OU=<nombre de la sucursal que va a crear>,OU=<sucursal principal>,DC=(nombre de CD1),DC=(nombre de CD2)" [contraseña de administrador de sucursales de RODC].
Sugerencia:
Por ejemplo, PrepareBranch.cmd "OU=B1,OU=Branches,DC=DC1,DC=DC2" [Pa$$word1].Si está creando múltiples sucursales, se recomienda crear un patrón estandarizado para todas ellas. De este modo se reducirá la probabilidad de errores al modificar el archivo de respuesta para cada sucursal.
El comando PrepareBranch prepara la nueva sucursal en AD DS y agrega la cuenta del administrador de RODC y los siete grupos de seguridad. Ejecute este comando por cada sucursal con un RODC.
Nota:
Los siguientes grupos de seguridad y usuario administrativo se crean y usan para la replicación en el RODC (donde <Nombre de servidor de RODC> es el nombre del servidor de RODC):
<Nombre de servidor de RODC>AdminSQLServer2005SQLBrowserUser$<Nombre de servidor de RODC>SQLServerMSSQLServerADHelperUser$<Nombre de servidor de RODC>SQLServerMSSQLUser$<Nombre de servidor de RODC>$ISARSSQLServerMSSQLUser$<Nombre de servidor de RODC>$MSFWSQLServerReportServerUser$<Nombre de servidor de RODC>$MSRS10.ISARSSQLServerSQLAgentUser$<Nombre de servidor de RODC>$ISARSSQLServerSQLAgentUser$<Nombre de servidor de RODC>$MSFW
Importante:
Al configurar el equipo de servidor de sucursal, asegúrese de usar el nombre exacto que especifique aquí.
Creación previa de cuentas RODC
La creación previa de una cuenta de sucursal RODC en Active Directory habilita al servidor de la sucursal para adjuntar la cuenta. Puede usar el Asistente para la instalación de los Servicios de dominio de Active Directory para la creación previa de una sola cuenta de servidor de RODC o para generar un archivo de respuesta con la configuración de la sucursal, con el que puede optimizar la creación de múltiples cuentas.Para crear previamente cuentas de RODC
1. Haga clic en Inicio, en Herramientas administrativas y, a continuación, en Usuarios y equipos de Active Directory.2. Si no proporcionó una cuenta al ejecutar PrepareBranch.cmd, navegue a la unidad organizativa que creó en el procedimiento anterior (normalmente en Sucursales), haga clic
con el botón secundario del mouse en la cuenta de administrador y haga clic en Restablecer contraseña para establecer una contraseña y habilitar una nueva cuenta de administrador.
3. Haga clic con el botón secundario del mouse en Controladores de dominio y seleccione Crear previamente una cuenta de controlador de dominio de sólo lectura.4. En la página Asistente para la instalación de los Servicios de dominio de Active Directory, seleccione Usar la instalación en modo avanzado y, a continuación, haga clic en
Siguiente.5. En la página Credenciales de red, en Especifique las credenciales de cuenta que se usarán para la instalación, haga clic en Mis credenciales de inicio de sesión actuales [...\
administrador] y, a continuación, en Siguiente.6. En la página Compatibilidad de sistema operativo, consulte la advertencia acerca de la configuración de seguridad predeterminada para los controladores de dominio de
Windows Server 2008 y Windows Server 2008 R2; a continuación, haga clic en Siguiente.7. En la página Credenciales de red, en Especifique las credenciales de cuenta que se usarán para la instalación, haga clic en Mis credenciales de inicio de sesión actuales o en
Credenciales alternativas y, a continuación, en Establecer En el cuadro de diálogo Seguridad de Windows, proporcione el nombre de usuario y la contraseña para una cuenta que pueda instalar el controlador de dominio adicional. Para instalar un controlador de dominio adicional, debe ser miembro del grupo Administradores de empresas o del grupo Admins. del dominio. Cuando termine de proporcionar credenciales, haga clic en Siguiente.
8. En la página Especifique el nombre del equipo, escriba el nombre de equipo del servidor que será el RODC y, a continuación, haga clic en Siguiente.
Precaución:
El nombre debe ser idéntico al que proporcionó al ejecutar PrepareBranch.cmd.
9. En la página Seleccionar sitio en el sitio de Active Directory correspondiente al RODC y, a continuación, haga clic en Siguiente.10. En la página Opciones adicionales del controlador de dominio, asegúrese de que todas las casillas están activadas (lo están de forma predeterminada) y, a continuación, haga
clic en Siguiente.11. En Especificar la directiva de replicación de contraseñas, haga clic en Agregar.12. Haga clic en Permitir la replicación en este RODC de contraseñas de la cuenta.13. Haga clic en Opciones avanzadas y, a continuación, en Buscar ahora para mostrar las cuentas.14. Mantenga presionada la tecla Ctrl y haga clic en las cuentas que creó el script (un usuario administrador y 7 grupos) y, a continuación, haga clic en Aceptar dos veces.
92
Nota:
Por ejemplo:
B2-RODCAdminSQLServer2005SQLBrowserUser$B2-RODCSQLServerMSSQLServerADHelperUser$B2-RODCSQLServerMSSQLUser$B2-RODC$ISARSSQLServerMSSQLUser$B2-RODC$MSFWSQLServerReportServerUser$B2-RODC$MSRS10.ISARSSQLServerSQLAgentUser$B2-RODC$ISARSSQLServerSQLAgentUser$B2-RODC$MSFW
Compruebe que ha seleccionado la cuenta de administrador y los grupos de seguridad correctos y, a continuación, haga clic en Siguiente.15. En la página Delegación de instalación y administración de RODC, escriba el nombre del usuario administrador de RODC de la sucursal.
Sugerencia:
Puede hacer clic en Establecer, Opciones avanzadas y Buscar ahora para seleccionar la cuenta de usuario y evitar errores de ortografía.
16. Si únicamente está preparando una sola sucursal, haga clic en Siguiente dos veces y, a continuación, en Finalizar. Este usuario podrá adjuntar un servidor a la cuenta de RODC y completar la instalación de RODC.
17. Si está preparando varias sucursales, puede hacer lo siguiente:
a. Haga clic en Exportar configuración para generar un archivo de respuesta dcpromo. Escriba un nombre para el archivo de respuesta y, a continuación,
haga clic en Guardarb. Cancele el asistente.
c. Abra el archivo de respuesta dcpromo en un editor de textos y copie la sintaxis de comando que se encuentra en Uso.
Por ejemplo, Dcpromo.exe /CreateDCAccount /ReplicaDomainDNSName:YRHQ.Local /unattend:C:\RODC \PreCreateRODC_<filename.txt>d. En el símbolo del sistema, pegue la sintaxis y presione Entrar para crear la cuenta de RODC para la sucursal que acaba de configurar.
e. Por cada sucursal adicional, modifique el archivo de respuesta según los aspectos específicos de dicha sucursal. Deberá reemplazar lo siguiente con
los datos específicos de cada sucursal: DCAccountName
DelegatedAdmin
Cualquier línea que incluya el nombre de servidor de RODC.
Por ejemplo, suponga que el archivo de respuesta inicial hace referencia a DCAccountName como “B2-RODC” y que desea modificar el archivo para crear previamente una sucursal denominada B3-RODC. En la mayoría de los casos una simple operación de buscar y reemplazar se ocupará de todas las líneas que se deben modificar.Pasos siguientes
El siguiente paso es comenzar a configurar los servidores de sucursal. Vea Preparación del RODC para obtener información acerca de la instalación de Windows Server 2008 R2 (si todavía no lo ha hecho) y la configuración del servidor para que funcione como un RODC.
Preparación del RODCEn este procedimiento se describe cómo configurar el servidor de sucursal para funcionar como un controlador de dominio de solo lectura (RODC). Para preparar un servidor de RODC
1. Instale Windows Server 2008 o Windows Server 2008 R2 en el servidor de sucursal.2. Inicie sesión en el servidor con credenciales de administrador local.3. Compruebe que dispone de conectividad de red para el controlador de dominio de oficina principal y que ha configurado el DNS del servidor de sucursal en dicho
controlador.4. En el símbolo del sistema, escriba dcpromo y, a continuación, presione Entrar para iniciar el Asistente de Servicios de dominio de Active Directory.5. En la página Elegir una configuración de implementación, haga clic en Bosque existente, Agregar un controlador de dominio a un dominio existente y, a continuación, en
Siguiente.6. En la página Credenciales de red, escriba el nombre de un dominio en el bosque donde planea instalar el RODC. Si es necesario, escriba también un nombre de usuario y una
contraseña para un miembro del grupo Admins. del dominio y, a continuación, haga clic en Siguiente.7. Seleccione el dominio para el RODC y, a continuación, haga clic en Siguiente.8. Haga clic en el sitio de Active Directory correspondiente al RODC y, a continuación, haga clic en Siguiente.9. Active la casilla Controlador de dominio de sólo lectura. De forma predeterminada, la casilla Servidor DNS también está activada.10. Después de escribir el nombre de equipo, aparece una advertencia que indica que el equipo tiene un perfil de RODC. Esto es correcto, ya que indica que la preparación del
controlador de dominio de oficina principal se ha realizado correctamente. Acepte la advertencia y continúe.11. En la página Instalar desde el medio, seleccione Replicar los datos a través de la red desde un controlador de dominio existente y haga clic en Siguiente.12. En la página Controlador de dominio de origen, seleccione un controlador de dominio o deje que el asistente elija un controlador de dominio adecuado y, a continuación,
haga clic en Siguiente.13. Para usar las carpetas predeterminadas que están especificadas para la base de datos de Active Directory, los archivos de registro y SYSVOL, haga clic en Siguiente. 14. Escriba y, a continuación, confirme la contraseña de Modo de restauración de servicios de directorio y, a continuación, haga clic en Siguiente.15. Confirme la información que aparece en la página de resumen y, a continuación, haga clic en Siguiente para iniciar la instalación de AD DS. Puede activar la casilla
Reiniciar al completar para que el resto de la instalación se complete automáticamente.16. Si está preparando varias sucursales, haga lo siguiente:a. Haga clic en Exportar configuración para generar un archivo de respuesta dcpromo. Escriba un nombre para el archivo de respuesta y, a continuación, haga clic en Guardar. b. Cancele el asistente.
93
c. En el símbolo del sistema, escriba el comando que aparece después de la línea Uso: en el archivo de respuesta dcpromo.
Nota:
Por ejemplo: dcpromo.exe /UseExistingAccount:Attach /unattend:C:\Users\Administrator\Desktop\RODC-Dcpro.txt
d. Por cada sucursal, modifique el archivo RODC-Dcpro.txt según los datos específicos de dicha sucursal (es posible que deba cambiar los valores de UserName, Password y SafeModeAdminPassword).
17. Reinicie el servidor. 18. El servidor inicia sesión automáticamente con la cuenta de administrador de dominio. Cierre la sesión e iníciela con la cuenta de usuario de sucursal.
Importante:
Después de instalar el primer RODC en el dominio, deje que transcurra tiempo suficiente para que los nuevos grupos Directiva de replicación de contraseñas se repliquen en otros controladores de dominio antes de intentar instalar RODC adicionales. De este modo se contribuye a prevenir los errores que se puedan producir durante la instalación de RODC si los grupos no están disponibles en el controlador de dominio de origen.
Pasos siguientes
El siguiente paso es instalar Forefront TMG SP1 en el servidor de sucursal. Vea Instalación de Forefront TMG en un controlador de dominio para obtener los detalles de configuración. Instalación de Forefront TMG en el RODCEn este procedimiento se describe cómo instalar y configurar Forefront TMG SP1 en un controlador de dominio de solo lectura (RODC).Instalación de Forefront TMG SP1 en un controlador de dominio de solo lectura
1. Ejecute lo siguiente desde un símbolo del sistema con privilegios elevados:ServerManagerCmd.exe -inputpath ^<ruta_de_acceso_de_DVD^>\FPC\PreRequisiteInstallerFiles\WinRolesInstallSA_Win7.xml -logPath C:\Windows\TEMP\TMG-Prerequisites.log
2. Prepare un DVD de instalación integrada de Forefront TMG SP1 mediante los siguientes pasos:a. Copie el DVD de Forefront TMG y el archivo MSP de Forefront TMG SP1 en una unidad local del equipo de destino. Para la finalidad de este ejemplo, se supone que es c:\
temp\TMG.b. En el símbolo del sistema, escriba el siguiente comando y presione Entrar.
msiexec /a c:\temp\TMG\FPC\MS_FPC_SERVER.msi /p TMG-KB981324-amd64-ENU.msp /qb /L*v c:\tmg\log.txt
Cuando se complete la operación, tendrá una instalación completa de Forefront TMG ya actualizado a Service Pack 1.3. Ejecute el programa de instalación actualizado; para ello, escriba c:\temp\TMG\FPC\setup.exe en el símbolo del sistema y presione Entrar.4. Defina la red interna para incluir las subredes de sucursal y complete la instalación. La instalación de Forefront TMG identifica automáticamente que se está ejecutando en
un controlador de dominio y habilita la directiva de sistema que permite el tráfico de controlador de dominio desde la red interna al servidor de Forefront TMG, así como de los controladores de dominio de oficina principal (si se encuentran fuera de la red interna). Vea en la tabla siguiente una lista de los protocolos permitidos.
5. Los equipos de la red interna requieren conectividad con los controladores de dominio de oficina principal. Si Forefront TMG funciona como una puerta de enlace de red entre la red interna y los controladores de dominio de oficina principal, cree una regla de acceso a directiva que permita:
Nombre: Permitir acceso de servicios de directorio desde la red interna a los controladores de dominio de oficina principal De: red interna Para: conjunto de equipos de controladores de dominio (creado automáticamente durante la instalación) Protocolos: todos los protocolos de la tabla siguiente
Protocolo Puerto Función
LDAP 389 LDAP para consultas de ADNombre de la regla: Permitir el acceso a servicios de directorio en Forefront TMG
LDAP (UDP) 389
LDAPS 636
LDAP GC 3268
LDAPS GC 3269
Kerberos-Sec (TCP) 88 AutenticaciónNombre de la regla: Permitir la autenticación de Kerberos en Forefront TMG
Kerberos-Sec (UDP) 88
Contraseña de Kerberos V5 464
CIFS de Microsoft (TCP)CIFS de Microsoft (UDP)
445 Descarga de directiva de grupo para equipos de sucursalNombre de la regla: Servicios de autenticación: permitir Microsoft CIFS en Forefront TMG
RPC 135 NetlogonNombre de la regla: Servicios de autenticación: permitir RPC en Forefront TMG
DNS 53 DNS para equipos de sucursalNombre de la regla: Permitir DNS en Forefront TMG
Usuarios: todos los usuarios
94
Importante:
Asegúrese de que la puerta de enlace predeterminada de los equipos cliente es el servidor de Forefront TMG.
6. Cada cuenta de sucursal (usuario o equipo) que se una al dominio debe tener su propia contraseña replicada en el RODC para propósitos de autenticación. Para replicar la contraseña, complete los siguientes pasos en el controlador de dominio de oficina principal:
a. En Usuarios y equipos de Active Directory, seleccione la sucursal Controladores de dominio, haga clic con el botón secundario del mouse en el RODC y seleccione Propiedades.
b. Haga clic en la pestaña Directiva de replicación de contraseñas y, a continuación, en Agregar.c. Active Permitir la replicación en este RODC de contraseñas de la cuenta, seleccione todos los usuarios locales pertinentes para esta sucursal y, a continuación, haga clic en
Aceptar. d. En la página Propiedades de RODC, haga clic en Opciones avanzadas y compruebe que las cuentas de usuario que ha agregado aparecen en la lista de Cuentas cuyas
contraseñas están almacenadas en este controlador de dominio de sólo lectura.e. Active Directory debe completar la replicación de la información de usuario en el RODC para poder iniciar sesión con estas cuentas.
Instalación de Forefront TMG SP1Publicada: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo instalar y desinstalar Forefront TMG Service Pack 1 (SP1). Forefront TMG SP1 se puede instalar en una implementación de servidor único, o bien en una implementación de matriz o empresa. En las secciones siguientes se proporciona la información necesaria para la instalación del Service Pack y los distintos escenarios de implementación, así como los procedimientos para solucionar problemas y desinstalar Forefront TMG SP1:
Adquisición del Service Pack
Acerca de los Service Pack y las actualizaciones
Antes de la actualización
Instalación de Forefront TMG en un controlador de dominio de solo lectura
Actualización de una implementación de un solo servidor
Actualización de una implementación de matriz o empresa
Solución de problemas de instalación
Desinstalación de Forefront TMG SP1Adquisición del Service Pack
Forefront TMG SP1 se puede adquirir en dos puntos:
1. El Centro de descarga de Microsoft (http://go.microsoft.com/fwlink/?LinkID=193239).
Nota:
Para descargar el Service Pack en su equipo, haga clic en Guardar. Este paso es necesario para ejecutar la actualización con privilegios de administrador.El Service Pack está disponible en inglés y en otros 10 idiomas. Existe una versión de 64 bits y otra de 32 bits:La versión de 64 bits, para actualizar Forefront TMG, EMS o Administración remota en equipos de 64 bits, es TMG-KB981324-amd64-<idioma>.msp.La versión de 32 bits, para actualizar Administración remota en equipos de 32 bits, es TMG-KB981324-x86-<idioma>.msp.
2. Microsoft Update.Acerca de los Service Pack y las actualizaciones
Las actualizaciones y Service Pack de Forefront TMG son acumulativos. Un Service Pack para una versión concreta de Forefront TMG contiene todas las actualizaciones y revisiones de esa versión. Un Service Pack o una actualización acumulada se puede instalar en equipos que ejecuten la versión RTM de Forefront TMG o bien en equipos que ejecuten Forefront TMG con las revisiones o actualizaciones publicadas desde dicha versión RTM.Antes de instalar Forefront TMG SP1
Antes de comenzar la instalación, tenga en cuenta lo siguiente:
Cuando se actualiza un miembro de matriz (o un servidor independiente), los servicios de Forefront TMG se detienen y Forefront TMG entra en modo de bloqueo. Después de la instalación, los servicios se reinician automáticamente a menos que sea necesario reiniciar el sistema.
En un entorno mixto, en el que algunos miembros de la matriz se han actualizado a SP1 y otros no, los servidores que ejecutan la versión original de Forefront TMG 2010 (también conocidos como RTM) se siguen ejecutando con la misma directiva y no reciben actualizaciones de directiva. Por este motivo se recomienda limitar la duración del período de transición al SP1. Así mismo, tenga presente que los servidores RTM:
Procesan y registran el tráfico de la manera normal.
Producen datos para informes.
Se pueden supervisar desde la consola de administración de un miembro de la matriz con SP1, un servidor de Enterprise Management Server con SP1 o a través de la administración remota de SP1.
No muestran las matrices actualizadas o los miembros de matriz en la consola de administración.Instalación de Forefront TMG en un controlador de dominio de solo lectura
Una nueva característica de Forefront TMG SP1 es la posibilidad de instalar Forefront TMG en un controlador de dominio de solo lectura; este procedimiento de instalación se describe en el artículo Installing Forefront TMG on a domain controller.Actualización de una implementación de un solo servidor
Antes de la instalación, se recomienda que realice una copia de seguridad de la configuración de Forefront TMG y guarde dicha configuración en una ubicación segura. Para obtener más información, vea Realizar copias de seguridad y restaurar la configuración de Forefront TMG.
95
Nota:
Asegúrese de que el equipo que ejecuta Forefront TMG tenga instaladas las últimas actualizaciones de Windows.
Para instalar Forefront TMG SP1 en una implementación de servidor único1. Si descargó el Service Pack desde el Centro de descarga de Microsoft, realice el procedimiento siguiente:a. Presione la tecla MAYÚS y haga clic con el botón secundario en el archivo .MSP; a continuación, seleccione Copiar como ruta de acceso. b. Haga clic con el botón secundario en el icono del símbolo del sistema y, a continuación, seleccione Ejecutar como administrador.c. Haga clic con el botón secundario en la ventana del símbolo del sistema y seleccione Pegar.d. Siga las instrucciones del asistente.2. Si adquirió el Service Pack a través de Microsoft Update, haga clic en Instalar actualizaciones.3. Una vez completada la instalación, abra la consola de administración de Forefront TMG, haga clic en Ayuda y, a continuación, en Acerca de Forefront TMG. Si la
instalación se completa correctamente, el número de la versión de compilación será 7.0.8108.200.Actualización de una implementación de matriz o empresa
Estas instrucciones son pertinentes en caso de una matriz independiente o servidor de Enterprise Management Server (EMS). Al actualizar Forefront TMG a SP1, deben actualizarse cada uno de los siguientes elementos, si existen en la implementación:
Servidores de Enterprise Management Server (maestro y réplicas).
Administradores de matriz.
Miembros de matriz.Existen dos maneras de introducir el SP1 en una implementación:
Actualización en contexto: es el método más directo, que puede ser el más adecuado para las implementaciones de menor tamaño.
Actualización mediante clonación de matriz: cuando se prevé que la introducción del SP1 va a prolongarse durante más tiempo o si los clientes desean tomar precauciones adicionales, la creación de una matriz clonada permite mantener la capacidad de administración de los servidores RTM hasta que se complete la actualización de todos los miembros de la matriz. En las secciones siguientes se describe lo siguiente:
Notas acerca de la preinstalación
Orden de instalación
Pasos de instalación para servidores que usan equilibrio de carga
Instalación de Forefront TMG SP1 en una implementación de empresa
Notas acerca de la postinstalaciónNotas acerca de la preinstalaciónAntes de realizar la instalación, se recomienda lo siguiente:
1. Realizar una copia de seguridad de la configuración de la empresa. Para obtener más información, vea Realizar copias de seguridad y restaurar la configuración de la empresa.
2. Realizar una copia de seguridad de la configuración de Forefront TMG para cada miembro de la matriz. Para obtener más información, vea Realizar copias de seguridad y restaurar la configuración de Forefront TMG.
3. Guardar las configuraciones en una ubicación segura.Orden de instalaciónSe recomienda seguir el orden que se indica a continuación para instalar el Service Pack en equipos con Forefront TMG:
1. Instale el SP1 en el servidor de EMS maestro (o administrador de matriz).
Nota:
Antes de instalar las actualizaciones en Forefront TMG, debe iniciar sesión en el servidor de EMS con las mismas credenciales que se usaron para instalarlo durante la instalación inicial de Forefront TMG. Si se intenta instalar la actualización con una cuenta de administrador diferente, quizás no se pueda realizar la instalación. En ese caso, aparecerá el mensaje de error "El programa de instalación no pudo inicializar la configuración de Forefront TMG".Como alternativa a la instalación del Service Pack en contexto en el servidor de EMS, se puede crear un servidor de EMS clonado, como se indica a continuación:
1. Instale Forefront TMG RTM Enterprise Management en un equipo diferente.2. Importe la configuración de empresa guardada.3. Instale Forefront TMG SP1.4. Empiece a mover los servidores actualizados al servidor de EMS clonado tal y como se describe en el procedimiento siguiente.
2. Instale el SP1 en las réplicas del servidor de EMS.3. Instale el SP1 en los miembros de la matriz. Siga las instrucciones que correspondan a su implementación: En el caso de una actualización en contexto, para cada matriz, actualice primero el servidor de informes y, a continuación, los miembros de la matriz.
Si se trata de una actualización mediante clonación de matriz, lleve a cabo lo siguiente:
1. Cree una nueva matriz e importe la configuración previamente exportada.
Importante:
Cuando se importa una configuración de una copia de seguridad en el nivel de matriz para una matriz de varios servidores, aparece el mensaje Error al importarsolucionar este problema, vea Importación de una configuración RTM en matrices de varios servidores en las Notas de la versión de Forefront TMG 2010 SP1.
96
2. Para cada matriz, separe primero el servidor de informes de la matriz, instale Forefront TMG SP1 y, a continuación, únalo a la nueva matriz con SP1. Continúe el proceso con los demás miembros de la matriz.
Nota:
Para identificar el servidor de informes, en la consola de administración de Forefront TMG, haga clic en el nodo Registros e informes. En el panel de detalles, haga clic en la pestaña Informes. En la pestaña Tareas, haga clic en Configurar opciones de informes y, a continuación, haga clic en la pestaña Servidor de informes
Pasos de instalación para servidores que usan equilibrio de cargaSi el servidor usa equilibrio de carga de red (NLB) o cualquier otro mecanismo de equilibrio de carga, realice el procedimiento siguiente:
1. Quite el servidor de la configuración de equilibrio de carga.2. Purgue las conexiones existentes a las que atiende el servidor.3. Establezca nlb en "suspended" para impedir que el servidor se vuelva a unir automáticamente al reiniciar.4. Instale la actualización.5. Reinicie el servidor si es necesario.6. Inicie NLB en el servidor actualizado.
Instalación de Forefront TMG SP1 en una implementación de empresa
1. En cada equipo que desee actualizar, empiece la instalación de acuerdo con el método que haya utilizado para adquirir el Service Pack: Si descargó el Service Pack desde el Centro de descarga de Microsoft, realice el procedimiento siguiente:
1. Presione la tecla MAYÚS y haga clic con el botón secundario en el archivo .MSP; a continuación, seleccione Copiar como ruta de acceso.2. Haga clic con el botón secundario en el icono del símbolo del sistema y, a continuación, seleccione Ejecutar como administrador.3. Haga clic con el botón secundario en la ventana del símbolo del sistema y seleccione Pegar.4. Siga las instrucciones del asistente.
Si realiza la actualización a través de Microsoft Update, haga clic en Instalar actualizaciones.
Nota:
En una implementación de Forefront TMG Enterprise donde los miembros de la matriz de Forefront TMG estén instalados en modo de grupo de trabajo y el servidor de EMS sea parte de un dominio, no se podrá instalar Forefront TMG SP1 mediante el mecanismo de Microsoft Update. Este problema se debe a que no hay credenciales disponibles para obtener acceso al servidor de EMS. En este escenario, debe usar el archivo .MSP del Centro de descarga de Microsoft. Puede proporcionar las credenciales en el Asistente para la instalación, o bien escribir lo siguiente en un símbolo del sistema:msiexec /p TMG-KB981324-amd64-ENU.msp REINSTALL=all REINSTALLMODE=omus STORAGESERVER_CONNECT_ACCOUNT=mydomain\mydomainpermitteduser STORAGESERVER_CONNECT_PWD=mypwd /qb /l*v msilogfilename.logSi va a instalar una versión de Forefront TMG SP1 en un idioma distinto del inglés, utilice el código de idioma correspondiente en lugar de ENU.
2. Una vez completada la instalación, abra la consola de administración de Forefront TMG, haga clic en Ayuda y, a continuación, en Acerca de Forefront TMG. Si la instalación se completa correctamente, el número de la versión de compilación será 7.0.8108.200.Notas acerca de la postinstalación
1. Es posible que no se inicien los servicios de Forefront TMG después de instalar o quitar Forefront TMG SP1. Este problema puede producirse si el equipo que ejecuta los servicios no está sincronizado con el servidor de EMS. En este caso, use el nodo Supervisión de la consola de administración de Forefront TMG para reiniciar los servicios manualmente.
2. Es recomendable que realice una copia de seguridad de la configuración del SP1 después de completar la actualización. Para obtener más información, vea Realizar copias de seguridad y restaurar la configuración de Forefront TMG.
3. Si se conecta a una base de datos SQL remota, debe migrar la base de datos de registro al nuevo esquema. Para obtener instrucciones sobre cómo actualizar una base de datos SQL remota para Forefront TMG SP1, vea TechNet Wiki (http://social.technet.microsoft.com/wiki).
4. Si la implementación de Forefront TMG SP1 se encuentra en un grupo de trabajo, se requieren algunos pasos para habilitar la funcionalidad de informes de actividad de usuario. Para obtener información detallada, consulte “Informe de actividad de usuario” en Notas de la versión de Forefront TMG 2010 SP1Solución de problemas de instalación
De manera predeterminada, no se crea ningún registro al instalar Forefront TMG SP1. Puede especificar que se cree un registro durante la instalación. Después, este registro se puede usar junto con el soporte técnico y atención al cliente de Microsoft para solucionar problemas de instalación. El registro es de utilidad únicamente cuando se produce un error en la instalación. Si vuelve a realizar la instalación después de una instalación correcta, no se registra información útil. Para especificar que se cree un registro durante la instalación de Forefront TMG SP1, escriba lo siguiente en un símbolo del sistema:Msiexec /p TMG-KB981324-amd64-ENU.msp REINSTALL=ALL REINSTALLMODE=omus /l*vx! Logfile_Name.logLa sintaxis de este comando es la siguiente:
/p aplica la actualización. TMG-KB981324-amd64-ENU.msp es el nombre de archivo y la ubicación del Service Pack.
Nota:
-ENU indica que se trata del Service Pack para inglés. Forefront TMG está traducido a otros diez idiomas y el Service Pack traducido tiene un código de idioma diferente.
REINSTALL=ALL reinstala características ya instaladas. Use este comando junto con REINSTALLMODE para indicar el tipo de reinstalación. REINSTALL se escribe con todas las letras en mayúscula.
REINSTALLMODE=omus se usa con REINSTALL para especificar el tipo de reinstalación. REINSTALLMODE se escribe con todas las letras en mayúscula. La opción omus indica lo siguiente:
reinstala un archivo si no se encuentra o es de una versión anterior.
97
m reescribe las entradas del subárbol del Registro HKEY_LOCAL_MACHINE o del subárbol del Registro HKEY_CLASSES_ROOT. u reescribe las entradas del subárbol del Registro HKEY_CURRENT_USER o del subárbol del Registro HKEY_USERS. s reinstala todos los accesos directos y vuelve a almacenar en caché todos los iconos. /l activa el registro. *vx indica un carácter comodín que registra toda la información con salida detallada. Logfile_Name.log es el nombre del archivo de registro.De manera predeterminada, el archivo de registro se crea en la misma carpeta en la que se ejecuta el comando msiexec.También se puede examinar el visor de eventos en busca de información pertinente. Una vez completada la instalación, se indica mediante un evento si se realizó correctamente.Desinstalación de Forefront TMG SP1
Al desinstalar Forefront TMG SP1, se recomienda desinstalar el Service Pack de la implementación en el orden inverso al de instalación. En otras palabras, primero se desinstala de los miembros de la matriz, después del servidor de informes, a continuación de los administradores de la matriz y, por último, del servidor de EMS maestro y las réplicas. La desinstalación de Forefront TMG SP1 requiere los pasos siguientes:
Creación de los scripts de desinstalación Desinstalación del Service PackCreación de los scripts de desinstalaciónPara desinstalar el Service Pack, es necesario crear los siguientes scripts:
Uninstall-TMG-SP1.cmd: se ejecuta en el servidor de EMS, en el administrador de matriz y en cada miembro de la matriz o servidor independiente.
Nota:
Si el Control de cuentas de usuario está deshabilitado, no es necesario ejecutar este script. En su lugar, se puede desinstalar el SP1 a través del Panel de control.
waitforreload.vbs: se ejecuta en cada miembro de la matriz y servidor independiente.
fixsqlserverlogin.vbs: se ejecuta en cada miembro de la matriz y servidor independiente.Después de crear los scripts, siga las instrucciones del procedimiento Para desinstalar Forefront TMG SP1.Uninstall-TMG-SP1.cmdPara crear el script uninstall-tmg-sp1, realice los pasos siguientes:
1. Copie el texto siguiente en el Portapapeles.
@echo off SetLocal for /F "usebackq tokens=2,*" %%f in (`reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft Forefront Threat Management Gateway Service Pack 1" /v UninstallString 2^>NUL`) do set Uninstall_string=%%g if "%Uninstall_string%"=="" ( echo TMG SP1 no está instalado en este equipo. exit /b 1 )
set TEST_REGKEY=HKCR\TypeLib\{Uninstall-TMG-SP1-elevation-test} REG ADD %TEST_REGKEY% /f>nul 2>&1 IF ERRORLEVEL 1 ( echo Este script se debe ejecutar desde un símbolo del sistema con privilegios elevados. exit /b 1 ) REG DELETE %TEST_REGKEY% /f>nul 2>&1
set UNINSTALL_GEN=%temp%\Uninstall_TMG_SP1.cmd echo %Uninstall_string% %*> %UNINSTALL_GEN% call %UNINSTALL_GEN% del %UNINSTALL_GEN%
EndLocal
2. Abra el Bloc de notas y pegue el texto.3. Guarde el archivo como %temp%\Uninstall-TMG-SP1.cmd.
waitforreload.vbsPara crear el script waitforreload, realice los pasos siguientes:
1. Copie el texto siguiente en el Portapapeles.
set root = CreateObject("FPC.Root")
On Error Resume Next currStorageName = root.ConfigurationStorageServer On Error Goto 0
If len(currStorageName) = 0 Then wscript.echo "Escriba las credenciales para conectarse al almacenamiento de configuración." wscript.echo "Nombre de equipo del servidor de EMS o Administrador de la matriz:" ServerName = WScript.StdIn.ReadLine wscript.echo "Dominio:" DomainName = WScript.StdIn.ReadLine wscript.echo "Nombre de usuario:" UserName = WScript.StdIn.ReadLine wscript.echo "Contraseña:" Password = WScript.StdIn.ReadLine root.ConnectToConfigurationStorageServer ServerName, UserName, DomainName, Password Wscript.echo "Conectado a '" & ServerName & "' con el usuario '" & DomainName & "\" & UserName & "'" Else Wscript.echo "Conectado al almacenamiento de configuración con las credenciales del usuario actual." End If
set arr = root.GetContainingArray wscript.echo "Esperando recarga en la matriz " & arr.name arr.WaitForReload wscript.echo "Recarga de la matriz finalizada " & arr.name
2. Abra el Bloc de notas y pegue el texto.3. Guarde el archivo como %temp%\waitforreload.vbs.
fixsqlserverlogin.vbsPara crear el script fixsqlserverlogin, realice los pasos siguientes:
98
1. Copie el texto siguiente en el Portapapeles.
Dim adStateOpen adStateOpen = 1
Set TypeLib = CreateObject("Scriptlet.TypeLib")
wscript.echo "Escriba una nueva contraseña para obtener acceso a la base de datos de informes y regístrela para su uso en el futuro. Si ejecuta este script en otro miembro de la matriz, asegúrese de usar la misma contraseña." newPassword = wscript.StdIn.ReadLine
Dim newConfigId newConfigId = TypeLib.Guid newConfigId = Left(newConfigId, Len(newConfigId)-2)
set root = CreateObject("FPC.Root")
On Error Resume Next currStorageName = root.ConfigurationStorageServer On Error Goto 0
If len(currStorageName) = 0 Then wscript.echo "Escriba las credenciales para conectarse al almacenamiento de configuración." wscript.echo "Nombre de equipo del servidor de EMS o Administrador de la matriz:" ServerName = WScript.StdIn.ReadLine wscript.echo "Dominio:" DomainName = WScript.StdIn.ReadLine wscript.echo "Nombre de usuario:" UserName = WScript.StdIn.ReadLine wscript.echo "Contraseña:" Password = WScript.StdIn.ReadLine root.ConnectToConfigurationStorageServer ServerName, UserName, DomainName, Password Wscript.echo "Conectado a '" & ServerName & "' con el usuario '" & DomainName & "\" & UserName & "'" Else Wscript.echo "Conectado al almacenamiento de configuración con las credenciales del usuario actual." End If
Set arr = root.GetContainingArray arr.Reports.ReportingServicesProperties.Credentials.Password = newPassword arr.Reports.ReportingServicesProperties.ReportingServicesConfigurationId = newConfigId
wscript.echo "Cambiando contraseña de Reporting Services (" & newPassword & ") e identificador de configuración (" & newConfigId & ")" arr.Save
wscript.echo "Esperando recarga en la matriz " & arr.name arr.WaitForReload
wscript.echo "Recarga de la matriz finalizada " & arr.name
Set cnn = CreateObject("ADODB.Connection") cnn.ConnectionString = "Provider=SQLOLEDB;Data Source='localhost\MSFW';Integrated Security=SSPI" cnn.Open If cnn.State <> adStateOpen Then wscript.echo "No se pudo abrir una conexión SQL: " & cnn.ConnectionString End If
Dim sqlCommand sqlCommand = "use master;" sqlCommand = sqlCommand & " DECLARE @sys_usr varchar(100);" sqlCommand = sqlCommand & " SET @sys_usr = SYSTEM_USER;" sqlCommand = sqlCommand & " EXEC sp_addlinkedsrvlogin 'RS_SRV', 'false', @sys_usr , 'ISA_RS_USER', '" & newPassword & "'" wscript.echo "Se ejecutará " & sqlCommand Set rs = cnn.Execute(sqlCommand)
sqlCommand = "use master;" sqlCommand = sqlCommand & " DECLARE @TableName varchar(200) = 'WebProxyLog'; " sqlCommand = sqlCommand & " DECLARE SysDB_Cursor CURSOR FOR " sqlCommand = sqlCommand & " SELECT [name] " sqlCommand = sqlCommand & " FROM [master].[dbo].[sysdatabases] " sqlCommand = sqlCommand & " WHERE ([name] LIKE 'ISALOG_%%_WEB_[0-9][0-9][0-9]') " sqlCommand = sqlCommand & " OPEN SysDB_Cursor; " sqlCommand = sqlCommand & " DECLARE @DBName varchar(50); " sqlCommand = sqlCommand & " FETCH NEXT FROM SysDB_Cursor INTO @DBName; " sqlCommand = sqlCommand & " WHILE @@FETCH_STATUS = 0 " sqlCommand = sqlCommand & " BEGIN " sqlCommand = sqlCommand & " IF COALESCE(COL_LENGTH(@DBName + '..' + @TableName,'SoftBlockAction'),0) != 0 " sqlCommand = sqlCommand & " BEGIN " sqlCommand = sqlCommand & " EXECUTE ('ALTER TABLE ' + @DBName + '..' + @TableName + ' DROP COLUMN SoftBlockAction'); " sqlCommand = sqlCommand & " END " sqlCommand = sqlCommand & " FETCH NEXT FROM SysDB_Cursor INTO @DBName; " sqlCommand = sqlCommand & " END " sqlCommand = sqlCommand & " CLOSE SysDB_Cursor; " sqlCommand = sqlCommand & " DEALLOCATE SysDB_Cursor; "
wscript.echo "Se ejecutará " & sqlCommand Set rs = cnn.Execute(sqlCommand)
cnn.Close
2. Abra el Bloc de notas y pegue el texto.3. Guarde el archivo como %temp%\fixsqlserverlogin.vbs.
Desinstalación del Service PackPara desinstalar Forefront TMG SP1 es necesario:
Iniciar sesión en el equipo con una cuenta de usuario que pertenezca al grupo de administradores locales y a la que se haya asignado el rol Administrador de matriz o Administrador de empresa de Forefront TMG.
Trabajar desde un símbolo del sistema con privilegios elevados. En la tabla siguiente se describe el proceso de desinstalación.
Procedimiento Descripción y pasos Se aplica a
Desinstalar el Service Pack
Use uninstall-TMG-SP1.cmd para quitar el Service Pack de cualquier implementación de Forefront TMG SP1.
Inicie sesión en el equipo con una cuenta de usuario que pertenezca al grupo de administradores locales.Escriba %temp%\Uninstall-TMG-SP1.cmd y presione ENTRAR.
Nota:
No se admite la desinstalación de Forefront TMG SP1 especificando las credenciales en la línea de comandos. Si la implementación requiere que escriba credenciales para la desinstalación, no se puede quitar el Service Pack. En este caso, debería exportar la configuración, desinstalar Forefront TMG, volver a instalar Forefront TMG e importar la
Cada miembro de la matriz, administrador de matriz, servidor de EMS maestro y réplica, Administración remota
99
configuración de RTM.
Cuando se complete el proceso de desinstalación, abra el Panel de control y compruebe que Forefront TMG SP1 no aparece en la lista de Actualizaciones instaladas.
Comprobar que FWSRV se está ejecutando
En cada miembro de la matriz, compruebe si se está ejecutando el servicio Firewall (FWSRV); para ello, escriba lo siguiente en un símbolo del sistema con privilegios elevados:sc query fwsrvSi el estado no es EN EJECUCIÓN, realice el siguiente procedimiento:
En un símbolo del sistema con privilegios elevados, escriba cscript.exe %temp%\waitforreload.vbs y presione ENTRAR.Cuando aparezca el mensaje Recarga de la matriz finalizada, inicie el servicio Firewall con este comando:
net start fwsrvSi el servicio Firewall no se inicia y la consola de administración de Forefront TMG muestra la alerta Error de inicialización del servicio, realice el siguiente procedimiento en cada servidor afectado:En un símbolo del sistema, escriba lo siguiente y presione ENTRAR:
Copiar códigoreg add HKLM\SOFTWARE\Microsoft\Fpc\Storage\Cache /v InvocationID /t REG_BINARY /f /d 000000000000000000000000000000000000000000000000
Reinicie el equipo.
Miembros de matriz
Restaurar la funcionalidad de informes
En cada miembro de la matriz, utilice el script fixsqlserverlogin.vbs para restaurar la funcionalidad de informes después de desinstalar el SP1:
En un símbolo del sistema con privilegios elevados, escriba cscript.exe %temp%\fixsqlserverlogin.vbs y presione ENTRAR.
Importante:
El script le solicita que escriba una nueva contraseña para obtener acceso a la base de datos de informes. Asegúrese de que registra esta contraseña, porque, si ejecuta este script en otro miembro de la matriz, debe usar la misma.
Una vez en el símbolo del sistema, compruebe que el script no haya generado errores. Si la ejecución es correcta, se generará un resumen en el momento configurado. Ejecute un informe al día siguiente para confirmar que la revisión se ha aplicado correctamente.
Miembros de matriz
Configurar los valores de implementación inicialesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Utilice el Asistente de introducción a Forefront TMG para configurar o modificar la configuración básica inicial de implementación. El asistente está formado por los tres asistentes siguientes:
Asistente para configuración de red: se usa para configurar los adaptadores de red en el servidor. Los adaptadores de red se asocian a una única red de Forefront TMG.
Asistente para la configuración del sistema: este asistente se usa para configurar los valores del sistema operativo, como el nombre de equipo y el dominio o el grupo de trabajo.
Asistente para la implementación: este asistente se usa para configurar la protección contra código malintencionado en el tráfico web y para unirse al programa de información del cliente y al servicio de telemetría. Antes de ejecutar el Asistente de introducción
Antes de ejecutar el Asistente de introducción, debe:
Describir cómo usa Forefront TMG los objetos de red para representar la infraestructura. Para obtener información, vea Planeación de la topología de red de Forefront TMG.
Descripción de las ventajas y desventajas de convertir Forefront TMG en un miembro de dominio. Para obtener información, vea Consideraciones del dominio o del grupo de trabajo.
Recopile la información siguiente sobre la configuración del adaptador de red:o La configuración del adaptador de red conectado a la red de acceso local, como la dirección IP, la máscara de subred y la dirección del servidor del
Sistema de nombres de dominio (DNS).o Configuración del adaptador de red conectado a Internet. Si el proveedor de acceso a Internet (ISP) proporciona una dirección estática, registre la
dirección IP, la máscara de subred y la dirección del servidor DNS.o Configuración de cualquier adaptador de red adicional del equipo; por ejemplo, un tercer adaptador de red conectado a una red perimetral.
Asegúrese de que conoce el nombre de servidor y el Nombre de dominio completo (FQDN) (si el equipo pertenece a un dominio). Ejecutar el Asistente de introducción
100
Después de la instalación de Forefront TMG, puede ejecutar el Asistente de introducción para configurar valores básicos de implementación, incluidos los de los adaptadores de red, las directivas de actualización y la unión del servidor a un grupo de trabajo o dominio.
Nota:
El Asistente de introducción solo se puede ejecutar de forma local. No está disponible mediante la administración remota.
Nota:
Los cambios no se deberían realizar en la NIC después de ejecutar el Asistente de introducción.
Para abrir el Asistente de introducción1. En la consola de Administración de Forefront TMG, haga clic en el nodo correspondiente al nombre del servidor.2. En la ficha Tareas, haga clic en Iniciar el Asistente de introducción.
Para obtener instrucciones acerca de la ejecución de los asistentes, vea los temas siguientes:
Configurar valores de red
Configurar valores del servidor y del sistema
Configurar valores de implementaciónConfigurar valores de redPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede configurar los valores de una topología de red de Forefront TMG mediante el Asistente para configurar la red.Configuración de la topología de red
Para configurar la topología de red1. En el Asistente de introducción, haga clic en Configurar opciones de red.2. En la página Selección de plantilla de red del Asistente para la configuración de red, seleccione la opción que más se ajuste a su topología de red de Forefront TMG. Para
obtener detalles, vea Planeación de la topología de red de Forefront TMG.3. En la página Configuración de red de área local (LAN) del asistente, en Adaptador de red conectado a LAN, haga clic en el adaptador conectado a la red corporativa
principal y escriba una dirección IP. Si ha seleccionado aplicar la plantilla de adaptador de red único, tiene la opción adicional de utilizar una dirección IP dinámica asignada por DHCP. Si ha seleccionado una configuración distinta de la plantilla del adaptador de red única, este adaptador solo admite una dirección IP estática. En Especificar rutas de topología de matriz adicionales, haga clic en el botón Agregar para agregar rutas estáticas para la ruta de topología de matriz.
4. En la página Configuración de Internet del asistente, haga clic en el adaptador conectado a Internet. Debe definir una puerta de enlace predeterminada solo en uno de los adaptadores de red de Forefront TMG. Normalmente, es el adaptador de red asociado a Internet. Configure una única puerta de enlace predeterminada en un adaptador de red. Si su proveedor de acceso a Internet (ISP) asigna una dirección IP dinámica, haga clic en el botón Obtener una dirección IP automáticamente.Si su ISP asigna una dirección IP estática, haga clic en el botón Usar la siguiente dirección IP.
5. Si tiene un tercer adaptador de red, en la página Configuración de red perimetral del asistente, haga clic en el adaptador de red conectado a la red perimetral. Si desea aplicar la traducción de direcciones de red (NAT) para moverse entre la red perimetral y la LAN sin mostrar las direcciones IP internas, haga clic en el botón Pública en ¿Qué tipo de dirección IP utilizan los servidores de la red perimetral?. Se enruta el tráfico entre la red perimetral e Internet. Si desea aplicar la NAT para moverse entre la red perimetral e Internet sin mostrar las direcciones IP internas, haga clic en el botón Privada en ¿Qué tipo de dirección IP utilizan los servidores de la red perimetral?. Se enruta el tráfico entre la red perimetral y la LAN, lo que expone las direcciones internas.Configurar valores del servidor y del sistemaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para configurar el servidor de Forefront TMG y el sistema se puede usar el Asistente para la configuración del sistema.Configuración del sistema
Para configurar los valores del servidor y del sistema1. En el Asistente de introducción, haga clic en Configurar opciones del sistema. 2. En la página Identificación de host del Asistente para la configuración del sistema, en el cuadro Nombre de equipo, escriba el nombre del servidor de Forefront TMG. 3. En Miembro de, defina si el servidor es miembro de un dominio de Windows o de un grupo de trabajo del siguiente modo: Si selecciona Dominio de Windows, el nombre del dominio se utilizará como sufijo DNS principal y no tendrá que modificar este valor. Se le solicitará que reinicie el
equipo.
Nota:
En ocasiones se produce un error al resolver un nombre de cuenta después del reinicio. Si es así, vuelva a reiniciar para resolver el problema.
Si selecciona Grupo de trabajo, tal vez desee agregar explícitamente un sufijo DNS principal para registrar el equipo en la zona correcta siempre que DNS lo permita. Para obtener información acerca de la implementación de Forefront TMG en una topología de dominio o grupo de trabajo, vea Consideraciones del dominio o del grupo de trabajo.Configurar valores de implementaciónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede configurar los valores de implementación mediante el Asistente para la implementación. Configuración de los valores de implementación
Para configurar los valores de implementación1. En el Asistente de introducción, haga clic en Definir opciones de implementación.
101
2. En la página Configuración de Microsoft Update del Asistente para la implementación, haga clic en Usar el servicio de Microsoft Update para buscar actualizaciones (recomendado) si desea especificar que el servicio Microsoft Update se utilice para obtener las actualizaciones de definición de código malintencionado.
Nota:
Si este equipo está configurado para recibir actualizaciones de Windows Server Update Services (WSUS), esto no se ve afectado por la configuración de esta página. Si deja de utilizar WSUS en este equipo, se aplicará la configuración de esta página.
3. En la página Configuración de características de protección de Forefront TMG del asistente, haga lo siguiente:
En Sistema de inspección de red, seleccione la opción de activar la licencia complementaria y habilitar el Sistema de inspección de red (NIS). En Protección web, seleccione el tipo de activación de licencia para la protección web. Si ha seleccionado Activar la licencia de pago y habilitar la
protección web, escriba la clave de licencia y la fecha de caducidad de la licencia comprada. Si desea examinar el contenido HTTP solicitado permitido por las reglas de acceso de malware, como virus y spyware, seleccione Habilitar inspección de
malware. Si desea validar la dirección URL solicitada y restringir el acceso a ciertas categorías de sitios (personalizable), seleccione Habilitar el filtrado de URL.
4. En la página Configuración de actualización de firmas de NIS del asistente, en Seleccionar acción automática de actualización, seleccione el tipo de acción que desee implementar cuando haya conjuntos de firmas nuevos o actualizados.5. En Configuración del nuevo conjunto de firmas, seleccione la opción de directiva de respuesta para las nuevas firmas.6. En la página Comentarios del usuario del asistente, si desea participar en el Programa para la mejora de la experiencia del usuario, haga clic en Sí, deseo participar de forma anónima en el Programa para la mejora de la experiencia del usuario. Este programa ayuda a Microsoft a mejorar la calidad y confiabilidad de Forefront TMG. Si se une al programa, Microsoft recopila información anónima de la configuración de hardware, del uso de software y servicios, y de patrones de tendencias. No se recopila información personal identificable. Para obtener más información sobre los mecanismos para recabar los comentarios de los clientes, vea Programa para la mejora de la experiencia del usuario de Microsoft.7. En la página Servicio de informes de telemetría de Microsoft, realice una de las siguientes acciones:
Haga clic en el botón Básica para enviar a Microsoft información básica relativa a direcciones URL filtradas, invalidaciones de categorías de direcciones URL, posibles amenazas y la respuesta.
Haga clic en el botón Avanzada para proporcionar a Microsoft información sobre posibles amenazas como muestras de tráfico y direcciones URL completas.
Haga clic en el botón Ninguno para no participar en el servicio.
Configuración de redes y enrutamientoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En esta sección se proporciona información sobre la creación de redes, reglas de redes y cómo enrutar las solicitudes del cliente.Las redes de Forefront TMG representan la topología de la red corporativa. Generalmente, se define una red para cada adaptador de red instalado y habilitado en el equipo. Las redes que no requieren adaptadores de red asociados son la red de host local, que representa a Forefront TMG, y las redes virtuales privadas.Al implementarse en el perímetro de la red, Forefront TMG debería estar configurado con un mínimo de dos adaptadores de red: uno conectado a la red interna de Forefront TMG, que representa a la red corporativa principal y, el otro, a la red externa de Forefront TMG, que normalmente representa a Internet. La red externa se define de manera dinámica en función de los intervalos de las direcciones IP de otras redes. Puede configurar el intervalo de direcciones IP y otras propiedades de la red interna. Si hay disponibles tres o más adaptadores, también puede configurar las propiedades de una o más redes perimetrales. Solo puede configurar una conexión de acceso telefónico en una red (por ejemplo, para obtener acceso a Internet mediante el teléfono).Después de definir las redes, deberá crear las reglas de la red para permitir específicamente que las redes se comuniquen. Para obtener más información, vea Definición de las reglas de red.En los siguientes temas se proporcionan instrucciones sobre:
Definición de las reglas de red
Definición de adaptadores de red
Habilitación de la redundancia del Proveedor de acceso a Internet (ISP)
Definición de las reglas de redPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Las reglas de red determinan la relación entre dos redes Forefront TMG. Las redes pueden tener una relación de ruta o de traducción de direcciones de red (NAT). Aunque habitualmente las relaciones de redes se definen entre redes, también se pueden aplicar a otros objetos de red, como conjuntos de equipos o intervalos de direcciones IP.
Configurar reglas de redPuede crear nuevas reglas de red, así como modificar o eliminar las existentes, en la consola de administración de Forefront TMG, en el nodo Redes.
Para crear o editar una regla de redes1. En la ficha Reglas de red haga clic en Crear una regla de red en la ficha Tareas.2. Complete el Asistente para nueva regla de red. Realice las siguientes acciones en las páginas especificadas:
En la página Orígenes de tráfico de red, especifique la red de origen.
En la página Destinos de tráfico de red, especifique la red de destino.
102
En la página Relación de redes, seleccione Traducción de direcciones de red (NAT) o Ruta.
En la página Selección de dirección NAT, seleccione la opción que Forefront TMG utiliza para determinar la dirección NAT que se usa para ocultar los equipos en los orígenes de tráfico.
Nota:
Las relaciones de ruta son bidireccionales, de forma que, si se define una relación de ruta desde la red de origen A a la red de destino B, también existe una relación de ruta implícita desde la red B a la red A. Las solicitudes de cliente se enrutan entre redes con direcciones IP de origen y destino no modificadas. Las relaciones NAT son unidireccionales y NAT se realiza para ocultar las direcciones IP. Para obtener más información, vea Relaciones de redes.
Nota:
La regla de red predeterminada Acceso a host local no se puede eliminar.
Definición de adaptadores de redPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG admite adaptadores de red ilimitados en función de las limitaciones del hardware.Un adaptador puede tener cero o más direcciones. Cada dirección solo puede pertenecer a una red (estar asociada a un adaptador de red exactamente). Los intervalos de direcciones de una red no deben superponerse.Al crear o editar una red en un servidor Forefront TMG, puede especificar un intervalo de direcciones IP o seleccionar un adaptador de red asociado a la red que está configurando para los siguientes tipos de red:
Red interna
Red perimetral
Red externa
Nota:
Tras añadir un adaptador de red a la red que está creando o editando, se recomienda que no modifique el adaptador de red configurado para su servidor ni le cambie el nombre.
Las direcciones IP de los adaptadores de red asociados a la misma red deberían ser idénticas para todos los miembros de la matriz.Puede seleccionar un adaptador de red para su red si ejecuta el Asistente Crear una red nueva o edita una red seleccionada. La lista de ajustes del adaptador de red configurados en Windows Server está registrada en la ficha Adaptadores de red en el nodo Redes. Puede editar la configuración del adaptador de red.Habilitación de la redundancia del Proveedor de acceso a Internet (ISP)Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar la redundancia del proveedor de acceso a Internet (ISP), que permite vincular dos adaptadores de red externos a dos ISP diferentes. Hay dos modos de redundancia de ISP:
El modo de alta disponibilidad designa un vínculo principal que soporta todo el tráfico saliente de Internet y un vínculo de reserva que se activa automáticamente en caso de que el primer vínculo no funcione.
El modo de equilibrio de carga dirige el tráfico saliente de Internet entre dos vínculos de ISP de manera simultánea y establece el porcentaje de tráfico de Internet total por vínculo. También admite la conmutación por error si uno de los vínculos no funciona.
En los siguientes procedimientos se describe:
Ejecutar el Asistente de redundancia de ISP: cómo ejecutar el asistente.
Configurar las propiedades de TCP/IP en los adaptadores de red: cómo establecer una puerta de enlace predeterminada y deshabilitar la característica de métrica automática. El procedimiento se debe realizar en ambos adaptadores de red.
Crear rutas estáticas persistentes: cómo crear una ruta estática persistente entre cada adaptador de red y los servidores DNS para cada ISP.Ejecutar el Asistente de redundancia de ISP
Para ejecutar el Asistente de redundancia de ISP1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Redes.2. En el panel de detalles, haga clic en la pestaña Redundancia de ISP.3. En la ficha Tareas, haga clic en Habilitar redundancia de ISP y, a continuación, siga las instrucciones en el asistente. Tenga en cuenta las consideraciones
siguientes:a. Cada red debe tener una relación de Traducción de direcciones de red (NAT) con la red externa.b. Las reglas del tráfico NAT estático tienen prioridad sobre los ajustes de configuración de la redundancia de ISP. Esto significa que no se reenruta el
tráfico NAT estático dirigido a un vínculo de ISP concreto si el vínculo está desactivado.c. Al configurar el equilibrio de carga, puede designar que el tráfico enviado a un intervalo de direcciones IP se enrute a un vínculo de ISP específico.
Para ello, haga clic en Destinos de rutas explícitas y, a continuación, en Agregar intervalo. Puede agregar varios intervalos. d. Después de finalizar el asistente y hacer clic en Aplicar en la barra Aplicar cambios, las conexiones existentes continuarán sobre su vínculo actual de
Internet. La directiva recientemente aplicada solo es pertinente para las nuevas conexiones.Configurar las propiedades de TCP/IP en los adaptadores de red
Para habilitar la redundancia de ISP, debe establecer una puerta de enlace predeterminada y deshabilitar la característica de métrica automática en ambos adaptadores de red.
103
Para configurar los adaptadores de red1. En Iniciar búsqueda, escriba ncpa.cpl y presione ENTRAR. Realice el siguiente procedimiento con ambos adaptadores de red: 2. Haga clic con el botón secundario en una interfaz de red externa y, a continuación, haga clic en Propiedades.3. Haga clic en Protocolo de Internet versión 4 (TCP/IPv4) y, a continuación, en Propiedades.4. Haga clic en la pestaña General y realice las siguientes acciones:
a. Seleccione Usar la siguiente dirección IP y escriba la dirección IP de la puerta de enlace predeterminada proporcionada por el ISP correspondiente.
Nota:
Puede aparecer una advertencia para alertarle de la creación de varias puertas de enlace predeterminadas en un mismo equipo. En este caso, puede omitir la advertencia sin ningún riesgo; haga clic en Sí para guardar la configuración.
b. Haga clic en Opciones avanzadas, desactive la casilla Métrica automática y, a continuación, escriba la métrica necesaria en el campo Métrica de la interfaz.
Nota:
El adaptador de red con el valor de métrica más bajo es el de mayor prioridad. Se recomienda que establezca un valor de métrica de interfaz más bajo para el adaptador de red que vaya a actuar como vínculo principal en modo de conmutación por error o el adaptador que vaya a administrar más tráfico en modo de equilibrio de carga.
Para obtener más información sobre la característica de métrica de interfaz, vea Explicación de la función de medición automática para las rutas del Protocolo Internet (http://go.microsoft.com/fwlink/?LinkId=169003).
5. Repita este procedimiento con el otro adaptador de red utilizado para la redundancia de ISP.Crear rutas estáticas persistentes
Para asegurarse de que las solicitudes DNS se enrutan al ISP correcto, debe agregar una ruta estática persistente para cada dirección IP de DNS configurada en los adaptadores de red externos. Para crear una ruta estática persistente
1. Abra una ventana Comandos y cree una ruta persistente con la siguiente sintaxis:route [-p] ADD [destination] MASK [netmask] [gateway] METRIC [metric] [IF interface]Por ejemplo:route -p ADD 192.168.5.1 MASK 255.255.255.0 192.168.1.1 METRIC 1 1Observe los siguientes parámetros:
p hace que la ruta sea persistente entre arranques del sistema.
METRIC especifica la prioridad de esta ruta; la ruta con la métrica más baja tiene la máxima prioridad.
IF interface especifica el número de interfaz de esta ruta.2. Repita este procedimiento con el otro adaptador de red utilizado para la redundancia de ISP.
Configuración de funciones y permisosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Con el fin de simplificar la administración de la concesión de permisos a los usuarios, Forefront TMG proporciona funciones administrativas para empresas y administradores de matrices. Una función define un conjunto de derechos que autorizan a los usuarios y grupos a realizar acciones específicas. Al asignar un rol a un usuario o grupo, Forefront TMG configura los objetos correspondientes para conceder los permisos necesarios para realizar las acciones permitidas por la función al usuario o al grupo. Para obtener más información sobre los roles administrativos de Forefront TMG, vea Acerca de los permisos y roles de Forefront TMG.Los procedimientos siguientes describen cómo asignar roles administrativos a administradores de empresa y administradores de matriz.Para asignar roles administrativos a administradores de empresas
1. En el árbol de la consola de Administración de Forefront TMG, haga clic en el nodo Empresa.2. En la ficha Tareas, haga clic en Asignar funciones administrativas. 3. En la ficha Asignar roles, haga clic en el botón Agregar superior. A continuación, haga lo siguiente:
a. En Grupo o usuario, escriba el nombre del grupo o usuario que podrá obtener acceso a la información almacenada en la instancia local de Active Directory Lightweight Directory Services (AD LDS) y supervisar las matrices del dominio.
b. En Función, seleccione una de las opciones siguientes:
Administrador de empresa de Forefront TMG: autoriza al grupo o usuario específico a realizar todas las tareas administrativas tanto en la empresa como en las matrices del dominio.
Auditor de empresa de Forefront TMG: autoriza al grupo o usuario especificado a realizar tareas de supervisión y a ver la configuración de la empresa y la matriz.
4. Cuando termine, haga clic en Aceptar.5. En el panel de detalles, haga clic en el botón Aplicar y, a continuación, en Aceptar.
Para asignar funciones administrativas a administradores de matriz
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Forefront TMG.2. En la ficha Tareas, haga clic en Asignar funciones administrativas. 3. En la ficha Asignar roles, haga clic en el botón Agregar superior. A continuación, haga lo siguiente:
a. En Grupo o usuario, escriba el nombre del grupo o del usuario al que se permitirá el acceso a la información almacenada en la instancia local de AD LDS.
b. En Función, seleccione una de las opciones siguientes:
Administrador de matriz de Forefront TMG: autoriza al grupo o usuario especificado a realizar todas las tareas administrativas de la matriz. Auditor de matriz de Forefront TMG: autoriza al grupo o usuario especificado a realizar todas las tareas de supervisión y a ver la configuración de la
matriz. Auditor de supervisión de Forefront TMG: autoriza al grupo o usuario especificado a realizar tareas de supervisión específicas.
104
4. Cuando termine, haga clic en Aceptar.5. En el panel de detalles, haga clic en el botón Aplicar y, a continuación, en Aceptar.
Configuración de una matriz de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede unir un servidor Forefront TMG a una matriz independiente o a una matriz de empresa administrada de manera centralizada por un servidor Enterprise Management Server (EMS). Al unir Forefront TMG a una matriz independiente, las nuevas directivas y valores de configuración se actualizan desde un único servidor de Forefront TMG, definido como administrador de la matriz. Si necesita administrar varias matrices, puede instalar un servidor EMS con el fin de administrar de manera centralizada todas las matrices de la red. Desde un único punto, puede aplicar las directivas de la empresa y administrar las actualizaciones de la configuración a todas las matrices del EMS. En los siguientes temas se describe la información necesaria para configurar una matriz después de instalar Forefront TMG:
Creación de una matriz independiente
Unión de un servidor independiente a una matriz en una implementación de grupo de trabajo
Creación de una matriz de empresa
Unión de un servidor a una matriz de empresa
Eliminación de un servidor de una matriz de empresa
Habilitación de la comunicación intramatricial
Nota:
Únicamente puede unirse a un servidor o quitarlo desde una matriz independiente o una matriz de empresa en el servidor local. No se puede hacer esto de manera remota.
Creación de una matriz independientePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Una matriz independiente comprende dos o más servidores de Forefront TMG conectados que comparten la misma configuración. La configuración está almacenada en uno de los servidores, que se designa como administrador de matriz y administra los demás servidores de la matriz.Los siguientes procedimientos describen cómo crear y administrar una matriz independiente:
Configuración de una directiva de firewall de administrador de matriz
Unión de un servidor a una matriz independiente
Eliminación de un servidor de una matriz independiente
Nombramiento de un nuevo administrador de matriz
Nota:
Para obtener información sobre cómo crear una matriz de empresas, vea Creación de una matriz de empresa.
Configuración de una directiva de firewall de administrador de matriz
Este procedimiento describe cómo configurar la directiva del firewall en el servidor que designó como administrador de matriz con el fin de permitir a todos los demás miembros que se unan a la matriz.Para configurar una directiva de firewall de administrador de matriz
1. En el servidor designado como administrador de matriz, en la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En la ficha Herramientas, haga clic en Objetos de red, en Conjuntos de equipos y, a continuación, haga doble clic en Equipos de servidor administrados.3. En el cuadro de diálogo Propiedades de equipos de servidor administrados, haga clic en Agregar, seleccione Equipo y escriba los detalles del servidor que está
agregando a la lista. Repita este paso para todos los miembros de matriz que desea agregar a la lista Equipos de servidor administrados.4. Compruebe que todos los miembros de matriz están incluidos en la directiva del firewall. Haga clic en el nodo Supervisión y en la pestaña Configuración, y
compruebe que todos los miembros de la matriz aparecen bajo Estado de la configuración.
Nota:
La lista de Estado de la configuración puede tardar algunos minutos en actualizarse.
Unión de un servidor a una matriz independiente
Repita este procedimiento para todos los miembros que configuró en la directiva del firewall de la matriz.Para unir una matriz independiente
1. En la consola de administración de Forefront TMG, haga clic en el nodo Nombre del servidor.2. En la ficha Tareas, haga clic en Unir matriz. 3. En la página Unir tipo de pertenencia, haga clic en Unir una matriz independiente administrada por un miembro designado de la matriz (administrador de la
matriz). 4. En la página Detalles del administrador de la matriz, escriba la dirección IP o FQDN del administrador de la matriz y, a continuación, haga clic en Finalizar.
Eliminación de un servidor de una matriz independiente
Para quitar un servidor de una matriz independiente1. En la consola de administración de Forefront TMG, haga clic en el nodo nombre de servidor.2. En la ficha Tareas, haga clic en Separar servidor de la matriz. 3. En la página Seleccionar dispositivo TMG, seleccione la matriz de la que desea llevar a cabo la desconexión y, a continuación, haga clic en Finalizar.
Nombramiento de un nuevo administrador de matriz
Si un administrador de matriz se vuelve no funcional, puede designar uno de los otros miembros de matriz como administrador de matriz, tal y como se describe en el procedimiento siguiente.
105
Para designar un nuevo administrador de matriz1. En el servidor que desea designar como administrador de matriz, en la consola de administración de Forefront TMG, haga clic en Definir como administrador de
la matriz en la pestaña Tareas.2. En cada uno de los miembros de matriz restantes, en la consola de administración de Forefront TMG, haga clic en Cambiar administrador de la matriz en la
pestaña Tareas.3. En la página Cambiar administrador de la matriz, escriba la dirección IP o FQDN del administrador de la matriz y, a continuación, haga clic en Finalizar.
Nota:
Si después de designar un nuevo administrador de la matriz, desea unir a la matriz el servidor que previamente actuó como administrador, realice los siguientes pasos:
1. Quite los miembros de matriz de la lista Equipos de servidor administrados del servidor. Para obtener más información, vea Configuración de una directiva de firewall de administrador de matriz.
2. Una el servidor a la matriz, tal y como se describe en Unión de un servidor a una matriz independiente.
Unión de un servidor independiente a una matriz en una implementación de grupo de trabajoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Hay varias tareas que debe hacer en Forefront TMG, para poder unir el servidor Forefront TMG a una matriz independiente en un entorno de grupo de trabajo.Entre las tareas que deben realizarse previamente se encuentran las siguientes:
1. En el servidor de almacenamiento de Forefront TMG, agregue la dirección IP del servidor Forefront TMG independiente al conjunto de equipos Equipos de administración remota.
2. Instale el certificado de entidad de certificación como editor de confianza en el almacén de certificados de equipo de Forefront TMG. 3. Establezca una sesión LDAP con el servidor de almacenamiento (tal y como se describe en el procedimiento siguiente).
Para establecer una sesión LDAP con el servidor de almacenamiento1. Haga clic en Inicio, haga clic en Ejecutar y escriba ldp.exe.2. En el menú Ldp, haga clic en Conexión y, a continuación, en Conectarse. 3. En Servidor, escriba el FQDN del servidor de almacenamiento.4. En Puerto, escriba 2172 y active la casilla SSL.5. En el menú, haga clic en Conectarse y, a continuación, seleccione .Enlazar.
Importante:
Si ha iniciado sesión para utilizar una cuenta reflejo, puede hacer clic en Enlazar como usuario con sesión iniciada; de lo contrario, haga clic en Enlazar con credenciales, especifique las credenciales de la cuenta de reflejo y deje el Dominio vacío.
Si no hay ningún error en la conexión, puede unir el servidor Forefront TMG a la matriz. Para obtener información detallada sobre cómo unir un servidor a una matriz independiente, vea Creación de una matriz independiente. Creación de una matriz de empresaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Una matriz de empresa es una matriz administrada por un EMS. En este tema se describe cómo crear una matriz de empresa.
Nota:
Si desea obtener instrucciones sobre cómo instalar un EMS, consulte Instalación de un servidor Enterprise Management Server (EMS) para la administración centralizada.
Tras crear una matriz de empresa, puede unir miembros a la matriz y eliminar de ella los servidores tal y como se describe en los siguientes temas:
Unión de un servidor a una matriz de empresa
Eliminación de un servidor de una matriz de empresa
Nota:
Asimismo, un administrador de empresa puede crear matrices y poblarlas con servidores con solo hacer clic en el botón Unir una matriz administrada por un servidor EMS al ejecutar el asistente de Unir matriz desde un servidor independiente.
Para crear una matriz de empresa
1. En el EMS, en la consola de administración de Forefront TMG, haga clic en Matrices. En el panel de tareas, en la ficha Tareas, haga clic en Crear nueva matriz.2. En el Asistente para nueva matriz, en la página Bienvenido al asistente para la nueva matriz, escriba el nombre de la matriz.3. En la página Nombre DNS de la matriz, escriba el sistema de nombres de dominio (DNS) de la matriz.
Nota:
Los clientes de Forefront TMG y los clientes web deben ser capaces de resolver el nombre DNS.
4. En la página Asignar directiva de empresa, en la lista Seleccionar la directiva de empresa que se aplique a esta nueva matriz, haga clic en la directiva de empresa para aplicarla a la matriz.
5. En la página Tipos de regla de directiva de matriz, seleccione los tipos de reglas que se pueden crear para la directiva de firewall de matriz.
Nota:
106
Solamente los usuarios con la función Administrador de empresa de Forefront TMG pueden configurar los tipos de reglas que se pueden crear para una matriz. El administrador de empresa puede limitar los tipos de reglas que el administrador de la matriz puede crear, pero solo una vez creada la matriz. El administrador de empresa no puede limitar ningún tipo de regla si el administrador de la matriz ya ha creado una regla de ese tipo.
Unión de un servidor a una matriz de empresaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Una matriz de empresa es una matriz administrada por un EMS. En este tema se describe cómo unir un servidor de Forefront TMG a una matriz de empresa.
Nota:
Al unir un servidor a una matriz de empresa, se sobrescribe la configuración existente del servidor independiente. Antes de unir un servidor a una matriz de empresa, debe actualizar las definiciones de firma del sistema de prevención de intrusiones en el servidor. De lo
contrario, no se actualizarán las firmas en dicho servidor hasta que se produzca la actualización programada de la matriz.
Para unir una matriz de empresa
1. En la consola de administración de Forefront TMG, haga clic en el nodo Nombre del servidor.2. En la ficha Tareas, haga clic en Unir matriz. 3. En la página Unir tipo de pertenencia, haga clic en Unir una matriz administrada por un servidor EMS. 4. En la página Detalles de Enterprise Management Server, escriba el nombre de dominio completo (FQDN) del servidor EMS y, a continuación, haga clic el
formulario de la cuenta de usuario para conectarse al servidor.5. En la página Unir una matriz administrada por EMS, seleccione si desea unir una matriz existente administrada por EMS o crear una nueva matriz administrada
por EMS.6. Si ha seleccionado la opción de crear una nueva matriz administrada por EMS, introduzca los detalles de la nueva matriz en la página Crear nueva matriz.
Eliminación de un servidor de una matriz de empresaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo quitar un servidor de Forefront TMG de una matriz de empresa; una matriz de empresa es una matriz administrada por un EMS.Para quitar un servidor de una matriz de empresa
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Nombre del servidor.2. En la ficha Tareas, haga clic en Desconectar de Enterprise. 3. En la página Seleccionar dispositivo TMG, seleccione la matriz administrada por EMS de la que desea desconectarse y, a continuación, haga clic en Finalizar.
Habilitación de la comunicación intramatricialPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La comunicación intramatricial solo permite la comunicación entre los miembros de matriz de una red dedicada. Esta configuración permite a los miembros de la matriz recibir valores de configuración y actualizaciones de manera fácil y rápida, así como reducir la carga de tráfico en la red interna y externa de cada uno de los miembros de la matriz. Para configurar la comunicación intramatricial, necesita configurar primero una nueva red intramatricial basada en un adaptador de red dedicado.Tras crear una red intramatricial, debe escribir la dirección IP de la red intramatricial en cada uno de los miembros de matriz.El procedimiento siguiente describe cómo habilitar la comunicación intramatricial entre los miembros de una matriz de empresa en EMS. Configuración de la comunicación intramatricial para los miembros de una matriz
1. En el árbol de la consola de configuración de Forefront TMG, expanda el Nombre de servidor de la matriz y, a continuación, haga clic en Sistema. 2. En la ficha Servidores, seleccione un servidor y, a continuación, en la ficha Tarea, haga clic en Configurar el servidor seleccionado.3. En la ficha Comunicación, en el cuadro de diálogo Comunicación intramatricial, escriba la dirección IP utilizada para comunicarse con otros miembros de la
matriz. Configuración de equipos clientesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG protege a tres tipos de clientes en redes corporativas internas; los clientes que ejecutan software del cliente de Forefront TMG, los clientes proxy web y los clientes SecureNAT.En los temas siguientes se describe cómo configurar cada tipo de cliente:
Implementación del cliente de Forefront TMG
Configurar clientes proxy web
Configuración de los clientes SecureNAT
Configuración de la detección automáticaImplementación del cliente de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El Cliente de Forefront TMG es una aplicación que reside en los equipos cliente en una red protegida mediante Forefront TMG. El Cliente de Forefront TMG proporciona una seguridad mejorada, compatibilidad con aplicaciones y control de acceso para los equipos cliente. En los temas siguientes se describe cómo instalar el software de Cliente de Forefront TMG, configurar el explorador web y las aplicaciones, y cómo habilitar las solicitudes de cliente para Forefront TMG:
Instalación del software cliente de Forefront TMG
Implementación de la configuración del explorador web en clientes de Forefront TMG
Configuración de los ajustes de la aplicación para el software cliente de Forefront TMG
Habilitación de una red para permitir que reciba las solicitudes del cliente de Forefront TMG
107
Configuración del cliente de Forefront TMG para resolver las solicitudes localesInstalación del software cliente de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo distribuir e instalar el software cliente de Forefront TMG en los equipos cliente que residen en redes protegidas mediante Forefront TMG. El software cliente de Forefront TMG incluye el archivo ms_fwc.msi de Windows Installer y está disponible en el DVD de Forefront TMG, tanto en la edición Standard como en la edición Enterprise. Se admite la instalación del cliente de Forefront TMG en sistemas operativos de 32 y 64 bits.En las secciones siguientes se describe:
Cómo habilitar la compatibilidad con el cliente de Forefront TMG
La distribución del cliente de Forefront TMG a equipos cliente
Ejecución de una instalación desatendida de ms_fwc.msi
Cómo habilitar la compatibilidad con el cliente de Forefront TMGAntes de instalar el software cliente de Forefront TMG, debe habilitar la compatibilidad del cliente de Forefront TMG en el servidor de Forefront TMG tal como se indica a continuación:
1. En el árbol de consola de administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes.3. Haga clic con el botón secundario en la red que desee y luego haga clic en Propiedades.4. En la ficha Cliente de Forefront TMG, seleccione Habilitar la compatibilidad con el cliente de Forefront TMG para esta red.
La distribución del cliente de Forefront TMG a equipos clientePuede utilizar los siguientes métodos de distribución para implementar de forma centralizada el software cliente de Forefront TMG en los equipos cliente de la red:
Script de inicio de sesión: un script de inicio de sesión comprueba si el equipo tiene instalado el software cliente de Forefront TMG. Si no está instalado, el script de inicio de sesión instala el software desde un recurso compartido de red. El usuario registrado debe ser miembro del grupo de administradores del equipo.
Directiva de grupo: utilice la opción de directiva de grupo para instalar el software cliente de Forefront TMG por usuario (es decir, cuando un usuario inicie sesión) o por equipo.
Microsoft System Center Configuration Manager 2007: utilice System Center Configuration Manager para asegurarse de que el software cliente de Forefront TMG está instalado en los equipos pertinentes de la organización. Para obtener más información, vea System Center Configuration Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=69032).
Ejecución de una instalación desatendida de ms_fwc.msiEn este procedimiento se explica cómo ejecutar una instalación desatendida del archivo de Windows Installer que instala el software cliente de Forefront TMG.Para ejecutar una instalación desatendida de ms_fwc.msi
1. Escriba lo siguiente en la ventana del símbolo del sistema: msiexec /i ms_fwc.msi <SERVER_NAME_OR_IP=tmgserver> <ENABLE_AUTO_DETECT=0> <REFRESH_WEB_PROXY=0> /qb /L*v c:\fwc_inst.log.
En los comandos se utilizan los parámetros siguientes:
Ruta de acceso: ubicación del archivo de instalación del cliente de Forefront TMG. Debe especificar un valor.
SERVER_NAME_OR_IP=tmgserver: nombre o dirección IP del equipo con Forefront TMG al que debe conectarse el equipo cliente.
ENABLE_AUTO_DETECT: especifique el valor 1 para indicar que el equipo cliente de Forefront TMG debe detectar automáticamente el equipo con Forefront TMG al que debe conectarse. Un valor de 0 indica que el cliente no tiene habilitada la detección automática.
REFRESH_WEB_PROXY: especifique el valor 1 para indicar que la configuración del cliente de Forefront TMG debe actualizarse con la configuración del proxy web especificada en Administración de Forefront TMG. Un valor de 0 indica que el cliente no está actualizado.
Las opciones del comando son las siguientes:
/Q y /qb: indican una instalación desatendida. La opción /qb muestra un pequeño cuadro de diálogo con el progreso. También se puede especificar /qn, que no muestra ningún indicador de progreso.
/L*v c:\fwc_inst.log: genera un registro de instalación que puede ser de utilidad para solucionar problemas.Las opciones siguientes de Windows Installer también pueden ser útiles:
Puede utilizar la propiedad REBOOT para solicitar o forzar un reinicio al final de la instalación. Para obtener más información, vea REBOOT Property (http://go.microsoft.com/fwlink/?LinkId=93330).
Si la propiedad REBOOTPROMPT está establecida en S (o Suppress), los reinicios se efectúan automáticamente sin necesidad de que intervenga el usuario. Para obtener más información, vea REBOOTPROMPT Property (http://go.microsoft.com/fwlink/?LinkId=93331).
Para obtener más información, vea Command-Line Options (http://go.microsoft.com/fwlink/?LinkId=92823) y Modificadores de la línea de comandos para la herramienta Microsoft Windows Installer (http://go.microsoft.com/fwlink/?LinkId=92824).Implementación de la configuración del explorador web en clientes de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar Forefront TMG para implementar la configuración del explorador web en los equipos que están ejecutando el software de cliente de Forefront TMG.Para configurar la configuración del explorador web para los equipos que ejecutan el software de cliente de Forefront TMG
1. En el árbol de la consola de Administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes y, a continuación, seleccione la red correspondiente.3. En la ficha Tareas, haga clic en Editar red seleccionada.4. Seleccione la opción requerida para ajustar la configuración del explorador web en los equipos que ejecutan el software de cliente de Forefront TMG:
108
Detectar la configuración automáticamente. Al seleccionar esta opción, el explorador web intentará encontrar el servidor que alberga la configuración de dicho explorador a través de DHCP o DNS.
Usar script de configuración automática. Al seleccionar esta opción, el explorador web obtiene su propia configuración a través de un script, bien mediante una URL predeterminada o a partir de la URL especificada.
Usar un servidor proxy web. Al seleccionar esta opción, el explorador web obtiene su propia configuración a través del servidor proxy web.Configuración de los ajustes de la aplicación para el software cliente de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede definir la configuración de la aplicación de Forefront TMG correspondiente a todos los equipos en los que está instalado el cliente de Forefront TMG en redes protegidas por Forefront TMG. La configuración de la aplicación consiste en pares {clave, valor} que especifican cómo se comporta el software de cliente de Forefront TMG con una aplicación específica. El siguiente procedimiento describe cómo configurar las nuevas opciones de la aplicación, modificar las opciones ya existentes y eliminar la configuración de la aplicación.Para configurar las opciones de la aplicación para el software de cliente de Forefront TMG
1. En el árbol de la consola de Administración de Forefront TMG, haga clic en Redes y, a continuación, en la ficha Redes.2. En la ficha Tareas del panel de tareas, en Tareas relacionadas, seleccione Configurar cliente firewall.3. Para configurar los nuevos valores de la aplicación, haga lo siguiente:
a. En la ficha Configuración de aplicaciones, haga clic en Nueva.b. En el cuadro de diálogo Configuración de la entrada de la aplicación, escriba el nombre de la aplicación, la clave y el valor, y a continuación haga clic
en Aceptar.4. Para modificar un valor existente de una aplicación, haga clic en la aplicación en la lista Configuración y, a continuación, en Editar. Aplique el cambio y haga
clic en Aceptar.5. Para eliminar un valor existente de una aplicación, haga clic en la aplicación en la lista Configuración y, a continuación, en Quitar.
Puede modificar los valores de la aplicación en Administración de Forefront TMG y aplicárselos a todos los equipos en los que esté instalado el cliente de Forefront TMG. En la siguiente tabla se muestra una lista de las entradas que puede incluir al configurar los valores de la aplicación cliente de Forefront TMG. En la primera columna aparecen las claves que se pueden incluir en los archivos de configuración. La segunda columna describe los valores en los que se pueden establecer las claves. Tenga en cuenta que algunos de los valores solo se pueden configurar en el equipo en el que esté instalado el cliente de Forefront TMG.configuración de la aplicación
Claves Valor
NombreDeServidor Especifica el nombre del equipo del servidor Forefront TMG al que debe conectarse el cliente de Forefront TMG.
Deshabilitar Valores posibles: 0 ó 1. Cuando el valor se establece en 1, la aplicación cliente de Forefront TMG se deshabilita para la aplicación cliente específica, excepto cuando la configuración del cliente de Forefront TMG exime de forma explícita al proceso que inicia el tráfico.
DisableEx Valores posibles: 0 ó 1. Cuando el valor se establece en 1, la aplicación cliente de Forefront TMG se deshabilita para la aplicación cliente específica. Cuando se establece, reemplaza la opción Deshabilitar. Por ejemplo, para svchost, se habilita DisableEx de forma predeterminada.
Detección automática Valores posibles: 0 ó 1. Cuando el valor se establece en 1, la aplicación cliente de Forefront TMG busca automáticamente el equipo de Forefront TMG al que debe conectarse.
NameResolution Valores posibles: L o R. De manera predeterminada, los nombres de dominio de Internet se redirigen al equipo de Forefront TMG para resolver el nombre, mientras que todos los demás nombres se resuelven en el equipo local. Si el valor se establece en R, todos los nombres se redirigen al equipo de Forefront TMG para que se resuelva el nombre. Si el valor se establece en L, todos los nombres se resuelven en el equipo local.
LocalBindTcpPorts Especifica un puerto, lista o intervalo de TCP enlazado de forma local.
LocalBindUdpPorts Especifica un puerto, lista o intervalo de UDP enlazado de forma local.
DontRemoteOutboundTcpPorts Especifica una lista, un intervalo o un puerto TCP de salida que no se conectará mediante Forefront TMG (solicitudes de conexión que no se enviarán a Forefront TMG). Utilice esta entrada para especificar los puertos en los que los clientes no deben comunicarse con Forefront TMG. Esto resulta útil para proteger el firewall de Forefront TMG de ataques en la red interna, que se expanden al obtener acceso a un puerto fijo en ubicaciones aleatorias.
DontRemoteOutboundUdpPorts Especifica un puerto, lista o intervalo de UDP saliente enlazado de forma local.
RemoteBindTcpPorts Especifica un puerto, lista o intervalo de TCP enlazado de forma remota.
RemoteBindUdpPorts Especifica un puerto, lista o intervalo de UDP enlazado de forma remota.
ProxyBindIP Especifica una dirección IP o una lista que se utiliza al enlazar con un puerto correspondiente. Utilice esta entrada cuando varios servidores que utilizan el mismo puerto se deben enlazar al mismo puerto en direcciones IP diferentes en el equipo de Forefront TMG. La sintaxis de la entrada es: ProxyBindIp = [puerto]: [Dirección IP], [puerto]: [Dirección IP] Los números de puerto corresponden tanto a puertos TCP como UDP.
ServerBindTcpPorts Especifica un puerto, lista o intervalo de TCP para todos los puertos que deben aceptar más de una conexión.
Persistent Valores posibles: 0 ó 1. Si el valor se establece en 1, puede mantenerse un estado determinado del servidor en el equipo de Forefront TMG en caso de que un servicio se detenga y se reinicie, o bien que el servidor no responda. El cliente envía periódicamente un mensaje de mantenimiento al servidor durante una sesión activa. Si el servidor no responde, el cliente intenta restaurar el estado de los sockets de enlace y de escucha al reiniciar el servidor.
ForceCredentials Se utiliza al ejecutar un servicio o aplicación de servidor de Windows como, por ejemplo, la aplicación cliente de Forefront TMG. Si el valor se establece en 1, se obliga a utilizar credenciales de autenticación de usuario alternativas que se almacenan de
109
forma local en el equipo que ejecuta el servicio. Las credenciales de usuario se almacenan en el equipo cliente mediante la aplicación FwcCreds.exe que se suministra con Forefront TMG. Las credenciales de usuario deben indicar una cuenta de usuario que Forefront TMG pueda autenticar, ya sea de forma local en Forefront TMG o en un dominio de confianza de Forefront TMG. Habitualmente, se establece que la cuenta de usuario no expira. En caso contrario, hay que recuperar las credenciales del usuario cada vez que expira la cuenta.
NameResolutionForLocalHost Valores posibles: L (predeterminado), P o E. Se utiliza para especificar el modo en que debe resolverse el nombre del equipo (cliente) local al realizar una llamada a la función gethostbyname del API. El nombre del equipo LocalHost se resuelve llamando a la función gethostbyname, del API de Winsock, y utilizando como argumento la cadena LocalHost, una cadena vacía o NULL. Las aplicaciones de Winsock llaman a la función gethostbyname(LocalHost) para que busque la dirección IP local y la envíe a un servidor de Internet. Si esta opción se establece en L, gethostbyname() devuelve las direcciones IP del equipo host local. Si esta opción se establece en P, gethostbyname() devuelve las direcciones IP del equipo de Forefront TMG. Si esta opción se establece en E, gethostbyname() devuelve solo las direcciones IP externas del equipo de Forefront TMG, es decir, las direcciones IP que no se incluyen en la tabla de direcciones locales.
ControlChannel Valores posibles: Wsp.udp o Wsp.tcp (predeterminado). Especifica el tipo de canal de control utilizado.
EnableRouteMode Valores posibles: 0 ó 1 (predeterminado). Cuando EnableRouteMode se establece en 1 y se configura una relación de ruta entre el equipo de cliente de Forefront TMG y el destino solicitado, la dirección IP del cliente de Forefront TMG se utiliza como dirección de origen. Si el valor se establece en 0, se utiliza la dirección IP del equipo de Forefront TMG. Esta marca no se aplica a las versiones anteriores del cliente de Firewall.
Habilitación de una red para permitir que reciba las solicitudes del cliente de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar una red en Forefront TMG para recibir las peticiones del cliente de Forefront TMG.Para permitir que una red reciba las solicitudes del cliente de Forefront TMG
1. En la consola de administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes.3. Haga clic con el botón secundario en la red que desee y luego haga clic en Propiedades.4. En la ficha Cliente de Forefront TMG, haga lo siguiente:
a. Para habilitar la red de manera que reciba las solicitudes del cliente de Forefront TMG, seleccione Habilitar la compatibilidad con el cliente de Forefront TMG para esta red.
b. En el cuadro Nombre o dirección IP de Forefront TMG, escriba el nombre del dominio completo (FQDN) o especifique una dirección IP del servidor de Forefront TMG a la que los clientes de Forefront TMG puedan realizar las solicitudes.
Configuración del cliente de Forefront TMG para resolver las solicitudes localesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede definir direcciones o nombres de dominio que habilitan a los clientes de Forefront TMG para resolver una solicitud de red sin enviar a Forefront TMGlocalmente. En la sección siguiente se describe cómo configurar las direcciones y dominios que habilitan a los equipos que tienen el cliente de resolver las solicitudes de red sin enviar la solicitud a Forefront TMG.
Configuración para resolver las solicitudes locales en el cliente de Forefront TMGDe manera predeterminada, el cliente de Forefront TMG considera las direcciones siguientes como locales:
Todos los sufijos de dominio especificados en la ficha Dominios de las propiedades de la red. Esta lista incluye una tabla de dominios locales (LDT).
Todas las direcciones en la red del cliente. Forefront TMG proporciona los intervalos de direcciones de red a todos los equipos que tienen el cliente de Forefront TMG en la red, de acuerdo con las direcciones definidas en la ficha Direcciones de las propiedades de red. El cliente de Forefront TMG almacena en la memoria estos intervalos de direcciones IP.
Todas las direcciones especificadas en la tabla de enrutamiento local en el equipo de cliente de Forefront TMG.
Todas las direcciones IP contenidas en un archivo de tabla de direcciones locales (LAT), LocalLAT.txt, creado en el equipo del cliente de Forefront TMG.La tabla LDT y otros valores del cliente de Forefront TMG configurados en Forefront TMG se insertan en los clientes durante la instalación del cliente de Forefront TMG siempre que se especifica una actualización manual en el cliente o cada seis horas.En las secciones siguientes se describe cómo crear una tabla de dominio local y un archivo LocalLAT.txt.Creación de una tabla de dominios localesEl cliente de Forefront TMG examina la tabla de dominios locales (LDT) para determinar qué dominios locales se pueden omitir. Los sufijos de dominio pueden especificarse en la ficha Dominios de las propiedades de la red del cliente. Esta lista incluye una tabla de dominios locales (LDT).Para crear una LDT
1. En la consola de Administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes.3. Haga clic con el botón secundario en la red que desee y luego haga clic en Propiedades.4. En la ficha Dominios, elija entre los procedimientos siguientes:
Para especificar un dominio al que los clientes de Forefront TMG de la red deben tener acceso directo, haga clic en Agregar. En el cuadro de diálogo Propiedades del dominio, escriba el nombre de dominio completo (FQDN) del dominio y haga clic en Aceptar.
Para quitar un dominio del acceso directo, en la lista Nombres de dominio, haga clic en el dominio y haga clic en Quitar.
Para modificar un nombre de dominio existente, en la lista Nombres de dominio, haga clic en el dominio y haga clic en Editar.Crear un archivo LocalLAT.txtPuede agregar direcciones locales a un archivo Locallat.txt que cree. Este archivo le ayuda a mantener una lista independiente de direcciones IP a las que el cliente debería tener acceso directamente. El archivo Locallat.txt debería contener direcciones IP en pares. Cada par de direcciones define un intervalo de direcciones IP o una sola. Para crear un archivo LocalLAT.txt
1. En el equipo cliente de Forefront TMG, navegue hasta una de las carpetas siguientes y, a continuación, cree un nuevo archivo de texto denominado LocalLAT.txt:
110
Si ejecuta Windows XP:
\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004 Si ejecuta Windows Vista:
\ProgramData\Microsoft\Firewall Cliente 2004 2. En el archivo, especifique pares de intervalos de direcciones IP para el acceso instantáneo al origen requerido. Cada par de direcciones define un intervalo de
direcciones IP o una sola dirección IP. El ejemplo siguiente muestra un archivo Locallat.txt que tiene dos entradas; la primera es un intervalo de direcciones IP y la segunda es una única dirección IP.
10.51.0.0 - 10.51.255.255
10.52.144.103 - 10.52.144.1033. Guarde y cierre el archivo.4. Si está ejecutando Windows Vista, haga lo siguiente:
Haga clic en Inicio, haga clic con el botón secundario en Equipo y, a continuación, haga clic en Administración.
Haga doble clic en Servicios y aplicaciones y haga clic en Servicios.
Haga clic con el botón secundario en el servicio Agente Cliente de Forefront TMG y, a continuación, haga clic en Reiniciar.Puede usar cualquier método de implementación de software, como la directiva de grupo, para enviar el archivo LocalLAT.txt a los clientes de Forefront TMG.Configurar clientes proxy webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los clientes proxy web son aplicaciones que realizan solicitudes de descarga HTTP, HTTPS o FTP a través de HTTP al puerto TCP en el que Forefront TMG escucha las solicitudes web salientes de la red del cliente. Una aplicación cliente proxy web debe ser:
Compatible con CERN: es decir, entiende el método correcto para realizar una solicitud de proxy web.
Proporciona un medio para que los clientes especifiquen un nombre (o dirección IP) y un puerto para utilizar con las solicitudes de proxy web.Los clientes proxy web presentan las características siguientes:
Una aplicación que se ejecuta en un equipo cliente de una red interna puede ser un cliente proxy web si realiza solicitudes, como se ha descrito anteriormente. Normalmente, los clientes son aplicaciones de explorador web conformes con HTTP 1.1. El explorador especifica Forefront TMG como proxy o utiliza la detección automática para recibir la configuración proxy desde otro servidor.
Los clientes utilizan la detección automática para detectar el servidor Forefront TMG que se va a utilizar para las solicitudes proxy web.
Los protocolos están limitados a solicitudes HTTP, HTTPS y FTP sobre HTTP.
Los clientes se pueden autenticar en Forefront TMG mediante autenticación básica, implícita o WDigest, o integrada.
Forefront TMG resuelve las solicitudes en nombre de los clientes proxy web.
Configuración de los clientes proxy web y los clientes del explorador para utilizar Forefront TMG como proxy webConfigure los clientes proxy web como sigue:
Habilite una red interna o perimetral para escuchar para las solicitud de los clientes proxy web. Forefront TMG escucha las solicitud web salientes de los clientes que se encuentran en la red interna predeterminada en el puerto 8080.
Configure los clientes del explorador para que utilicen Forefront TMG como proxy web de la forma siguiente:
Especifique manualmente un proxy estático en la configuración del explorador.
También puede utilizar un método de detección automática para que los clientes utilicen un script de configuración o el protocolo WPAD para descubrir el servidor proxy que deben utilizar. Para obtener más información, vea Configuración de la detección automática.
Para clientes con el software de cliente de Forefront TMG instalado, puede configurar las opciones del explorador web del cliente en Administración de Forefront TMG. Estas opciones se insertan en los clientes después de la instalación, a petición o periódicamente. Los clientes proxy web se pueden configurar para que tengan acceso directo a los recursos ubicados en su propia red y para omitir el proxy para direcciones y nombres de dominio determinados. Para obtener más información, vea Omisión de Forefront TMG para las solicitudes de cliente proxy web.Habilitar una red para recibir solicitudes de proxy webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se proporcionan instrucciones para configurar una red interna o perimetral para la escucha de solicitudes del proxy web. Un cliente proxy web es una aplicación o un equipo que envía solicitudes al puerto TCP en el que una red Forefront TMG escucha las solicitudes web salientes. De manera predeterminada, Forefront TMG escucha estas solicitudes en el puerto 8080 de la red interna predeterminada. Normalmente, los clientes son exploradores web. Para obtener más información, vea Internal and perimeter network properties y Acerca de los equipos cliente de firewall.La configuración de una red para que reciba solicitudes del proxy web consiste en:
Habilitar solicitudes del proxy web en la red y especificar un puerto en el que la red escuche estas solicitudes.
Opcionalmente, especificar un límite personalizado para conexiones proxy web simultáneas en la red. El valor predeterminado es sin límite.
Si se exige a todos los clientes ubicados en la red autenticarse para el acceso al proxy web, configurar un método de autenticación.Configurar propiedades de red
Dónde empezar. Para abrir las propiedades de red, en el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Redes. En la ficha Redes, haga clic con el botón secundario en la red correspondiente y, a continuación, haga clic en Propiedades.Para habilitar solicitudes del proxy web en una red
1. En la ficha Proxy web de las propiedades de la red, seleccione Habilitar HTTP.
111
2. En Puerto HTTP, especifique un puerto en el que la red debe escuchar las solicitudes HTTP. De manera predeterminada, Forefront TMG escucha estas solicitudes en el puerto 8080. Las solicitudes del proxy web no se pueden configurar para conectar con Forefront TMG mediante SSL. La opción Habilitar SSL sólo se utiliza para encadenar solicitudes de forma segura a través de HTTPS con un servidor web que precede en la cadena.
Para limitar las conexiones proxy web simultáneas en una red1. En la pestaña Proxy web de las propiedades de la red, haga clic en Opciones avanzadas.2. En el cuadro de diálogo Configuración avanzada, seleccione Sin límite para especificar que no hay ningún límite en cuanto al número de conexiones simultáneas
del proxy web.3. En Máximo por servidor, escriba un límite para las conexiones simultáneas del proxy web que se permiten en la red y, a continuación, escriba un valor en Tiempo
de espera de la conexión para indicar cuántos segundos deben transcurrir antes de que las conexiones inactivas se desconecten.Para requerir autenticación para todas las solicitudes del proxy web
1. En la pestaña Proxy web de las propiedades de red, haga clic en Autenticación.2. En la lista de métodos de autenticación, seleccione un método de autenticación adecuado.
Nota:
La autenticación implícita, integrada o básica requiere que Forefront TMG y los clientes que realizan la solicitud sean miembros del dominio. Para obtener más información, vea Planeación para la autenticación de acceso web.
Nota:
La autenticación del certificado SSL sólo se utiliza al encadenar solicitudes del proxy web a un proxy web que precede en la cadena. Los clientes que realizan solicitudes del proxy web en Forefront TMG no pueden presentar un certificado SSL.
3. Seleccione Requerir que todos los usuarios se autentiquen para especificar que todas las solicitudes administradas por el filtro proxy web requieren autenticación. Si esta opción está seleccionada, no se permite ninguna solicitud anónima y, antes de evaluar las reglas de acceso web, se requieren y validan las credenciales de usuario.
Nota:
Si esta opción está seleccionada, se denegará el acceso a los clientes que no puedan presentar credenciales o que no superen la validación.
Nota:
Al seleccionar esta opción, se puede bloquear el tráfico a algunos sitios, como Microsoft Update, que no admiten autenticación de usuarios.
Nota:
Si selecciona esta opción y no selecciona un método de autenticación, se producirán errores en las solicitudes de los clientes.
5. Haga clic en Seleccionar dominio para especificar el dominio al que pertenecen los usuarios autenticados.6. Haga clic en Servidores RADIUS si desea utilizar un servidor RADIUS para autenticar a los usuarios que realicen solicitudes web salientes. En el cuadro de
diálogo Servidor RADIUS, especifique la información del servidor. Omisión de Forefront TMG para las solicitudes de cliente proxy webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Las aplicaciones que realizan solicitudes como clientes proxy web pueden omitir el filtro proxy web para tener acceso directamente a los recursos situados en su red local, o para tener acceso a sitios web externos, sin tener que pasar a través de Forefront TMG. Puede configurar los clientes proxy web para el acceso directo de la forma siguiente:
Los exploradores cliente que no utilizan detección automática mediante un script de configuración automática o una entrada de la detección automática de proxy web (WPAD, Web Proxy Automatic Discovery) deben configurarse manualmente para el acceso directo. Para obtener más información acerca de la detección automática, vea Configuración de la detección automática.
Los exploradores cliente configurados para utilizar un script de configuración automática de Forefront TMG pueden obtener información de acceso directo.Si una solicitud que omite el filtro proxy web está destinada a recursos que no se encuentran en la red del cliente, el cliente se puede configurar como cliente SecureNAT o como cliente Forefront TMG. Esto permite a Forefront TMG atender la solicitud y aplicar la inspección de tráfico y el filtrado.
Configurar acceso directo para clientes proxy web que no utilizan detección automáticaEn este procedimiento se supone que el explorador web es Windows Internet Explorer. Para configurar exploradores web para que utilicen el script de configuración automática
1. En Internet Explorer, haga clic en el menú Herramientas y, a continuación, en Opciones de Internet.2. Haga clic en la ficha Conexiones y, a continuación, haga clic en Configuración de LAN.3. Active la casilla No usar servidor proxy para direcciones locales para configurar el explorador de forma que no reenvíe solicitudes para nombres de host (por
ejemplo, http://contoso.com) al filtro proxy web. Esta opción está disponible únicamente para nombres de una sola etiqueta. Los nombres o direcciones con un punto (.), como las direcciones IP de un nombre de dominio completo (FQDN), se reenvían al filtro proxy web. Este tipo de entradas deben especificarse en el cuadro Excepciones de la forma siguiente:
Haga clic en Opciones avanzadas y, a continuación, en el cuadro Excepciones, escriba el nombre de dominio o la dirección IP que no desea que el filtro proxy web procese.
Configurar acceso directo para clientes proxy web que utilizan detección automáticaLa configuración de acceso directo establecida en Forefront TMG llega a los clientes en un script de configuración automática cada seis horas. Internet Explorer puede especificar la ubicación estática del script o utilizar el protocolo WPAD para detectar un servidor en el que se encuentre el script de configuración. Para obtener instrucciones acerca de cómo configurar los clientes, vea Configuración de exploradores web para la detección automática. Puede configurar el acceso directo en la consola de Administración de Forefront TMG de la forma siguiente.
112
Para configurar la configuración de acceso directo1. En la consola de Administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes.3. Haga clic con el botón secundario en la red interna o perimetral que desee y luego haga clic en Propiedades.4. En la ficha Explorador web, realice una de las acciones siguientes:
Seleccione No usar servidor proxy para servidores web en esta red para especificar que los clientes proxy web no deben utilizar el filtro proxy web para servidores web ubicados en la red del cliente.
Seleccione Obtener acceso directo a equipos especificados en la ficha Dominios para permitir que los clientes proxy web omitan el filtro proxy web para los destinos especificados en la ficha Dominios.
Seleccione Obtener acceso directo a los equipos especificados en la ficha Direcciones para permitir que los clientes de proxy web omitan el filtro proxy web para los destinos de la ficha Direcciones. De manera predeterminada, la ficha Direcciones contiene el intervalo de direcciones IP de la red.
Seleccione Agregar para especificar que un intervalo de direcciones IP, un dominio o un equipo tengan acceso directo. Para quitar una entrada de la lista Obtener acceso directo a los servidores o dominios siguientes, selecciónela y haga clic en Quitar. Para modificar una entrada de la lista, selecciónela y haga clic en Editar.
Seleccione Acceso directo para especificar que los clientes de proxy web deben omitir el filtro proxy web si Forefront TMG no está disponible.
Configurar dominios para acceso directoPara configurar un dominio para acceso directo
1. En la consola de Administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes.3. Haga clic con el botón secundario en la red interna o perimetral que desee y luego haga clic en Propiedades.4. En la ficha Dominios, haga lo siguiente:
Para agregar una entrada, haga clic en Agregar y escriba el dominio que va a tener acceso directo. Repita para cada dominio que desee agregar.
Para quitar una entrada, selecciónela en la lista Nombres de dominio, haga clic en la entrada que desea quitar y haga clic en Quitar.
Para modificar una entrada, en la lista Nombres de dominio haga clic en ella y, después, haga clic en Editar.
Configuración de los clientes SecureNATPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG Cliente SecureNAT es un equipo que ejecuta un sistema operativo que utilice redes TCP/IP. Forefront TMG no tiene conocimiento de los clientes SecureNAT, salvo en el contexto de la dirección IP y el protocolo utilizado en las solicitudes de cliente. Los clientes SecureNAT presentan las características siguientes:
En un escenario de red sencilla, sin enrutadores entre el cliente e Forefront TMG, la puerta de enlace predeterminada señala a la dirección IP de la red de Forefront TMG donde se encuentra el cliente (normalmente, la red interna). En una red compleja, con enrutadores de puente en las subredes que hay entre el equipo cliente e Forefront TMG, la configuración de la puerta de enlace predeterminada en el último enrutador de la cadena deberá apuntar a Forefront TMG. De forma óptima, el enrutador debería utilizar la puerta de enlace predeterminada que conecta por la ruta más corta con el equipo Forefront TMG.
Los clientes SecureNAT pueden utilizar cualquier protocolo simple definido en Forefront TMG. Los clientes SecureNAT pueden utilizar protocolos complejos que requieren conexiones secundarias si existe un filtro de aplicación de Forefront TMG para el protocolo.
Los clientes SecureNAT no se pueden autenticar en Forefront TMG. Si se requiere la autenticación para una solicitud, en el cliente aparecerá una ventana emergente de autenticación o se denegará la solicitud.
Las aplicaciones proxy web que se ejecutan en equipos cliente SecureNAT pueden utilizar la detección automática de configuración proxy. Para obtener más información, vea Configuración de la detección automática.
Para configurar los clientes SecureNAT, especifique la puerta de enlace predeterminada que señala a Forefront TMG o a un enrutador. Asegúrese de que el servidor Forefront TMG sea la ruta predeterminada a Internet para el cliente.
Configurar la resolución de nombresLos clientes SecureNAT pueden solicitar objetos tanto de equipos de la red local como de Internet, y deben poder resolver nombres de ambos. Forefront TMG no realiza la resolución de nombres en nombre de los clientes SecureNAT. Se recomienda lo siguiente:
Para obtener acceso únicamente a Internet, configure TCP/IP en el cliente para usar los servidores del Sistema de nombres de dominio (DNS) en Internet. Cree una regla de acceso que permita a los clientes SecureNAT utilizar el protocolo DNS y configure el filtro DNS para los clientes SecureNAT.
Si los clientes SecureNAT solicitan datos tanto de Internet como de recursos internos, deben utilizar un servidor DNS ubicado en la red interna. El servidor DNS se debe configurar para que resuelva tanto direcciones internas como direcciones de Internet.
Evite los bucles de retroceso a través de Forefront TMG para solicitudes de clientes SecureNAT de recursos internos. Por ejemplo, si el cliente realiza una solicitud a un recurso interno publicado por Forefront TMG en la red externa, la resolución de nombres no debe resolver la solicitud en una dirección IP pública de la red externa. Si la hace y el cliente SecureNAT envía una solicitud a la dirección IP externa, el servidor de publicación puede responder directamente al cliente SecureNAT y la respuesta se descarta. La dirección IP de origen del cliente se sustituye por la dirección IP del adaptador de la red interna de Forefront TMG, que el servidor publicado reconoce como interna. El servidor puede responder por consiguiente directamente al cliente SecureNAT, haciendo que los paquetes que van en una dirección atraviesen una ruta que no implica a Forefront TMG y los paquetes que van en la otra dirección atraviesen Forefront TMG. Como resultado, Forefront TMG descarta la respuesta como no válida. Configuración de la detección automáticaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los temas de esta sección proporcionan información sobre cómo configurar la detección automática de configuración del proxy web para las aplicaciones cliente proxy web. Forefront TMG proporciona la detección automática por medio de un script de configuración automática o una entrada WPAD en Active Directory, DNS o DHCP. Forefront TMG puede actuar como un servidor WPAD para los clientes proxy web.
113
Los temas siguientes describen cómo:
Configurar el servidor WPAD
Creación de una entrada WPAD en DHCP1
Crear una entrada WPAD en DNS
Configuración de Active Directory para la detección automática
Quitar WPAD de la lista de bloqueo de DNS
Configuración del cliente de Forefront TMG para la detección automática
Configuración de exploradores web para la detección automáticaConfigurar el servidor WPADPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede usar el servidor Forefront TMG como servidor WPAD en el que se encuentran los archivos de configuración Wpad.dat y Wspad.dat. En este tema se describe cómo configurar el servidor WPAD. Se explica cómo configurar la red en la que se encuentran los clientes para publicar información de detección automática y cómo especificar el número de puerto en el que el equipo Forefront TMG debe poner la información de detección automática. Para configurar el servidor WPAD
1. En el árbol de la consola de Administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes y, a continuación, seleccione la red en la que desea escuchar las solicitudes WPAD de los clientes
(normalmente, la red interna predeterminada).3. En la ficha Tareas, haga clic en Editar red seleccionada.4. En la ficha Detección automática, seleccione Publicar información sobre la detección automática para esta red.5. En Utilizar este puerto para las solicitudes de detección automática, especifique el puerto en el que el servidor WPAD de Forefront TMG debe escuchar las
solicitudes WPAD de los clientes.
Nota:
De manera predeterminada, Forefront TMG publica la información de detección automática en el puerto 8080. Si utiliza una entrada WPAD en DNS, debe publicarla en el puerto 80. Las entradas WPAD en DHCP pueden utilizar cualquier puerto.
Creación de una entrada WPAD en DHCP1Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El procedimiento siguiente describe cómo configurar una entrada WPAD en el servidor DHCP del controlador de dominio de la red desde la cual se recibirán las solicitudes de detección automática de clientes (normalmente, la red interna predeterminada).Para crear una entrada de opción 252 en DHCP
1. Haga clic en Inicio, elija Todos los programas, después Herramientas administrativas y, por último, haga clic en DHCP.2. En el árbol de la consola, haga clic con el botón secundario en el servidor DHCP aplicable, haga clic en Establecer opciones predefinidas y, a continuación, en
Agregar.3. En Nombre, escriba WPAD.4. En Código, escriba 252.5. En Tipo de datos, seleccione Cadena y, a continuación, haga clic en Aceptar.6. En Cadena, escriba http://NombreDeEquipo:Puerto/wpad.dat donde Puerto es el número de puerto en el que se publica la información de detección automática.
Puede especificar cualquier número de puerto. De manera predeterminada, . Asegúrese de utilizar letras minúsculas cuando escriba wpad.dat. 8080 utiliza wpad.dat y distingue entre mayúsculas y minúsculas. Forefront TMG utiliza wpad.dat y distingue entre mayúsculas y minúsculas.
7. Haga clic con el botón secundario del "mouse" en Opciones del servidor y, a continuación, haga clic en Configurar opciones. Confirme que Opción 252 esté seleccionado.
No es necesario crear nada específicamente para Wspad.dat. Wspad.dat utiliza la misma opción 252 que wpad.dat y modifica el nombre wpad.dat por Wspad.dat, según convenga.Crear una entrada WPAD en DNSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede configurar una entrada DNS en el servidor DNS del controlador de dominio de la red desde la cual se recibirán las solicitudes de detección automática de clientes (normalmente, la red interna) de la forma siguiente:
1. Configure un registro de host (A) para el servidor WPAD. Se recomienda reservar un nombre de host DNS estático para WPAD, como se describe en el artículo de Microsoft 934864: Cómo configurar Microsoft DNS y WINS para reservar el registro de WPAD (http://go.microsoft.com/fwlink/?LinkId=180364).
2. Cree un registro de alias (CNAME) para señalar al registro de host (tal y como se describe en el procedimiento siguiente).Para configurar un alias para la entrada WPAD
1. Haga clic en Inicio, seleccione Todos los programas, seleccione Herramientas administrativas y, por último, haga clic en DNS.2. En el árbol de la consola, haga clic con el botón secundario en la zona de búsqueda directa del dominio y haga clic en Nuevo alias (CNAME).3. En Nombre de alias, escriba WPAD.4. En Nombre completo del host de destino, escriba el FQDN del servidor WPAD. Si el equipo o la matriz de Forefront TMG ya tienen definido un registro de host
(A), haga clic en Examinar para buscar el nombre del servidor de Forefront TMG en el espacio de nombres de DNS.El rol de servidor DNS en Windows Server 2008 introduce una lista de bloqueo de consultas global para reducir la vulnerabilidad asociada al protocolo de actualización dinámica de DNS. Esto puede afectar a la implementación WPAD.Configuración de Active Directory para la detección automáticaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG utiliza el marcador de Active Directory (AD) para la detección automática de la ubicación de Forefront TMG. La herramienta TmgAdConfig es una herramienta de detección automática que configura Active Directory con una clave de marcador que señala al equipo de Forefront TMG. El cliente de Forefront TMG utiliza esta clave para localizar el equipo con Forefront TMG y conectarse a él.
114
Advertencia:
El marcador de AD no se admite en una implementación de grupo de trabajo. Si un equipo no es miembro de un dominio, agréguelo a un dominio o desactive la casilla Usar Active Directory (recomendado) en la configuración avanzada del cliente de Forefront TMG para usar los métodos de detección heredados.
Para ejecutar la herramienta de marcador de AD para la detección automática
1. Para almacenar la clave de marcador en Active Directory, en el símbolo del sistema, escriba: TmgAdConfig.exe add -default -type winsock -url <service-url> [-f], donde:
La entrada service-url debería tener el formato http://<nombre de servidor TMG>:8080/wspad.dat.En los comandos se pueden usar los parámetros siguientes:
Para eliminar una clave de Active Directory, escriba lo siguiente en un símbolo del sistema: TmgAdConfig.exe del -default -type winsock
Para configurar el marcador de Active Directory para un sitio concreto, utilice el parámetro de la línea de comandos -site.
Para ver la lista de opciones completa, escriba TmgAdConfig.exe -?
Para obtener información detallada sobre el uso, escriba TmgAdConfig.exe <comando> -helpLa herramienta TmgAdConfig crea la clave del Registro siguiente en Active Directory: LDAP://Configuration/Services/Internet Gateway("Container") /Winsock Proxy("ServiceConnectionPoint")La información de enlace del servidor de la clave se establecerá en <URL-de-servicio>. Esta clave será recuperada por el cliente de Forefront TMG y se usará para descargar el archivo de configuración de wspad.Quitar WPAD de la lista de bloqueo de DNSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El rol de servidor DNS en Windows Server 2008 introduce una lista de consultas bloqueadas global para reducir la vulnerabilidad asociada al protocolo de actualización dinámica de DNS.Si desea utilizar WPAD con DNS, tenga en cuenta lo siguiente:
Si se configuran las entradas WPAD en DNS antes de actualizar el servidor DNS en Windows Server 2008, no es necesario realizar ninguna acción.
Si configura o quita WPAD después de implementar el rol de servidor DNS en un servidor que ejecute Windows Server 2008, debe actualizar la lista de bloqueados en todos los servidores DNS que hospedan las zonas afectadas por el cambio. Las zonas afectadas son las zonas donde registró los servidores WPAD.
Actualizar la lista de bloqueadosUtilice la herramienta de línea de comandos dnscmd para administrar la lista de consultas bloquedas global. Abra una ventana del símbolo del sistema y haga lo siguiente:
1. Para comprobar si el bloqueo de consultas global está habilitado, escriba lo siguiente:
dnscmd /info /enableglobalqueryblocklist2. Para mostrar los nombres de host de la lista de bloqueados actual, escriba lo siguiente:
dnscmd /info /globalqueryblocklist3. Para deshabilitar la lista de bloqueados y garantizar que el servicio Servidor DNS no omita las consultas de nombres en la lista de bloqueados, escriba lo
siguiente:
dnscmd /config /enableglobalqueryblocklist 04. Para habilitar la lista de bloqueados y garantizar que el servicio Servidor DNS omita las consultas de nombres en la lista de bloqueados, escriba lo siguiente:
dnscmd /config /enableglobalqueryblocklist 15. Para quitar todos los nombres de la lista de bloqueados, escriba lo siguiente:
dnscmd /config /globalqueryblocklist6. Para sustituir la lista de bloqueados actual por una lista de nombres concreta, escriba lo siguiente:
dnscmd /config /globalqueryblocklist name [name]…Para obtener más información e instrucciones, vea el documento acerca de la lista global de consultas bloqueadas del servidor DNS que se puede descargar en la página Sistema de nombres de dominio de Microsoft TechNet. Configuración del cliente de Forefront TMG para la detección automáticaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para facilitar la implementación, cuando configure la compatibilidad con el cliente de Forefront TMG en una red Forefront TMG, puede configurar las propiedades de la red para habilitar los exploradores web en los equipos cliente a fin de que utilicen la detección automática, ya sea mediante WPAD o mediante un script de configuración estática. Esta configuración se aplicará cuando se instale el software cliente de Forefront TMG en los equipos cliente. Si posteriormente se realizan cambios en los valores de configuración del cliente en el equipo con Forefront TMG, Forefront TMG actualiza automáticamente la configuración, como se indica a continuación:
Cada vez que el cliente de Forefront TMG se reinicia.
Cada vez que se hace clic en Detectar ahora o en Probar servidor en la pestaña Configuración de la consola de administración del cliente de Forefront TMG en el equipo cliente.
Cada seis horas tras la última actualización.
Nota:
115
La configuración se aplica a todos los usuarios en el equipo cliente de Forefront TMG.
Configuración del explorador de un equipo cliente de Forefront TMG para usar WPAD
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes y, a continuación, seleccione la red correspondiente (normalmente la red interna).3. En la ficha Tareas, haga clic en Editar red seleccionada.4. Asegúrese de que la opción Habilitar la compatibilidad con el cliente de Forefront TMG para esta red está seleccionada en la ficha Cliente de Forefront TMG, y
seleccione Detectar la configuración automáticamente.
Configuración del explorador en un equipo cliente de Forefront TMG para que utilice un script de configuración estática
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Redes.2. En el panel de detalles, haga clic en la ficha Redes y, a continuación, seleccione la red correspondiente (normalmente la red interna).3. En la ficha Tareas, haga clic en Editar red seleccionada.4. Asegúrese de que la opción Habilitar la compatibilidad con el cliente de Forefront TMG para esta red está seleccionada en la ficha Cliente de Forefront TMG y
seleccione Usar script de configuración automática.5. Seleccione una de las siguientes opciones:
Utilizar la dirección URL predeterminada: Forefront TMG proporciona un script de configuración predeterminado en la ubicación siguiente: http://FQDN:8080/array.dll?Get.Routing.Script, donde FQDN es el nombre de dominio completo del equipo con Forefront TMG. Este script contiene la configuración especificada en la ficha Explorador web de las propiedades de la red.
Utilizar la dirección URL personalizada: como alternativa al script predeterminado, puede crear un archivo de configuración automática de proxy (PAC) y situarlo en un servidor web. Cuando el explorador web del cliente busca el script en la dirección URL especificada, el servidor web recibe la solicitud y devuelve el script personalizado al cliente.
Configuración de exploradores web para la detección automáticaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En equipos cliente que no ejecuten el cliente de Forefront TMG, puede habilitar la detección automática en las propiedades del explorador. La detección automática se admite en Internet Explorer 8, Internet Explorer 7 e Internet Explorer 6.Los procedimientos siguientes describen cómo configurar los exploradores web para la detección automática utilizando WPAD o un script de configuración estática.
Habilitar exploradores para la detección automática mediante WPAD
1. En Internet Explorer, haga clic en el menú Herramientas y, a continuación, en Opciones de Internet.2. En la ficha Conexiones, haga clic en Configuración de LAN.3. En la ficha Configuración de la red de área local (LAN), seleccione Detectar la configuración automáticamente.
Habilitar exploradores para la detección automática mediante un script de configuración estática
1. En Internet Explorer, haga clic en el menú Herramientas y, a continuación, en Opciones de Internet.2. En la ficha Conexiones, haga clic en Configuración de LAN.3. En la ficha Configuración de la red de área local (LAN), seleccione Usar secuencia de comandos de configuración automática. Escriba la ubicación del script en
el siguiente formato: http://fqdnserver:port/array.dll?Get.Routing.Script, donde fqdnserver es el nombre de dominio completo (FQDN) del servidor de Forefront TMG. La ubicación del script de configuración se puede especificar en cada explorador o se puede definir para todos los clientes que utilicen la directiva de grupo.
Nota:
Si la detección WPAD está habilitada y se ha especificado un script de configuración automática, se utilizará la ubicación del script si se produce un error en la detección WPAD.
Configuración de servidores de autenticación de clientesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG admite una serie de servidores de autenticación que se pueden usar para validar las credenciales de los clientes. En la siguiente tabla se muestran los servidores de autenticación admitidos.
Servidor de autenticación Descripción
LDAP en AD LDS Forefront TMG admite el servicio de directorio del protocolo ligero de acceso a directorios (LDAP) que proporciona el servidor de Active Directory Lightweight Directory Services (AD LDS).
RADIUS en NPS Forefront TMG admite el Servicio de autenticación remota telefónica de usuario (RADIUS) que proporciona el Servidor de directivas de redes (NPS).
Administrador de autenticaciones RSA
Forefront TMG admite la autenticación SecurID de RSA para la seguridad de autenticación de dos factores.
Para obtener más información sobre los servidores y métodos de autenticación que admite Forefront TMG, vea Información general de autenticación en Forefront TMG.En los siguientes temas se proporciona información de configuración para implementar servidores de autenticación que funcionen con Forefront TMG:
116
Configurar la autenticación LDAP en AD LDS
Configurar la autenticación RADIUS en NPS
Cómo configurar un servidor de SecurIDConfigurar la autenticación LDAP en AD LDSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El siguiente procedimiento describe cómo configurar los conjuntos de servidores LDAP para permitir que Forefront TMG autentique los usuarios del dominio aun cuando Forefront TMG no forme parte del dominio. Realiza la autenticación a través de la conexión de LDAP al dominio. Para configurar los conjuntos de servidores LDAP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. 2. En la ficha Tareas, haga clic en Configurar ajustes del servidor LDAP. 3. Haga clic en Agregar para agregar un conjunto de servidores LDAP.4. Indique un nombre para el conjunto de servidores LDAP. 5. Haga clic en Agregar para agregar cada nombre de servidor LDAP, descripción y período de tiempo de espera. Tiempo de espera es el tiempo (en segundos) que
Forefront TMG intenta obtener respuestas del servidor LDAP antes de probar con el siguiente servidor LDAP de la lista ordenada. Tenga en cuenta que es posible modificar el orden en el que se tiene acceso a los servidores utilizando las teclas FLECHA ARRIBA y FLECHA ABAJO.
6. En Dominio, indique el nombre de dominio completo (FQDN) para Active Directory. Tenga en cuenta que éste es el dominio en el que se definen las cuentas de usuario y no el dominio al que está unido Forefront TMG.
7. Seleccione Usar catálogo global (GC) si está utilizando un catálogo global. 8. Seleccione Conectar los servidores LDAP a través de una conexión segura si desea cifrar la comunicación LDAP (utilizar el protocolo LDAPS). 9. Es posible indicar las credenciales utilizadas para conectar a Active Directory para la comprobación del estado de la cuenta de usuario y la modificación de
contraseñas de cuenta. De esta forma dispondrá de funciones de administración de contraseñas para la autenticación de formularios HTML. 10. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar conjunto de servidores LDAP. 11. En Expresión de inicio de sesión, haga clic en Nuevo para agregar una expresión de inicio de sesión. Una expresión de inicio de sesión permite asignar un
conjunto de servidores LDAP a un grupo de usuarios concreto. Por ejemplo, es posible asignar un conjunto de servidores LDAP a los usuarios FABRIKAM\*, y otro conjunto de servidores LDAP a los usuarios CONTOSO\*. Forefront TMG consulta las expresiones de inicio de sesión en la lista ordenada. Es posible cambiar el orden utilizando las teclas de dirección ARRIBA y ABAJO.
Configurar la autenticación RADIUS en NPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar un servidor RADIUS que ejecuta NPS (Servidor de directivas de redes) de modo que Forefront TMG lo use para la autenticación de clientes. Antes de comenzar, debe conocer las medidas de seguridad descritas en Información general de autenticación en Forefront TMGLa configuración de la autenticación de RADIUS con NPS consta de los siguientes pasos:
1. Instalación de NPS. NPS se instala como componente de Windows. Para obtener más información, vea Network Policy Server Infrastructure (http://go.microsoft.com/fwlink/?LinkID=107958).
2. Configurar Forefront TMG como cliente RADIUS en NPS. 3. Configurar el servidor RADIUS en la consola de administración de Forefront TMG. Asegúrese de que esta configuración sea la misma que la especificada al
configurar Forefront TMG como cliente RADIUS. Tenga en cuenta que la configuración de servidor RADIUS especificada se aplica a todos los tipos de reglas que utilizan autenticación RADIUS.
4. Modificar la regla de directiva de sistema de Forefront TMG, si es necesario. La regla supone que el servidor RADIUS está ubicado en la red interna predeterminada y permite el tráfico mediante los protocolos RADIUS desde la red de host local (el equipo Forefront TMG) a la red interna. Modifique la regla si la ubicación de la red es incorrecta o si desea especificar la dirección del servidor RADIUS en vez de la red interna completa. De manera predeterminada, la regla está habilitada.
Para configurar Forefront TMG como cliente de RADIUS en NPS
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc y, a continuación, presione ENTRAR. Deje abierta la consola de administración para las siguientes tareas de configuración del servidor NPS.
2. En el árbol de la consola de administración NPS, expanda Clientes y servidores de RADIUS, haga clic con el botón secundario en Clientes de RADIUS y, a continuación, haga clic en Nuevo cliente de RADIUS.
3. En el cuadro de diálogo Nuevo cliente RADIUS, en el cuadro Nombre descriptivo, escriba una descripción de Forefront TMG. En el cuadro Dirección (IP o DNS), escriba la dirección IP de Forefront TMG.
4. En el cuadro Secreto compartido, escriba el secreto compartido que creó en Configurar Forefront TMG como un cliente RADIUS.5. En el cuadro Confirmar secreto compartido, escriba de nuevo el secreto compartido.6. Active la casilla El cliente RADIUS es compatible con NAP y, a continuación, haga clic en Aceptar.
Para configurar el servidor RADIUS en Forefront TMG
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el recuadro Tareas, haga clic en Configurar acceso del cliente.3. En la ficha Redes, seleccione la red en la que se encuentra el servidor RADIUS y, a continuación, haga clic en Configurar.4. En la ficha Proxy web, haga clic en Autenticación.5. En Método, borre cualquier otro método seleccionado y, a continuación, seleccione RADIUS.6. Haga clic en Servidores RADIUS y, a continuación, en Agregar.7. En Nombre de servidor, escriba el nombre o la dirección IP del servidor RADIUS que se va a utilizar para la autenticación. 8. Haga clic en Cambiar y, en Secreto nuevo y en Confirmar secreto nuevo, escriba el secreto compartido que se va a utilizar para las comunicaciones entre el
servidor Forefront TMG y el servidor RADIUS. Asegúrese de escribir el mismo secreto especificado al configurar Forefront TMG como cliente en el servidor RADIUS.
9. En Puerto de autenticación, especifique el puerto UDP que utiliza el servidor RADIUS para las solicitudes de autenticación RADIUS entrantes. El valor predeterminado de 1812 se basa en RFC 2138.
10. En Tiempo de espera (s), escriba el tiempo (en segundos) durante el cual Forefront TMG debe intentar obtener una respuesta del servidor RADIUS antes de probar con otro servidor.
11. Haga clic en Aceptar cinco veces para salir de todas las ventanas y, a continuación, en la barra Aplicar cambios, haga clic en el botón Aplicar.Para modificar la regla de directiva del sistema RADIUS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall y, a continuación, en el recuadro Tareas, haga clic en Editar directiva del sistema.
117
2. En la sección Servicios de autenticación de la lista Grupos de configuración, haga clic en RADIUS.3. En la ficha General, compruebe que la opción Habilitar este grupo de configuración está seleccionada.4. Para especificar otra ubicación, en la pestaña Para, seleccione Interna y, a continuación, haga clic en Quitar. Haga clic en Agregar y, a continuación, especifique
el objeto de red que representa al servidor RADIUS.Cómo configurar un servidor de SecurIDPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)RSA SecurID se basa en tecnología de RSA Security Inc. Forefront TMG puede utilizar SecurID para autenticar los clientes para el acceso a redes virtuales privadas (VPN) remotas y servidores web corporativos internos publicados a través de Forefront TMG. SecurID exige a los clientes que proporcionen su número de identificación personal (PIN) para obtener acceso a los recursos protegidos, y un token que genera una contraseña de un solo uso con límite de tiempo. Tenga en cuenta que tanto el PIN como la contraseña de un solo uso son necesarios para obtener acceso a dichos recursos. La configuración de un servidor de autenticación SecurID para Forefront TMG consta de los siguientes pasos:
1. Tras instalar el Administrador de autenticaciones RSA de acuerdo con la documentación de RSA, cree un Registro del host de agente para configurar el Administrador de autenticaciones RSA de manera que acepte conexiones de Forefront TMG para la autenticación de usuarios.
2. Compruebe la configuración de los permisos y de los adaptadores de red.3. Compruebe la conexión con el Administrador de autenticaciones RSA.4. Configure las propiedades de SecurID.
Los procedimientos siguientes describen cómo:
Crear un registro de host de agente.
Comprobar la configuración de los permisos y los adaptadores.
Comprobar la conexión.Para crear un registro de host de agente
1. En el equipo que ejecuta el Administrador de autenticaciones RSA, haga clic en Inicio y, a continuación, en Modo host del Administrador de autenticaciones RSA.
2. En el menú Host de agente, haga clic en Agregar host de agente.3. En el cuadro Nombre, escriba el nombre del equipo que ejecuta Forefront TMG. El nombre debe resolverse en una dirección IP de la red local del Administrador
de autenticaciones RSA.4. Si es necesario, en el cuadro Dirección de red, escriba la dirección IP del equipo que ejecuta Forefront TMG.5. En la lista Tipo de agente, haga clic en Agente del sistema operativo de red.6. Si desea que todos los usuarios puedan realizar la autenticación, seleccione Abrir para todos los usuarios conocidos localmente.7. En Host de agente, haga clic en Generar archivos de configuración. Haga clic en Un host de agente y en Aceptar, luego haga doble clic en el nombre del equipo
que ejecuta Forefront TMG y, a continuación, guarde el archivo Sdconf.rec en la carpeta %windir%\system32 en el equipo que ejecuta Forefront TMG.
Nota:
De manera predeterminada, el archivo Sdconf.rec se encuentra en la carpeta ACE\Data del equipo del Administrador de autenticaciones RSA.
Para comprobar los permisos y la configuración de los adaptadores
1. En el equipo que ejecuta Forefront TMG, compruebe que la cuenta del servicio de red local tenga acceso de lectura y escritura para la siguiente clave del Registro:HKLM\Software\SDTI\ACECLIENTDe esta forma se garantiza que Forefront TMG pueda escribir el secreto en el Registro.
2. En el equipo que ejecuta Forefront TMG, configure la cuenta del servicio de red con permisos de lectura para el archivo Sdconfig.rec.3. Si el equipo que ejecuta Forefront TMG está configurado con varios adaptadores de red, debe configurar de forma explícita la dirección del adaptador de red a
través del cual Forefront TMG se conecta al Administrador de autenticaciones RSA para la autenticación. Para ello, especifique la dirección IP como un valor de cadena en la siguiente clave del Registro:HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIPEl valor especificado debe coincidir con el establecido en el Registro de host de agente.
Comprobar la conexión
Puede probar la autenticación de SecurID mediante la utilidad de prueba de autenticación RSA. Para obtener más información sobre la herramienta, vea Utilidad de prueba de autenticación RSA para Internet Security and Acceleration Server (ISA) (http://www.microsoft.com/downloads/details.aspx?FamilyID=7b0ca409-55d0-4d33-bb3f-1ba4376d5737&DisplayLang=en). Esta herramienta comprueba la conectividad entre el equipo que ejecuta Forefront TMG y el servidor que ejecuta el Administrador de autenticaciones RSA. La herramienta también puede obtener el secreto necesario para el cifrado de las comunicaciones entre los servidores.Configuración de la Protección de acceso a redesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En esta sección se describe cómo se configuran las directivas de protección de acceso a redes (NAP) en el servidor de directivas de red (NPS) y cómo se configura el NPS para establecer comunicación con Forefront TMG. NPS es la implementación de Microsoft de un servidor del Servicio de usuario de marcado con autenticación remota (RADIUS) y, como tal, realiza la autenticación, autorización y contabilidad de conexiones para numerosos tipos de accesos de red, incluidas conexiones inalámbricas y de redes privadas virtuales (VPN). NPS también funciona como servidor de evaluación del estado de mantenimiento para NAP. Para obtener más información, consulte Protección de acceso a redes (http://go.microsoft.com/fwlink/?LinkID=28629).En combinación con Forefront TMG, NAP puede aplicar una directiva de mantenimiento cuando los equipos clientes intentan conectarse a la red a través de una conexión VPN. La aplicación de la directiva de VPN ofrece acceso limitado a las redes para todos los equipos que obtienen acceso a la red mediante una conexión VPN. Configurar NAP en el servidor NPS incluye las tareas siguientes:
Instalación de la función NPS
Configuración de Forefront TMG como cliente de RADIUS
Creación de directivas y validadores de mantenimiento del sistema
Creación de directivas de red
Creación de directivas de solicitud de conexión
118
Habilitación del servicio NAP en equipos clientes compatibles con NAP
Notas de implementación
Tenga en cuenta que en esta sección se describe una implementación en la que Forefront TMG y el servidor NPS están instalados en equipos Windows Server 2008 independientes. Una ventaja de este tipo de implementación es la capacidad de utilizar fácilmente el servidor NPS para evaluar el estado de mantenimiento de los clientes que tienen acceso a la red por medios distintos a VPN.
Puede utilizar la función NPS que se instaló en el servidor de Forefront TMG para evaluar los clientes carentes de conexión VPN. Para ello, necesita crear una regla de acceso desde Forefront TMG a NPS y asegurarse de que incluye el número de puerto utilizado por la función NPS para las conexiones de RADIUS.
Instalar la función Servidor de directivas de redPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Servidor de directivas de redes (NPS) es la implementación de Microsoft de un servidor y un proxy de servicio de usuario de acceso telefónico de autenticación remota (RADIUS) en Windows Server 2008. NPS sustituye al servicio de autenticación de Internet en Windows 2003.Como servidor RADIUS, NPS realiza autenticaciones de conexiones, autorizaciones y administración de cuentas centralizadas para muchos tipos de acceso de red, incluidas las conexiones inalámbricas y virtuales de carácter privado (VPN). Como proxy de RADIUS, NPS reenvía mensajes de autenticación y administración de cuentas a otros servidores de RADIUS. NPS también actúa como servidor de evaluación del estado de mantenimiento de la protección de acceso a redes (NAP).NPS como servicio de funciones
NPS es un servicio de la función del servidor de directivas de redes y servicios de acceso (NPAS). Entre otros servicios de la función de NPAS, figuran el servicio de enrutamiento y acceso remoto, el de autoridad de registro del estado de mantenimiento y el protocolo de autorización de credenciales para hosts.Administración de NPS
Después de instalar NPS, puede administrarlo de la siguiente manera:
De manera local mediante el complemento de la consola de administración de Microsoft (MMC), la consola de NPS estática de Herramientas administrativas o los comandos del shell de la red (Netsh) para NPS
Desde un servidor NPS remoto, a través del complemento de MMC, los comandos Netsh para NPS o una conexión a escritorio remoto
Desde una estación de trabajo remota mediante la conexión a escritorio remotoInstalación de la función NPS
El procedimiento siguiente proporciona las instrucciones para la instalación de la función NPS.Para instalar la función de servidor de directivas de red
1. Haga clic en Inicio, luego en Ejecutar, escriba CompMgmtLauncher y, a continuación, presione INTRO. 2. En la ventana Administrador de servidores, en Resumen de funciones, haga clic en Agregar funciones y, a continuación, en Siguiente.3. Active la casilla de verificación Servicios de acceso y directivas de redes y, a continuación, haga clic en Siguiente dos veces.4. Active la casilla de verificación Servidor de directivas de redes, haga clic en Siguiente y, a continuación, haga clic en Instalar.5. Compruebe que la instalación sea correcta y haga clic en Cerrar.6. En la ventana Administrador de servidores, haga clic en Cerrar.
Configurar un cliente RADIUS en el servidor NPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Se recomienda que el servidor de directivas de redes (NPS) e Forefront TMG se instalen en equipos distintos. Una ventaja de este tipo de implementación es la capacidad de utilizar fácilmente el servidor NPS para evaluar el estado de mantenimiento de los clientes que tienen acceso a la red por medios distintos a VPN.En este tipo de implementación, en la que Forefront TMG envía los mensajes de RADIUS al NPS para la autenticación y autorización de la conexión VPN, debe configurar NPS para que reconozca el equipo de Forefront TMG como un cliente de RADIUS.
Nota:
Puede utilizar la función NPS que se instaló en el servidor de Forefront TMG para evaluar los clientes carentes de conexión VPN. Para ello, necesita crear una regla de acceso desde Forefront TMG a NPS y asegurarse de que incluye el número de puerto utilizado por la función NPS para las conexiones de RADIUS.
Para configurar Forefront TMG como cliente de RADIUS en el NPS
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc; a continuación, presione ENTRAR para abrir la consola de administración de NPS. Deje esta ventana abierta para las siguientes tareas de configuración del servidor NPS.
2. En el árbol, expanda Clientes y servidores de RADIUS, haga clic con el botón secundario en Clientes de RADIUS y, a continuación, haga clic en Nuevo cliente de RADIUS. El cuadro de diálogo Nuevo cliente de RADIUS se abre.
3. En el cuadro de diálogo Nuevo cliente de RADIUS, en el cuadro Nombre descriptivo, escriba una descripción de Forefront TMG. En el cuadro Dirección (IP o DNS), escriba la dirección IP de Forefront TMG.
4. En el cuadro Secreto compartido, escriba un secreto compartido. Registre el secreto compartido para usarlo al configurar Forefront TMG como cliente de RADIUS (vea Configurar Forefront TMG como un cliente RADIUS para obtener información detallada).
5. En el cuadro Confirmar secreto compartido, escriba de nuevo el secreto compartido.6. Active la casilla El cliente de RADIUS es compatible con NAP y, a continuación, haga clic en Aceptar.
Configuración de directivas y validadores de mantenimiento del sistema NPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar directivas de Protección de acceso a redes (NAP) en el servidor de directivas de red (NPS). NPS es la implementación de Microsoft de un servidor del Servicio de usuario de marcado con autenticación remota (RADIUS) y, como tal, realiza la autenticación, autorización y control de las conexiones para numerosos tipos de accesos de red, incluidas las conexiones inalámbricas y de redes privadas virtuales (VPN). NPS también funciona como servidor de evaluación del estado de mantenimiento para la protección de acceso a redes (NAP). Para obtener más información, vea Protección de acceso a redes (http://go.microsoft.com/fwlink/?LinkID=28629).Configurar validadores de mantenimiento del sistema
119
Los validadores de mantenimiento del sistema (SHV) definen los requisitos de configuración para los equipos que intentan conectar con la red. Para este tema, deberá configurar el validador de mantenimiento de seguridad de Windows para exigir que solo el firewall de Windows esté habilitado.Para configurar validadores de mantenimiento del sistema
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc; a continuación, presione ENTRAR para abrir la consola de administración de NPS. Deje esta ventana abierta para las siguientes tareas de configuración del servidor NPS.
2. En el árbol, haga doble clic en Protección de acceso a redes y, a continuación, haga clic en Validadores de mantenimiento del sistema.3. En el panel central, en Nombre, haga doble clic en Validador de mantenimiento de seguridad de Windows.4. En el cuadro de diálogo Propiedades del validador de mantenimiento de seguridad de Windows, haga clic en Configurar.5. Desactive todas las casillas de verificación excepto Firewall habilitado para todas las conexiones de red.6. En el cuadro de diálogo Validador de mantenimiento de seguridad de Windows, haga clic en Aceptar y, en el cuadro de diálogo Propiedades del validador de
mantenimiento de seguridad de Windows, haga clic en Aceptar.Configuración de directivas de mantenimiento del sistema
Las directivas de mantenimiento definen qué validadores de mantenimiento del sistema (SHV) se evalúan y cómo se utilizan para validar la configuración de los equipos que intentan conectar con la red. Las directivas de mantenimiento clasifican el estado de mantenimiento del cliente según los resultados de las comprobaciones de los validadores de mantenimiento del sistema. En este tema, debe configurar dos directivas de mantenimiento correspondientes a un estado de mantenimiento compatible y a uno no compatible.Para configurar las directivas de mantenimiento del sistema
1. En el árbol de la consola de administración NPS, haga doble clic en Directivas.2. Haga clic con el botón secundario en Directivas de mantenimiento y haga clic en Nueva.3. En el cuadro de diálogo Crear nuevas directivas de mantenimiento, en Nombre de directiva, escriba Compatible.4. En Comprobaciones de SHV para clientes, compruebe que la opción El cliente supera todas las comprobaciones de SHV esté seleccionada.5. En SHV usados en estas directivas de mantenimiento, active la casilla Validador de mantenimiento de seguridad de Windows y, a continuación, haga clic en
Aceptar.6. Haga clic con el botón secundario en Directivas de mantenimiento y haga clic en Nueva.7. En el cuadro de diálogo Crear nuevas directivas de mantenimiento, en Nombre de directiva, escriba No compatible.8. En Comprobaciones de SHV para clientes, seleccione El cliente no supera una o más comprobaciones de SHV.9. En SHV usados en estas directivas de mantenimiento, active la casilla Validador de mantenimiento de seguridad de Windows y, a continuación, haga clic en
Aceptar.
Configuración de las directivas de red NPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Las directivas de red utilizan condiciones, configuraciones y restricciones para determinar quién puede conectarse a la red. Debe existir una directiva de red que se aplique a los equipos compatibles con los requisitos de mantenimiento y una directiva de red que se aplique a los equipos no compatibles. En este tema, se permite a los equipos cliente acceso sin restricciones a la red. Los clientes considerados no compatibles con los requisitos de mantenimiento se sitúan en la red de clientes de VPN en cuarentena de Forefront TMG. A los clientes no compatibles se les concederá acceso a los servidores de actualizaciones, que disponen de las revisiones, configuraciones y aplicaciones necesarias para que los clientes obtengan el estado correcto. Los clientes no compatibles también se actualizan opcionalmente a un estado compatible y, posteriormente, se les concede acceso sin restricciones a la red.
Importante:
Forefront TMG no admite filtros IP configurados en el servidor de directiva de red (NPS). Para permitir que los clientes no compatibles tengan acceso a uno o varios servidores de actualizaciones, cree en el servidor Forefront TMG una regla de acceso de la red de clientes de VPN en cuarentena a los servidores de actualizaciones correspondientes.
Configurar una directiva de red para equipos cliente compatibles
Primero, cree una directiva de red que coincida con las solicitudes de acceso a la red realizadas por equipos cliente compatibles.Para configurar una directiva de red para equipos cliente compatibles
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc y, a continuación, presione ENTRAR para abrir la consola de administración de NPS. Deje esta ventana abierta para las siguientes tareas de configuración del servidor NPS.
2. En el árbol, haga doble clic en Directivas.3. Haga clic en Directivas de red.4. En Nombre de directiva, haga clic con el botón secundario en las dos directivas predeterminadas y, a continuación, haga clic en Deshabilitar.5. Haga clic con el botón secundario en Directivas de red y luego en Nueva.6. En la ventana Especificar el nombre de directiva de red y el tipo de conexión, en el cuadro Nombre de directiva, escriba Acceso-total-compatible y, a
continuación, haga clic en Siguiente.7. En la ventana Especificar condiciones, haga clic en Agregar.8. En el cuadro de diálogo Seleccionar condición, haga doble clic en Directivas de mantenimiento.9. En el cuadro de diálogo Directivas de mantenimiento, en Directivas de mantenimiento, seleccione Compatible y, a continuación, haga clic en Aceptar. 10. En el apartado Condiciones de la ventana Especificar condiciones, compruebe que esté especificado Directiva de mantenimiento con un valor de Compatible y, a
continuación, haga clic en Siguiente.11. En la ventana Especificar permiso de acceso, compruebe que esté seleccionado Acceso concedido y, a continuación, haga clic en Siguiente tres veces.12. En la ventana Configurar valores, haga clic en Cumplimiento NAP. Compruebe que Permitir acceso completo a la red esté seleccionado y haga clic en Siguiente.13. En la ventana Finalización de nueva directiva de red, haga clic en Finalizar.
Configurar una directiva de red para equipos cliente no compatibles
A continuación, cree una directiva de red que coincida con las solicitudes de acceso a la red realizadas por equipos cliente no compatibles.Para configurar una directiva de red para equipos cliente no compatibles
1. En el árbol de la consola de administración NPS, haga clic con el botón secundario en Directivas de red y, a continuación, haga clic en Nuevo.2. En la ventana Especificar tipo de conexión y nombre de directiva de red, en el cuadro Nombre de directiva, escriba Restringido-no compatibley haga clic en
Siguiente. 3. En la ventana Especificar condiciones, haga clic en Agregar.4. En el cuadro de diálogo Seleccionar condición, haga doble clic en Directivas de mantenimiento.5. En el cuadro de diálogo Directivas de mantenimiento, en Directivas de mantenimiento, seleccione No compatible y, a continuación, haga clic en Aceptar. 6. En la ventana Especificar condiciones, compruebe que Directiva de mantenimiento esté especificado en Condiciones con un valor de No compatible y, a
continuación, haga clic en Siguiente.7. En la ventana Especificar permiso de acceso, compruebe que está seleccionada la opción Acceso concedido.
120
Importante:
Un valor de Acceso concedido no significa que se conceda acceso completo a la red a los clientes no compatibles. Especifica que la directiva debe continuar evaluando a los clientes que coincidan con estas condiciones.
8. Haga clic en Siguiente tres veces.9. En la ventana Configurar valores, haga clic en Cumplimiento NAP. Seleccione Permitir acceso limitado y Habilitar actualización automática de equipos cliente. 10. En la ventana Configurar valores, haga clic en Siguiente y, a continuación, en la ventana Finalización de nueva directiva de red, haga clic en Finalizar.
Configuración de una directiva de red para clientes no compatibles con NAP (opcional)
Si la implementación incluye clientes no compatibles con NAP, se recomienda crear una directiva de red que coincida con las solicitudes de acceso a la red realizadas por estos clientes. Esta directiva permite a los clientes no compatibles con NAP conectarse correctamente y que se les sitúe en la red de cuarentena. Para obtener información de configuración, vea Configurar un control de cuarentena basado en RQS y RQC.Para configurar una directiva de red para equipos cliente no compatibles
1. En el árbol de la consola de administración NPS, haga clic con el botón secundario en Directivas de red y, a continuación, haga clic en Nuevo.2. En la ventana Especificar tipo de conexión y nombre de directiva de red, en el cuadro Nombre de directiva, escriba no compatible con NAPy haga clic en
Siguiente. 3. En la ventana Especificar condiciones, haga clic en Agregar.4. En el cuadro de diálogo Seleccionar condición, haga doble clic en Equipos compatibles con NAP, seleccione Sólo equipos no compatibles con NAP, haga clic en
Aceptar y, a continuación, en Siguiente.5. En la página Especificar permiso de acceso, haga clic en el botón Acceso concedido y, a continuación, haga clic en Siguiente.6. En la página Configurar métodos de autenticación, defina los métodos de autenticación necesarios para la implementación y haga clic en Siguiente.7. En la página Configurar restricciones, haga clic en Siguiente.8. En la página Configurar valores, seleccione Específico del proveedor y haga clic en Agregar.9. En la ventana Agregar atributo específico de proveedor, haga clic en Microsoft en el menú situado en Proveedor.10. Seleccione MS-Quarantine-Session-Timeout, haga clic en Agregar, en la ventana Información del atributo, en el cuadro Valor del atributo escriba 1200y, a
continuación, haga clic en Aceptar.11. Haga clic en Cerrar y, a continuación, en la página Configurar valores, haga clic en Siguiente.12. Compruebe que la directiva de red esté configurada correctamente y haga clic en Finalizar.
Configuración de las directivas de solicitud de conexión al servidor NPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Las directivas de solicitud de conexión son condiciones y valores que validan las solicitudes de acceso a la red y determinan dónde se realiza esta validación. En este escenario se utiliza una única CRP para autenticar al cliente para el acceso VPN.Para configurar directivas de solicitud de conexión
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc y, a continuación, presione ENTRAR para abrir la consola de administración de NPS. Deje esta ventana abierta para las siguientes tareas de configuración del servidor NPS.
2. En el árbol, haga clic en Directivas de solicitud de conexión.3. En Nombre de directiva, haga clic con el botón secundario en la directiva CRP predeterminada y, a continuación, haga clic en Deshabilitar.4. Haga clic con el botón secundario en Directivas de solicitud de conexión y haga clic en Nueva.5. En la ventana Especificar nombre de directiva de solicitud de conexión y tipo de conexión, en el cuadro Nombre de directiva, escriba conexiones VPN.6. En Tipo de servidor de acceso a la red, seleccione Servidor de acceso remoto (VPN-Dial up) y haga clic en Siguiente. 7. En la ventana Especificar condiciones, haga clic en Agregar.8. Haga doble clic en Dirección IPv4 del cliente y especifique la dirección IP interna de Forefront TMG en el cuadro de diálogo Dirección IPv4 del cliente.9. Haga clic en Aceptar en el cuadro de diálogo Dirección IPv4 del cliente y, a continuación, haga clic en Siguiente.10. En la ventana Especificar reenvío de solicitudes de conexión, compruebe que Autenticar solicitudes en este servidor esté seleccionado y haga clic en Siguiente.11. En la ventana Especificar métodos de autenticación, seleccione Invalidar la configuración de autenticación de la directiva de red. 12. En Tipos EAP, haga clic en Agregar. En el cuadro de diálogo Agregar EAP, en Métodos de autenticación, haga clic en Microsoft: EAP protegido (PEAP) y, a
continuación, haga clic en Aceptar.13. En Tipos EAP, haga clic en Agregar. En el cuadro de diálogo Agregar EAP, en Métodos de autenticación, haga clic en Microsoft: Contraseña segura (EAP-
MSCHAP v2) y, a continuación, haga clic en Aceptar. 14. En Tipos EAP, haga clic en Microsoft: EAP protegido (PEAP) y, a continuación, haga clic en Editar.15. Seleccione el certificado de servidor adecuado. Normalmente, el certificado de servidor se instala automáticamente al unirse al dominio.16. Compruebe que la opción Habilitar comprobaciones de cuarentena esté seleccionada y haga clic en Aceptar.17. Agregue los métodos de autenticación que desee de entre los siguientes: Tarjeta inteligente u otro certificado y Contraseña segura (EAP-MSCHAP v2).18. Si ha configurado una directiva de red para clientes no compatibles con NAP, seleccione el protocolo de autenticación que utiliza (o piensa utilizar) para estos
clientes, como Autenticación cifrada de Microsoft versión 2 (MS-CHAP-v2).19. Al terminar, haga clic dos veces en Siguiente y, a continuación, haga clic en Finalizar.
Habilitar NAP en clientes VPNPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar los clientes de red privada virtual (VPN) para que utilicen el cumplimiento de la protección de acceso a redes (NAP). Esto incluye las tareas siguientes:
Habilitar el cliente de cumplimiento de cuarentena para el acceso remoto
Habilitar e iniciar el servicio Agente NAP
Modificar conexiones VPN
Alojamiento de los clientes no compatibles con NAP (opcional)Requisitos
En los procedimientos detallados aquí se supone que se ha configurado y probado correctamente una conexión de cliente VPN antes de instalar y configurar NAP.NAP es compatible con clientes con los siguientes sistemas operativos:
Windows Server 2008
121
Windows Vista
Windows XP con Service Pack 3Para obtener una lista actualizada de los sistemas operativos de cliente compatibles con NAP, vea "¿Qué versiones de Windows son compatibles con Protección de acceso a redes como cliente?" en Protección de acceso a redes: preguntas más frecuentes (http://go.microsoft.com/fwlink/?LinkId=153403).Habilitar el cliente de cumplimiento de cuarentena para el acceso remoto
El método de cumplimiento VPN NAP exige que el cliente de cumplimiento de cuarentena para el acceso remoto esté habilitado en todos los equipos NAP cliente.Para habilitar el cliente de cumplimiento de cuarentena para el acceso remoto
1. Haga clic en Inicio, Todos los programas, Accesorios y, por último, haga clic en Ejecutar.2. Tipo napclcfg.mscy, a continuación, presione ENTRAR.3. En el árbol de la consola, haga clic en Clientes de cumplimiento.4. En el panel de detalles, haga clic con el botón secundario en Cliente de cumplimiento de cuarentena para el acceso remoto y, a continuación, haga clic en
Habilitar. 5. En la ventana Configuración del cliente de NAP, haga clic en Cerrar.
Habilitar e iniciar el servicio Agente NAP
De manera predeterminada, el servicio Agente de Protección de acceso a redes de equipos que ejecutan Windows Vista está configurado con un tipo de inicio Manual. Cada cliente debe estar configurado de forma que el servicio Agente de Protección de acceso a redes se inicie automáticamente y el servicio debe iniciarse.Para habilitar e iniciar el servicio Agente NAP
1. Haga clic en Inicio, Panel de control, Sistema y mantenimiento y, a continuación, haga clic en Herramientas administrativas.2. Haga doble clic en Servicios.3. En la lista de servicios, haga doble clic en Agente de Protección de acceso a redes.4. En el cuadro de diálogo Propiedades de Agente de Protección de acceso a redes, cambie el Tipo de inicio a Automático y, a continuación, haga clic en Inicio. 5. Espere a que el servicio Agente NAP se inicie y haga clic en Aceptar.6. Cierre la consola Servicios y las ventanas Herramientas administrativas y Sistema y mantenimiento.
Modificar conexiones VPN
Para modificar las conexiones VPN1. Haga clic en Inicio, Ejecutar, escriba NCPA.cpl y presione ENTRAR. 2. En la ventana Conexiones de red, haga clic con el botón secundario en la conexión VPN adecuada, haga clic en Propiedades y, a continuación, haga clic en la
ficha Seguridad. 3. Confirme que Avanzada (configuración personalizada) esté habilitada y haga clic en Configuración.4. Para Seguridad de inicio de sesión, seleccione UsarProtocolo de autenticación extensible (EAP) y EAP protegido (PEAP) (cifrado habilitado) y, a continuación,
haga clic en Propiedades.5. Haga clic en Configurar y, a continuación, en Aceptar.6. En Seleccionar método de autenticación, elija Contraseña segura (MS-CHAP v2) o Tarjeta inteligente u otro certificado, en función de la implementación.7. Seleccione Habilitar cuarentena.8. En las ventanas Propiedades de conexión VPN, haga clic en Aceptar tres veces.
Alojamiento de los clientes no compatibles con NAP (opcional)
Los clientes que ejecutan otros sistemas operativos pueden formar parte de una implementación de NAP. Estos clientes deben conectarse a la red a través de Connection Manager. Debe configurar el servidor de directivas de red (NPS) para situar a estos clientes en la red de cuarentena. A continuación, podrán unir la red de Clientes de VPN mediante el servicio de cuarentena de acceso remoto (RQS) o el cliente de cuarentena de acceso remoto (RQC).Para obtener información sobre cómo utilizar Connection Manager, obtenga acceso al Kit de administración de Connection Manager (http://go.microsoft.com/fwlink/?LinkID=16616). Para obtener detalles de configuración en NPS, vea "Configurar una directiva de red para los clientes no compatibles con NAP" en Configuración de las directivas de red NPS.Interoperabilidad con la guía de solución de BranchCachePublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Importante:
Forefront TMG2010 Service Pack 1 (SP1) ofrece la implementación simplificada de BranchCache en la sucursal, usando Forefront TMG como servidor de caché hospedada de BranchCache. Para obtener información sobre la planificación y configuración de BranchCache en SP1, vea Planeación para BranchCache (SP1) y Configurar BranchCache en Forefront TMG (SP1).
Esta guía de solución trata de la interoperabilidad de Forefront TMG y BranchCache, una característica de Windows 7 y Windows Server 2008 R2, que habilita el contenido web en una red de área extendida (WAN) que se va a almacenar en memoria caché en equipos de una sucursal local, mejorando así el tiempo de respuesta de la aplicación y reduciendo el tráfico WAN. Los administradores de sucursal que desean consolidar varias soluciones de redes, acceso, protección y almacenamiento en caché, en un único host, pueden implementar Forefront TMG y BranchCache a la vez:
Forefront TMG ofrece para el almacenamiento en memoria caché del tráfico de Internet desde el acceso a Internet directo o un proxy de Forefront TMG que precede en la cadena que se encuentran en las sedes centrales.
BranchCache ofrece el almacenamiento en caché de las aplicaciones de la línea de negocio HTTP/1.1, HTTPS/1.1, BITS, SMB2.1 (incluyendo la firma SMB 2.1), incluso cuando se usa con IPsec.
Forefront TMG también ofrece:
Acceso web seguro mediante la inspección de HTTPS, filtrado de URL y protección contra malware.
Firewall y sistema de inspección de red (NIS).
Proxy inverso (publicación de web) de las aplicaciones web en la sucursal.
VPN de sitio a sitio.
VPN de usuario móvil.
Implementación de Forefront TMG y BranchCache
122
Para eliminar los problemas que no están relacionados con la interoperación de Forefront TMG y BranchCache, debería validar que BranchCache e Forefront TMG funcionan de la manera esperada cada uno por su cuenta, mientras el otro está deshabilitado.
Sugerencia:
Para obtener más información acerca de BrancheCache, lea la guía de implementación de BranchCache (http://go.microsoft.com/fwlink/?LinkId=179753).
EscenariosHay dos escenarios principales para la interoperabilidad de Forefront TMG y BranchCache:
Forefront TMG y BranchCache se implementan en el mismo host. Para obtener una descripción de este escenario, vea Forefront TMG y caché hospedada de BranchCache implementadas en el mismo host.
Forefront TMG o ISA Server 2006 se usa como la puerta de enlace de red a la red corporativa, y BranchCache se implementa en el modo distribuido o de caché hospedada. Para obtener una descripción de este escenario, vea Implementación de Forefront TMG o ISA Server 2006 como puerta de enlace de red.
Más información
Vea BranchCache en TechNet (http://go.microsoft.com/fwlink/?LinkId=179754).
Protocolos de BranchCache: comprobar las siguientes referencias: MS-PCCRC; MS-PCCRD; MS-PCCRR; MS-PCCRTP; MS-PCHCForefront TMG y caché hospedada de BranchCache implementadas en el mismo hostPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Importante:
Forefront TMG 2010 Service Pack 1 (SP1) ofrece la implementación simplificada de BranchCache en la sucursal, usandoForefront TMG como servidor de caché hospedada de BranchCache. Para obtener información sobre la planeación y configuración de BranchCache en SP1, vea Planeación para BranchCache (SP1) y Configurar BranchCache en Forefront TMG (SP1).
Se deben comunicar los clientes de BranchCache y la memoria caché hospedada de BranchCache. Sin embargo, de manera predeterminada, Forefront TMG bloquea la mayor parte del tráfico destinado de manera explícita para el host o proveniente del mismo (vea System policy rules). Para permitir que BranchCache funciona en el modo de caché hospedada, debe definir las reglas de directiva de Forefront TMG específicas.Un cliente inicia el protocolo de caché hospedada (PCHC, puerto predeterminado 443) para anunciar la disponibilidad del nuevo contenido que ha recuperado para el servidor de caché hospedada. A su vez, el servidor de caché hospedada iniciará una nueva conexión con el protocolo de recuperación (PCCRR, puerto predeterminado 80), para recuperar los datos anunciados del cliente. Los datos se almacenan ahora en la memoria caché del servidor de la memoria caché hospedada. Otro cliente que tiene que recuperar datos almacenados en caché iniciará el protocolo de recuperación (PCCRR) para ponerse en contacto con el servidor de caché hospedada y recuperar el contenido de la memoria caché. Para permitir esta comunicación debe definir dos reglas de directiva de Forefront TMG:
1. Permitir las conexiones de entrada de la memoria caché hospedada: regla que permite a los clientes anunciar nuevo contenido al servidor de caché hospedada y recuperar datos del servidor de caché hospedada.
2. Permitir conexiones de salida de la memoria caché hospedada: regla que permite al servidor de caché hospedada recuperar el contenido anunciado del cliente.En los pasos siguientes se describe cómo crear e implementar las reglas.
Nota:
En estos pasos se recomiendan los nombres usados para definir las reglas y los protocolos para mejorar la legibilidad al consultar el registro para realizar un seguimiento de las comunicaciones de BranchCache.
Paso 1: Escribir qué clientes de puertos están configurados realmente para su uso
Elija cualquier cliente de BranchCache y compruebe el Registro. Las claves del Registro siguiente contendrán el valor real si se han modificados los valores predeterminados.
La clave del Registro de puerto de Recuperación (si no se especifica, el valor predeterminado es 80): HKLM\Software\Microsoft\WindowsNT\CurrentVersion\PeerDist\DownloadManager\Peers\Connection
La clave del Registro de puerto Caché hospedada (si no se especifica, el valor predeterminado es 443): HKLM\Software\Microsoft\Windows NT\CurrentVersion\PeerDist\HostedCache\Connection
Paso 2: Definir el protocolo Recuperación
1. Seleccione el nodo Directiva de firewall.2. Seleccione la pestaña Herramientas.3. Expanda Protocolos.4. Haga clic en Nuevo y, a continuación, seleccione Protocolo.5. Especifique el nombre de definición de protocolo como “BranchCache: recuperación” y haga clic en Siguiente.6. Haga clic en Nuevo y agregue el nuevo protocolo, de la siguiente manera:
a. Tipo de protocolo: TCPb. Dirección: Salidac. Intervalo de puertos: De 80 a 80 (reemplace 80 si se identifica de otra manera en el paso 1)d. Haga clic en Aceptar.
Paso 3: Definir el protocolo de caché hospedada
123
1. Seleccione el nodo Directiva de firewall.2. Seleccione la pestaña Herramientas.3. Expanda Protocolos.4. Haga clic en Nuevo y, a continuación, seleccione Protocolo.5. Especifique el nombre de definición de protocolo como “BranchCache: anuncio” y haga clic en Siguiente.6. Haga clic en Nuevo y agregue el nuevo protocolo, de la siguiente manera:
a. Tipo de protocolo: TCPb. Dirección: Salidac. Intervalo de puertos: De 443 a 443 (reemplace 443 si se identifica de otra manera en el paso 1)d. Haga clic en Aceptar.
Paso 4: Crear una regla para permitir las conexiones de entrada de caché hospedada
1. Seleccione el nodo Directiva de firewall.2. Seleccione la pestaña Tareas.3. Haga clic en Crear regla de acceso.4. Defina el nombre de la regla como “Permitir las conexiones de entrada de la memoria caché hospedada” y, a continuación, haga clic en Siguiente.5. En la página Acción de la regla, seleccione Permitir y, a continuación, haga clic en Siguiente.6. En la página Esta regla se aplica a:
a. Elija Protocolos seleccionados en la lista y, a continuación, haga clic en el botón Agregar.b. En el cuadro de diálogo Agregar protocolos, expanda la carpeta Protocolos definidos por el usuario.c. Seleccione el protocolo BranchCache: recuperación y haga clic en Agregar.d. Seleccione el protocolo BranchCache: anuncio, haga clic en Agregar y, a continuación, haga clic en Cerrar.e. Haga clic en Siguiente.
7. En la página Orígenes de regla de acceso:a. Haga clic en Agregar.b. En el cuadro de diálogo Agregar entidades de red, expanda la carpeta Redes, seleccione Red interna, haga clic en Agregar y, a continuación, en Cerrar.c. Haga clic en Siguiente.
8. En la página Destinos de regla de acceso: a. Haga clic en Agregar.b. En el cuadro de diálogo Agregar entidades de red, expanda la carpeta Redes, seleccione Host local, haga clic en Agregar y, a continuación, en Cerrar.c. Haga clic en Siguiente.
9. En la página Conjuntos de usuario, haga clic en Siguiente para aplicar la regla a todos los usuarios.10. En la página Completar el Asistente para nueva regla de acceso, haga clic en Finalizar para cerrar el asistente.
Paso 5: Crear una regla para permitir las conexiones de salida de caché hospedada
1. Seleccione la pestaña Directiva de firewall.2. Seleccione la pestaña Tareas.3. Haga clic en Crear regla de acceso. 4. Defina el nombre de la regla como “Permitir las conexiones de salida de la memoria caché hospedada” y haga clic en Siguiente. 5. En la página Acción de la regla, seleccione Permitir y, a continuación, haga clic en Siguiente.6. En la página Esta regla se aplica a:
a. Elija Protocolos seleccionados en la lista y, a continuación, haga clic en el botón Agregar.b. En el cuadro de diálogo Agregar protocolos, expanda la carpeta Protocolos definidos por el usuario.c. Seleccione el protocolo BranchCache: recuperación y haga clic en Agregar.d. Haga clic en Siguiente.
7. En la página Orígenes de regla de acceso:a. Haga clic en Agregar.b. En el cuadro de diálogo Agregar entidades de red, expanda la carpeta Redes, seleccione Host local, haga clic en Agregar y, a continuación, en Cerrar.c. Haga clic en Siguiente.
8. En la página Destinos de regla de acceso: a. Haga clic en Agregar.b. En el cuadro de diálogo Agregar entidades de red, expanda la carpeta Redes, seleccione Red interna, haga clic en Agregar y, a continuación, en Cerrar.c. Haga clic en Siguiente.
9. En la página Conjuntos de usuario, haga clic en Siguiente para aplicar la regla a todos los usuarios.10. En la página Completar el Asistente para nueva regla de acceso, haga clic en Finalizar para cerrar el asistente.
Paso 6: Aplicar la directiva actualizada
Haga clic en Aplicar para guardar los cambios y actualizar la configuración.Paso 7: Validar que la memoria caché hospedada está trabajando correctamente
1. Elija cualquier cliente en la sucursal.2. Abra el Monitor de rendimiento y realice un seguimiento del contador “Bytes de la memoria caché” de BranchCache y anote el valor actual
Sugerencia:
Para obtener más información sobre los contadores de BranchCache, vea Contadores de rendimiento (http://go.microsoft.com/fwlink/?LinkId=165667).
3. Abra el explorador de Internet. Borre la memoria caché del explorador para asegurarse de que no se utiliza en esta validación.
Nota:
Instrucciones para borrar la memoria caché con Internet Explorer 8:a. En el menú Herramientas, seleccione Opciones de Internet.
124
b. En la pestaña General, en la sección Historial de exploración, haga clic en el botón Eliminar….c. En el cuadro de diálogo abierto, active la casilla Archivos temporales de Internet y desactive las demás casillas y, a continuación, haga clic en Eliminar.d. Espere a que se complete la operación y, a continuación, cierre los cuadros de diálogo.
4. Con el cliente, obtenga acceso a un objeto y descárguelo con un tamaño conocido desde una aplicación HTTP/S de un servidor Windows 2008 R2. 5. Resultado esperado:
Si nunca se ha obtenido acceso al objeto desde la sucursal, el contador debería incrementarse por el tamaño del objeto en el tercer intento de obtener acceso al mismo (entre intentos, asegúrese de borrar la memoria caché del explorador).
Si ya se ha obtenido acceso al objeto desde la sucursal, el contador debería incrementarse por el tamaño del objeto en el primer o el segundo intento.Paso 8: (Opcional) Reducir el impacto de la inspección del NIS en el tráfico de caché hospedada
El NIS es una característica de inspección de tráfico basado en la descodificación de protocolo Forefront TMGque usa firmas de vulnerabilidades conocidas para detectar y bloquear potencialmente ataques en los recursos de la red (para obtener más información acerca del NIS, vea Habilitar y configurar el sistema de inspección de red). Este tema no es aplicable si el NIS no está habilitado. Para comprobar si el NIS está habilitado:
1. Seleccione el nodo Sistema de prevención de intrusiones.2. En el panel Tareas, haga clic en Configurar propiedades.3. En la ficha General compruebe que la casilla Habilitar NIS está activada.
Al habilitarse, el NIS inspeccione todo el tráfico, incluyendo el tráfico destinado de manera explícita para el host o proveniente del mismo. Como resultado, los usuarios pueden tener un aumento en la latencia al recuperar objetos almacenados en caché del servidor de caché hospedada.En el caso de que el impacto sea importante, se recomienda elegir una de las siguientes opciones para mitigar el problema:
1. Deshabilite la inspección del NIS de manera exclusiva para el tráfico destinado de manera explícita para el host o proveniente del mismo.
Nota:
El riesgo de deshabilitar el NIS para el tráfico destinado de manera explícita para el host o proveniente del mismo es mínimo, por los siguientes motivos:
El NIS se aplica a todo los demás tráficos, continuando defendiendo todas las máquinas internas sin revisiones. El propio Forefront TMG, como dispositivo de seguridad perimetral, se espera que reciba revisiones en todo momento y esté protegido de esta manera de todas las amenazas conocidas.
De manera predeterminada, el NIS no inspecciona tráfico que no sea HTTP/HTTPS destinado explícitamente al host o proveniente del mismo; así, al deshabilitar el NIS en el host local no se verán afectados otros protocolos.
Forefront TMG no inicia el acceso web saliente. Como resultado, la vulnerabilidad del propio host a las amenazas de origen web es muy baja. Como práctica de seguridad habitual, a los administradores se les aconseja no explorar Internet desde el host de Forefront TMG.
Para deshabilitar el NIS para el tráfico destinado de manera explícita al host o proveniente del mismo:
d. La siguiente clave del Registro tiene un valor predeterminado de 1. Para deshabilitar la inspección del tráfico de localhost, use Regedit en el host para
asignarle un valor de 0.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\IPS\IPS_LOCALHOST_INSPECTION_MODEe. Vuelva a aplicar la directiva de Forefront TMG:
Abra cualquier regla de directiva de firewall y agregue un espacio en cualquier lugar de la descripción de la regla. Haga clic en Aplicar.2. Cambie los números de puerto predeterminados de los protocolos de BranchCache (desde 80 y 443) a los números de puerto personalizados.
Explicación: de forma predeterminada el NIS inspecciona solo HTTP y HTTPS en el tráfico de localhost. Para conservar dicha inspección sin afectar al rendimiento de BranchCache, es necesario que los puertos predeterminados de BranchCache se cambien a cualquier otro puerto disponible.
Implementación de Forefront TMG o ISA Server 2006 como puerta de enlace de redPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El tráfico de BranchCache debe poder atravesar cualquier puerta de enlace que se implemente entre la red corporativa y la sucursal. En este tema se hace referencia a casos en los que se implementa Forefront TMG o ISA Server 2006 como puerta de enlace y el modo de Caché hospedada de BranchCache se implementa en un servidor diferente.Implementación de Forefront TMG como puerta de enlace
Cuando se implementa Forefront TMG como puerta de enlace entre la red corporativa y la sucursal, no se necesita ninguna directiva explícita para permitir el paso del tráfico de BranchCache entre la sucursal y la red corporativa. De forma predeterminada, Forefront TMG bloquea todo el tráfico entre la sucursal y la red corporativa, de modo que, para permitir el acceso a las aplicaciones de línea de negocio (LOB) a través de HTTP o HTTPS, se debe configurar la directiva de Forefront TMG correspondiente. Los protocolos de BranchCache se implementan encima del transporte HTTP y HTTPS normal, Forefront TMG lo reconoce y permite el tráfico de BranchCache como si fuese tráfico HTTP/HTTPS normal. De este modo, la misma directiva de HTTP/HTTPS que permite el acceso a las aplicaciones LOB permitirá sin problemas el tráfico de BranchCache a través de Forefront TMG (frente a lo que sucede desde o hacia Forefront TMG).Implementación de ISA Server 2006 como puerta de enlace
ISA Server 2006 no reconoce el tráfico de BranchCache y, por consiguiente, no puede validarlo. Como resultado, de forma predeterminada, ISA Server 2006 bloquea el tráfico de BranchCache para reducir el riesgo. Para permitir el paso del tráfico de BranchCache entre la sucursal y la red corporativa, es preciso deshabilitar el filtro web de compresión de ISA Server 2006.
Sugerencia:
125
Al deshabilitar el filtro web de compresión, también se permite el paso de contenido de aceptación de codificación (Accept-Encoding) no reconocido. La última versión, es decir, Forefront TMG, reconoce el tráfico de BranchCache (así como otras codificaciones conocidas) y permite su paso, mientras que bloquea el tráfico no reconocido. Además, las características de inspección de red (NIS) y contra malware de Forefront TMG examinan el tráfico en busca de código malintencionado y ataques conocidos antes de permitir el paso del tráfico.
Para deshabilitar el filtro de compresión en ISA Server 2006:
1. Seleccione el nodo del sistema.2. Haga clic en la pestaña Filtros web.3. Haga doble clic en la entrada Filtro de compresión para abrir las propiedades del filtro.4. Desactive la casilla Habilitar este filtro.5. Haga clic en Aceptar y, a continuación, en Aplicar para implementar el cambio.
Guía de solución de puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront Threat Management Gateway (Forefront TMG) permite a los empleados de la empresa usar Internet de forma segura y productiva en su trabajo, sin tener que preocuparse del malware ni de otras amenazas. Proporciona varias capas de protección que se actualizan continuamente y se encuentran integradas en una puerta de enlace unificada fácil de administrar, lo que reduce el costo y la complejidad de la seguridad web.
Nota:
Se da por supuesto que Forefront TMG se instaló de acuerdo con la topología de implementación correcta. Para obtener más información, vea Planear la implementación de la puerta de enlace web segura de Forefront TMG.
Acerca esta guíaEsta guía está dirigida a administradores de seguridad e ingenieros de operaciones de TI que conocen bien el funcionamiento de Forefront TMG a nivel funcional, así como los requisitos organizativos que quedarán reflejados en el diseño de la puerta de enlace web segura. Esta guía tiene como objetivo ayudarle a planear, implementar y mantener una puerta de enlace web segura de Forefront TMG de acuerdo con los requisitos de su organización y el diseño concreto que desee crear. Esta guía contiene los siguientes temas:
Acerca de la puerta de enlace web segura de Forefront TMG
Características de la puerta de enlace web segura de Forefront TMG
Planear la implementación de la puerta de enlace web segura de Forefront TMG
Configurar la puerta de enlace web segura de Forefront TMG
Comprobar la implementación de la puerta de enlace web segura de Forefront TMG
Sugerencia:
Para conocer el hardware recomendado para la puerta de enlace web segura de Forefront TMG, vea Forefront TMG 2010 hardware recommendations (http://go.microsoft.com/fwlink/?LinkId=183987).
Para obtener información sobre cómo solucionar los problemas de algunas de las características de la puerta de enlace web segura de Forefront TMG, vea Troubleshooting Web access protection (http://go.microsoft.com/fwlink/?LinkId=183985).
Si desea consultar la documentación completa de Forefront TMG, vaya a la biblioteca TechNet (http://go.microsoft.com/fwlink/?LinkID=131702) de Forefront TMG.
Acerca de la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Una puerta de enlace web segura es una solución diseñada para ayudar a proteger a los usuarios de las amenazas procedentes de la Web. Forefront TMG proporciona una solución de puerta de enlace web segura completa para la protección de los usuarios de la empresa, tanto de la sede central como las sucursales, cuando navegan por Internet. La protección se proporciona mediante la integración de varias tecnologías de protección contra las amenazas, que incluyen el filtrado de URL, la inspección de HTTPS, la protección contra malware y la detección basada en firmas de vulnerabilidades conocidas del sistema operativo y las aplicaciones.Los mecanismos de control granular de la puerta de enlace web segura de Forefront TMG permiten exigir el cumplimiento de las directivas reguladoras y corporativas, proporcionando a los empleados un acceso seguro al contenido aprobado, incluido el contenido cifrado mediante SSL, con las siguientes ventajas:
Mejora de la seguridad de la red de la empresa al evitar el acceso a sitios malintencionados, como sitios de suplantación de identidad (phishing).
Disminución de los riesgos de responsabilidad legal al evitar el acceso a sitios que muestran material inapropiado, como sitios con contenido pornográfico o que incitan al odio o actividades delictivas.
Mejora de la productividad de la organización, al evitar el acceso a sitios improductivos, como páginas de juegos o mensajería instantánea.
Protección de la privacidad del empleado, al excluir sitios confidenciales, como páginas de bancos, de la inspección.Características de la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se proporciona información general acerca de las características de la puerta de enlace web segura de Forefront TMG y se facilita la tarea de identificar los objetivos de implementación de la puerta de enlace web segura que son más adecuados para la organización. En función de los objetivos de implementación, se puede seleccionar la implementación de todas las características de la puerta de enlace web segura o una combinación de características que se ajuste a sus objetivos concretos. Para obtener más información, vea Identificar los objetivos de implementación de la puerta de enlace web segura.
Información general acerca de las características de la puerta de enlace web seguraLa puerta de enlace web segura de Forefront TMG incorpora las siguientes características:
126
Filtrado de URL: las direcciones URL de destino se examinan para determinar si cumplen la directiva corporativa y si constituyen un riesgo potencial para los sitios web de destino. El filtrado de URL identifica determinados tipos de sitios web, como sitios malintencionados conocidos y sitios que muestran material pornográfico o inadecuado, y permite o bloquea el acceso a dichos sitios en función de las categorías de URL predefinidas correspondientes. Se puede permitir o bloquear el acceso a las categorías configuradas los días de la semana seleccionados (por ejemplo, durante el fin de semana) o en momentos concretos del día (por ejemplo, durante las horas laborables).
Nota:
Se entiende por URL de destino las solicitudes HTTP que se originan en clientes ubicados en redes protegidas por Forefront TMG.
El filtrado de URL comprueba las direcciones URL en Microsoft Reputation Services, que combina varios orígenes para aumentar la cobertura de direcciones URL, así como la clasificación por categorías y características, a más de 90 categorías de URL (como Malintencionados, Anonimato o Drogas ilegales). Según la directiva creada por el administrador de Forefront TMG, el filtrado de URL permite o bloquea el acceso al sitio solicitado.
También puede ejecutar el filtrado de URL en modo de informe para que se supervise el tráfico y obtener informes sin llegar a bloquear o permitir el acceso. Puede usar los informes y las entradas de registro para obtener información acerca del uso que hace su organización de Internet; por ejemplo, cuáles son las categorías de URL que más se examinan. Para obtener más información, vea Planeación para el filtrado URL (http://go.microsoft.com/fwlink/?LinkId=168614).
Inspección de HTTPS: permite a Forefront TMG inspeccionar el contenido del tráfico web cifrado mediante SSL de los usuarios. Al inspeccionar el interior de estas sesiones cifradas, Forefront TMG puede detectar posible malware y aplicar la directiva corporativa, por ejemplo, bloqueando el acceso a los sitios cuyos certificados estén anticuados. Los sitios que contienen información confidencial, como sitios de bancos, se pueden excluir de la inspección por motivos de privacidad. Para obtener más información, vea Planeación para la inspección de HTTPS (http://go.microsoft.com/fwlink/?LinkId=168613).
Inspección de malware: el tráfico web saliente, incluidos los archivos de carpetas almacenadas, se inspecciona en busca de virus y malware. Se pueden bloquear los archivos cifrados.
Nota:
La inspección de salida hace referencia a las solicitudes HTTP que se originan en clientes ubicados en redes protegidas por Forefront TMG.
Dado que la inspección de malware puede producir retrasos en la entrega de contenido del servidor al cliente, Forefront TMG permite dar forma a la experiencia del usuario mientras se examina el contenido web en busca de malware mediante la selección de uno de los siguientes métodos de entrega para el contenido examinado:
Generación: Forefront TMG envía partes del contenido al usuario a medida que se inspeccionan los archivos. Este proceso ayuda a evitar que la aplicación cliente alcance el límite de tiempo de espera antes de que se descargue e inspeccione todo el contenido.
Notificación de progreso: Forefront TMG envía una página HTML al equipo cliente para informar al usuario de que se está inspeccionando el contenido solicitado e indicar el progreso de descarga e inspección. Una vez que han finalizado la descarga y la inspección del contenido, se informa al usuario de que el contenido está listo y se muestra un botón para descargarlo.
Para obtener más información, vea Planeación para proteger frente a contenido web malintencionado (http://go.microsoft.com/fwlink/?LinkId=168615).
Sistema de inspección de red (NIS): es posible inspeccionar el tráfico para detectar vulnerabilidades conocidas de los sistemas operativos y las aplicaciones. A partir del análisis de protocolos, NIS permite bloquear los ataques y, al mismo tiempo, minimizar los falsos positivos; los conjuntos de firmas y motores se actualizan de forma continua y automática para administrar nuevas amenazas y vulnerabilidades, por ejemplo, a través de la publicación regular de actualizaciones de seguridad de Microsoft el segundo martes de cada mes.
NIS, que es un componente de firmas de vulnerabilidad del Sistema de prevención de intrusiones (IPS) de Forefront TMG, incluye una directiva recomendada predefinida, lista para usar. Además, NIS proporciona control granular y funcionalidad de configuración de directivas para cumplir las necesidades específicas y los requisitos de solución de problemas y de investigación de cada organización. Para obtener más información, vea Planeación de la protección frente a vulnerabilidades conocidas (http://go.microsoft.com/fwlink/?LinkId=168616).
Almacenamiento en caché: Forefront TMG proporciona a las organizaciones que administran grandes volúmenes de tráfico web funcionalidad de almacenamiento en caché para mejorar la experiencia de navegación de los usuarios en la Web y reducir el costo del ancho de banda. Con el mecanismo de reglas de caché centralizado de Forefront TMG se puede configurar el modo de recuperar y proporcionar desde la memoria caché los objetos almacenados en ella. Para obtener más información, vea Planeación para almacenar en caché el contenido web (http://go.microsoft.com/fwlink/?LinkId=168617).
En el caso de las implementaciones de sucursal, Forefront TMG puede interoperar con BranchCache, una característica de Windows 7 y Windows Server 2008 R2 que permite almacenar en caché el contenido web de una red de área extensa (WAN) en los equipos de una sucursal local, mejorando tiempo de respuesta de la aplicación y reduciendo el tráfico en la red WAN. Para obtener más información, vea los siguientes artículos:
BranchCache (http://go.microsoft.com/fwlink/?LinkId=168634)
Interoperability with BranchCache solution guide (http://go.microsoft.com/fwlink/?LinkID=179641)
Nota:
La inspección de malware y NIS usan las actualizaciones de productos de Microsoft para mantener las definiciones de protección actualizadas en todo momento. Para obtener más información, vea Planeación de las actualizaciones de definiciones de protección.
Identificar los objetivos de implementación de la puerta de enlace web segura En la siguiente tabla se enumeran los posibles objetivos de implementación de la puerta de enlace web segura de Forefront TMG. Después de identificar los objetivos adecuados para su organización, puede asignarlos a las características de Forefront TMG pertinentes.
Objetivo de implementación Características de Forefront TMG
Proteger la organización del malware y otras amenazas de la Web Filtrado de URL
127
Inspección de HTTPS Inspección de malware
Proteger la red contra las vulnerabilidades del sistema operativo y las aplicaciones NIS
Reducir el costo del ancho de banda Filtrado de URL Almacenamiento en caché
Mejorar el rendimiento y los tiempos de respuesta de las solicitudes web Almacenamiento en caché
Planear la implementación de la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El objetivo de este tema es ayudarle a planear la implementación de la puerta de enlace web segura de Forefront TMG en su organización.
Nota:
Antes de empezar, asegúrese de que Forefront TMG se ha instalado, configurado y probado en su entorno. Para obtener información, vaya a la biblioteca TechNet (http://go.microsoft.com/fwlink/?LinkID=131702) de Forefront TMG.
Para conocer el hardware recomendado para la puerta de enlace web segura de Forefront TMG, vea Forefront TMG 2010 hardware recommendations (http://go.microsoft.com/fwlink/?LinkId=183987).
En este tema se describe lo siguiente:
Planear la topología de red de la puerta de enlace web segura
Planeación para el filtrado URL
Planeación para la inspección de HTTPS
Planeación de las actualizaciones de definiciones de protección
Plan para generar informes de Forefront TMG
Planear la topología de red de la puerta de enlace web seguraNormalmente, las organizaciones implementan la puerta de enlace web segura dentro de la red, no en el perímetro de la red. En el caso de la puerta de enlace web segura de Forefront TMG, la ubicación de Forefront TMG en la red depende de la funcionalidad de la implementación, como se indica a continuación:Si solo utiliza Forefront TMG como puerta de enlace web segura, se implementa dentro de la red. Se recomiendan las siguientes topologías de red de Forefront TMG para implementar únicamente la puerta de enlace web segura:
Firewall posterior: en esta topología, Forefront TMG se encuentra en el back-end de la red y otros elementos de red, como una red perimetral o un dispositivo de seguridad perimetral, se encuentran entre Forefront TMG y la red externa.
Adaptador de red único: esta topología proporciona una funcionalidad de Forefront TMG limitada. En esta topología, Forefront TMG está conectado únicamente a una red, bien la red interna o una red perimetral.
Si usa Forefront TMG como puerta de enlace web segura y como firewall, se implementa fuera de la red. Las siguientes topologías de red de Forefront TMG son adecuadas para este tipo de implementación:
Firewall perimetral: en esta topología, Forefront TMG se encuentra en el perímetro de la red, donde actúa como firewall perimetral de la organización, y está conectado a dos redes: la red interna y la red externa (normalmente, Internet).
Perímetro de 3 secciones: esta topología implementa una red perimetral. Forefront TMG está conectado por lo menos a tres redes físicas: la red interna, una o más redes perimetrales, y la red externa.
Para obtener más información, vea Planeación de la topología de red de Forefront TMG (http://go.microsoft.com/fwlink/?LinkId=179309).
Nota:
Se entiende por red de Forefront TMG la red física o lógica en la que se instala Forefront TMG.
Planeación para el filtrado URLEl filtrado de URL está basado en la suscripción y forma parte de la licencia de Forefront TMG Web Security Service. Para obtener información sobre las licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).
Planeación para la inspección de HTTPSPara inspeccionar el tráfico HTTPS, debe haber un certificado de una entidad de certificación (CA) en el servidor Forefront TMG, que se debe implementar además en todos los equipos cliente. Puede obtener el certificado de una de estas dos maneras:
128
Generar un certificado autofirmado en el servidor de Forefront TMG.
Importar un certificado emitido por una entidad de certificación raíz de su organización o por una entidad de certificación pública de confianza, es decir, creado por una entidad externa como VeriSign. El certificado debe ser un archivo de intercambio de información personal (.pfx), y debe ser de confianza para el servidor de Forefront TMG.
Si piensa importar un certificado, colóquelo en el servidor de Forefront TMG antes de configurar la inspección de HTTPS. Para obtener más información, vea Administrar los certificados de inspección de HTTPS.En implementaciones de varias matrices, el certificado de inspección de HTTPS se genera o se importa para cada una de las matrices.
Planeación de las actualizaciones de definiciones de protecciónLa inspección de malware y el Sistema de inspección de red (NIS) usan las actualizaciones de productos de Microsoft para mantener las definiciones de protección actualizadas en todo momento.
Nota:
Microsoft Update proporciona los archivos de definición actualizados y están sujetos a licencias. Para obtener información sobre las licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=157421).
Puede optar por actualizar los archivos de definición mediante uno de los dos métodos siguientes:
Microsoft Update: las actualizaciones que se publican a través de Microsoft Update se instalan en el equipo de Forefront TMG.
Windows Server Update Services (WSUS): para las matrices de Forefront TMG, puede implementar WSUS en la red en la que se implemente Forefront TMG. Un solo servidor descarga las actualizaciones que se publican a través de Microsoft Update y distribuye las actualizaciones a todos los equipos con Forefront TMG de la red. Este es el método de actualización recomendado para las matrices de Forefront TMG, ya que, además de posibilitar la administración centralizada, ahorra tiempo y ancho de banda de red. Para obtener más información, vea Introducción a Microsoft Windows Server Update Services 3.0 (http://go.microsoft.com/fwlink/?LinkId=108173).
Nota:
Puede seleccionar usar Microsoft Update si se produce un error en la actualización desde WSUS. Si va a unir un servidor de Forefront TMG de producción a una matriz, descargue las actualizaciones en el servidor antes de unirlo a la matriz.
Para obtener información sobre cómo seleccionar el método de actualización, vea Administrar las actualizaciones de definiciones para la inspección de malware y NIS.Forefront TMG permite de forma predeterminada la entrada y salida de tráfico desde los distintos sitios de actualización de Microsoft. Sin embargo, si experimenta problemas de conexión con el sitio de Microsoft Update, consulte la sección sobre cómo solucionar los problemas de conectividad con los sitios de actualización en Configurar la conectividad para actualizar los sitios (http://go.microsoft.com/fwlink/?LinkId=179312).
Plan para generar informes de Forefront TMGLos informes de Forefront TMG permiten resumir y analizar las actividades de Forefront TMG, incluidos el uso de la Web y las actividades de los mecanismos de protección de Forefront TMG. Las categorías de informes de la puerta de enlace web segura de Forefront TMG incluyen las siguientes:
Uso de web
Protección contra código malintencionado
Filtrado de URL
Sistema de inspección de redPara obtener información general sobre los informes de Forefront TMG, así como instrucciones para configurarlos y consultarlos, vea Configurar los informes de Forefront TMG (http://go.microsoft.com/fwlink/?LinkId=179492).Configurar la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los temas de esta sección tienen como objeto guiarle en el proceso de configuración de la puerta de enlace web segura de Forefront TMG.
Nota:
Se supone que Forefront TMG ya se encuentra instalado e implementado en la organización.
Los pasos de configuración que debe realizar dependen de la implementación de la puerta de enlace web segura y los objetivos de implementación que identificó y asignó a las características de Forefront TMG, tal y como se describe en Identificar los objetivos de implementación de la puerta de enlace web segura. En los siguientes temas se describen los pasos que pueden ser necesarios para configurar una puerta de enlace web segura de Forefront TMG:
Configurar el filtrado de URL en la puerta de enlace web segura de Forefront TMG
Configurar la inspección de HTTPS en la puerta de enlace web segura de Forefront TMG
Configurar la inspección de malware en la puerta de enlace web segura de Forefront TMG
Configurar NIS en la puerta de enlace web segura de Forefront TMG
Administrar las actualizaciones de definiciones para la inspección de malware y NIS
Configurar el almacenamiento en caché en la puerta de enlace web segura de Forefront TMGConfigurar el filtrado de URL en la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se proporciona la siguiente información sobre cómo configurar la característica de filtrado de URL en la puerta de enlace web segura de Forefront TMG:
Requisitos previos
129
Información general sobre la configuración
Pasos de configuraciónRequisitos previos
El filtrado de URL está basado en la suscripción y forma parte de la licencia de Forefront TMG Web Security Service. Para obtener información sobre las licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).
El filtrado de URL permite o bloquea el acceso a los sitios solicitados de acuerdo con las categorías de URL predefinidas. Cuando no se encuentra la categorización del sitio en la memoria caché de Forefront TMG, Forefront TMG consulta la categoría en Microsoft Reputation Services (MRS). Para consultar el sitio de MRS remoto, el servidor de Forefront TMG debe estar conectado a Internet.
Información general sobre la configuración
La característica de filtrado de URL forma parte de la directiva de acceso web de Forefront TMG. El proceso de configuración se compone de las fases siguientes:
1. Al definir la directiva de acceso web de la organización, utilice el filtro para excluir los tipos de categorías de destino web que no desea que estén accesibles para los usuarios, como sitios malintencionados o improductivos. Para obtener más información, vea Bloquear los destinos en las reglas de directiva de acceso web.
2. Si es pertinente, defina los períodos de tiempo o los momentos concretos en los que el acceso está restringido. Defina, por ejemplo, que el acceso a los sitios improductivos se bloquee únicamente durante el horario laboral. Para obtener más información, vea Definir el período de actividad de una regla.
3. Si es necesario, puede omitir la categorización existente. Cuando los usuarios solicitan acceso a un sitio web y el acceso al sitio web está bloqueado, reciben una notificación de denegación que incluye la categoría de solicitud denegada; el texto de la notificación se puede personalizar. Si sospecha de que un sitio está categorizado incorrectamente, compruebe su categorización y, si se confirma su sospecha, asígnele la categoría correcta. Para obtener más información, vea Buscar e invalidar la categoría de URL de un sitio.
Puede informar de los problemas de clasificación a Microsoft, aumentando así la probabilidad de que MRS trate las lagunas de cobertura y exactitud específicas de su organización. Para obtener información, vea Comentarios e informes de errores de Microsoft Reputation Services (http://go.microsoft.com/fwlink/?LinkId=178581).
4. Puede personalizar las notificaciones de denegación que los usuarios reciben cuando se bloquea el acceso. Para cada regla de la directiva de acceso web, puede seleccionar una de las siguientes opciones de personalización:
Personalizar el mensaje de denegación de acceso predeterminado. Para obtener más información, vea Personalizar el mensaje de denegación de acceso predeterminado.
Redirigir a los usuarios a una página web que contenga el mensaje personalizado. Para obtener más información, vea Redirigir a los usuarios a una página de denegación de acceso personalizada.
Pasos de configuración
Los siguientes procedimientos le guiarán en la configuración del filtrado de URL.Bloquear los destinos en las reglas de directiva de acceso web
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar directiva de acceso web.3. En la página Reglas de directiva de acceso web del Asistente para directivas de acceso web, permita que Forefront TMG cree una regla predeterminada que
bloquee el acceso a los sitios web que no desea que estén accesibles para los usuarios. 4. En la página Destinos web bloqueados, bloquee el acceso a las categorías de URL y conjuntos de categorías de URL necesarios.5. Después de finalizar el asistente, en la barra Aplicar cambios, haga clic en Aplicar.
Definir el período de actividad de una regla1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. 2. En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar, haga clic en Propiedades y, a continuación, haga clic en la pestaña
Programación. 3. En la lista Programar, seleccione una de las opciones siguientes:
Siempre, para especificar que la regla siempre es aplicable.
Fines de semana, para especificar que la regla solo se aplica en sábado y domingo.
Horas laborables, para especificar que la regla está activa de lunes a viernes, desde las 9:00 hasta las 17:00.
Nota:
Cuando modifica una regla para que solo se aplique en momentos determinados (mediante la configuración de la programación), la programación modificada solo se aplica a las conexiones nuevas. El tráfico de las conexiones existentes seguirá pasando, aunque se produzca en un momento no permitido.
4. Puede modificar los días y las horas de las programaciones predeterminadas, o crear nuevas, como se indica a continuación:
a. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.
b. En la ficha Herramientas, haga clic en Programaciones.
c. Para modificar una programación existente, haga clic para expandir Programaciones y, a continuación, haga doble clic en la programación que desea
modificar. En la pestaña Programación, seleccione un intervalo de tiempo y, a continuación, seleccione Activo o Inactivo.d. Para crear una nueva programación, en la barra de herramientas situada bajo Programaciones, haga clic en Nueva y, a continuación, en la página de
propiedades Nueva programación, especifique la configuración de la programación.Buscar e invalidar la categoría de URL de un sitio
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Consultar categoría de URL.3. En la pestaña Consulta de categorías, escriba una dirección URL o una dirección IP y, a continuación, haga clic en Consulta. El resultado de la categoría se
muestra en la pestaña, así como cierta información acerca del origen de la categorización, como la invalidación, la dirección IP o el alias de dirección URL. 4. Para cambiar la categorización de un sitio, copie la dirección URL o dirección IP, haga clic en la pestaña Invalidación de categorías de URL y, a continuación,
haga clic en Agregar. 5. En Invalidar la categoría de URL predeterminada para este patrón de URL, escriba una dirección URL con el formato: www.contoso.com/*.
Nota:
130
Todas las direcciones URL deben incluir un nombre de host y una ruta de acceso, y pueden incluir una cadena de consulta y caracteres de escape (como “%20” para representar un espacio).
No incluya un protocolo (como HTTP://) con la dirección URL. Forefront TMG no admite el uso de direcciones URL de nombres de dominio internacionalizados (IDN).
6. En Mover patrón de URL a esta categoría de URL, seleccione una categoría de URL correcta.7. Haga clic en Aceptar. Se cierra el diálogo Invalidación de categorías de URL. Haga clic en Aceptar de nuevo y, a continuación, en la barra Aplicar cambios, haga
clic en Aplicar.Personalizar el mensaje de denegación de acceso predeterminado
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. 2. En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Propiedades. 3. En la pestaña Acción, en Acción de solicitud URL denegada, compruebe que se ha seleccionado Mostrar notificación de denegación al usuario. En el cuadro de
Agregar texto personalizado o HTML a la notificación (opcional), escriba el mensaje que desea mostrar a los usuarios que intenten obtener acceso a los sitios web bloqueados.
Nota:
Puede usar etiquetas HTML, como:<a href="mailto:[email protected]?subject=Access to Web site denied">Contact the system administrator</a>.
4. Puede exponer la categoría de URL del sitio web bloqueado a los usuarios seleccionando Agregue la categoría de la solicitud denegada a la notificación. Esta opción solo está disponible cuando el filtrado de URL está habilitado.
Redirigir a los usuarios a una página de denegación de acceso personalizada1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. 2. En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Propiedades. 3. En la pestaña Acción, bajo Acción de solicitud URL denegada, seleccione Redirigir el cliente web a la siguiente dirección URL y, a continuación, escriba la
dirección URL completa con el formato: http://URL. Configurar la inspección de HTTPS en la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas de esta sección se proporciona información sobre la configuración de la inspección de HTTPS en la puerta de enlace web segura de Forefront TMG.La característica de inspección de HTTPS forma parte de la directiva de acceso web de Forefront TMG. Puede usarla para implementar uno de los dos tipos de protección siguientes:
Inspección del tráfico HTTPS y validación de los certificados de sitio HTTPS.
Solo validación de certificados.Los pasos necesarios para configurar la inspección de HTTPS varían en función del tipo de protección que se haya elegido implementar, tal y como se describe en los siguientes temas:
Habilitar y configurar la característica de inspección de HTTPS: describe los pasos necesarios para ambos tipos de protección.
Administrar los certificados de inspección de HTTPS: describe los pasos necesarios si opta por implementar solo la inspección del tráfico HTTPS; no son necesarios si decide implementar la inspección HTTPS solo para la validación de certificados.
Notificar a los usuarios la inspección de HTTPS: describe los pasos necesarios para que los usuarios reciban notificaciones cuando Forefront TMG inspeccione el tráfico HTTPS. Puede ser necesario para cumplir las directivas de privacidad corporativas o las leyes estatales.
Habilitar y configurar la característica de inspección de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes procedimientos se explica cómo habilitar y configurar la característica de inspección de HTTPS en Forefront TMG:
Habilitar la inspección de HTTPS
Excluir sitios y equipos de la inspección de HTTPS
Configurar la directiva de validación de certificadoHabilitar la inspección de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar directiva de acceso web. 3. En la página Configuración de la inspección de HTTPS del Asistente para directivas de acceso web, seleccione Permitir a los usuarios establecer conexiones
HTTPS con sitios web y, a continuación, seleccione el tipo de protección necesario: El siguiente paso depende del tipo de protección seleccionado:
Si selecciona Inspeccionar el tráfico HTTPS y validar los certificados de los sitios HTTPS, continúe en el paso siguiente de este procedimiento.
Si selecciona No inspeccionar el tráfico HTTPS, pero validar los certificados de los sitios HTTPS, ha completado este procedimiento. Haga clic en Siguiente para continuar en el siguiente paso del asistente. Al final del asistente, haga clic en Finalizar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar. Vaya a Configurar la directiva de validación de certificado.
4. En la página Preferencias de inspección de HTTPS del asistente, seleccione si desea notificar a los usuarios que se está inspeccionando el tráfico HTTPS.
Importante:
Si decide habilitar las notificaciones al usuario, habilite las notificaciones de inspección de HTTPS en el cliente de Forefront TMG en todos los equipos cliente; para ello, seleccione Notificarme cuando se inspeccione el contenido enviado a sitios web seguros en la pestaña Inspección de conexión segura.
131
5. En la página Preferencias de inspección de HTTPS del asistente, seleccione si desea crear el certificado de inspección de HTTPS con Forefront TMG, personalizar ciertos aspectos del certificado (como su nombre) o importar un certificado existente. Para obtener más información, vea Administrar los certificados de inspección de HTTPS.
6. En la página Preferencias de implementación de certificados del asistente, seleccione si se implementará el certificado de entidad de certificación raíz de confianza de inspección de HTTPS automáticamente mediante Active Directory o manualmente con la exportación e importación del certificado.
Nota:
Cuando se use Active Directory para implementar el certificado de inspección de HTTPS en los equipos cliente, en el cuadro Nombre del administrador del dominio, escriba el nombre con el formato Dominio\Nombre de usuario. Tenga en cuenta que el dominio en el que se definen las cuentas de usuario debe ser el mismo dominio al que está unido Forefront TMG. Para obtener más información, vea Administrar los certificados de inspección de HTTPS.
7. Siga avanzando a través del asistente y, al final de este, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar.Excluir sitios y equipos de la inspección de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar inspección de HTTPS. 3. Para excluir sitios de la inspección, en la pestaña Excepciones de destino, haga clic en Agregar.4. En el cuadro de diálogo Agregar entidades de red, seleccione las categorías de URL, los conjuntos de categorías de URL y los nombres de dominio que desea
excluir de la inspección de HTTPS y, a continuación, haga clic en Agregar. Si desea excluir un conjunto de categorías o un conjunto de dominios que no está en las listas existentes, haga clic en Nuevo y cree el conjunto que precisa.Cuando haya terminado de agregar sitios, haga clic en Cerrar.
5. De forma predeterminada, Forefront TMG inspecciona la validez del certificado HTTPS para todos los sitios, incluso los que se excluyan de la inspección. Si no desea que Forefront TMG lleve a cabo esta comprobación de seguridad para un sitio determinado, haga clic en el sitio y, a continuación, haga clic en Sin validación.
6. Para excluir equipos de la inspección, en la pestaña Excepciones de origen, haga clic en Agregar.7. En el cuadro de diálogo Agregar entidades de red, seleccione los equipos y conjuntos de equipos que desea excluir de la inspección de HTTPS y, a continuación,
haga clic en Agregar. Si desea excluir un equipo o conjunto de equipos que no está en las listas existentes, haga clic en Nuevo y cree la entrada que precise. Cuando haya terminado de agregar equipos, haga clic en Cerrar.
Configurar la directiva de validación de certificado
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el recuadro Tareas, en Tareas de protección web, haga clic en Configurar inspección de HTTPS. 3. En la ficha Validación de certificados, ajuste la configuración de validación de certificado según sea necesario.
Nota:
Para que Forefront TMG compruebe si se ha revocado un certificado, debe habilitarse la regla de la directiva del sistema "Permitir todo el tráfico HTTP desde Forefront TMG hacia todas las redes (para las descargas de CRL)". Si no se habilita esta regla, Forefront TMG puede permitir el acceso a los sitios HTTPS sin validar el estado de revocación de los certificados.
4. Si el tipo de protección que seleccionó cuando habilitó la inspección de HTTPS incluye la inspección del tráfico HTTPS, seleccione la pestaña Excepciones de destino y revise la lista de sitios HTTPS excluidos de la inspección. De forma predeterminada, Forefront TMG comprueba la validez de los certificados para estos sitios. Si no desea que Forefront TMG valide el certificado de un sitio excluido de la inspección de HTTPS, haga clic en el sitio y, a continuación, en Sin validación.
5. Haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.Administrar los certificados de inspección de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se explica cómo instalar e implementar los certificados de inspección de HTTPS para la inspección del tráfico HTTPS, incluidos los requisitos previos y los procedimientos de configuración. Esos pasos no serán necesarios si solo implementa la inspección de HTTPS para la validación de certificados.Requisitos previos
Para inspeccionar el tráfico HTTPS, debe haber un certificado de una entidad de certificación (CA) en el servidor Forefront TMG, que se debe implementar además en todos los equipos cliente. Para obtener información sobre cómo se puede obtener el certificado, vea Planeación para la inspección de HTTPS.
En una matriz administrada por un servidor EMS (Enterprise Management Server), el certificado se debe instalar en cada una de las matrices administradas por dicho servidor.
Cuando se usa un certificado de una entidad de certificación local o pública, el certificado debe ser de confianza para el servidor de Forefront TMG.
La implementación automática del certificado requiere que Forefront TMG se implemente en un entorno de dominio; en un entorno de grupo de trabajo, el certificado se implementa manualmente en cada equipo cliente.
En el caso de las aplicaciones que usan almacenes de certificados de su propiedad, como Mozilla Firefox, es preciso implementar el certificado manualmente, lo que incluye la implementación para los usuarios del dominio.
Para notificar a los usuarios la inspección del tráfico HTTPS, el cliente de Forefront TMG debe estar instalado en los equipos cliente.Información general sobre la configuración
Para administrar la certificación de la inspección de HTTPS se requieren dos pasos:
1. Ubicar un certificado de una entidad de certificación en el servidor de Forefront TMG; este certificado actúa como certificado de inspección de HTTPS. Para obtener más información, vea Ubicar el certificado de inspección de HTTPS en el servidor de Forefront TMG.
2. Implementar el certificado de inspección de HTTPS en los equipos cliente y ubicarlo en el almacén de certificados de entidades de certificación raíz de confianza. Para obtener más información, vea Implementar el certificado de inspección de HTTPS en los equipos cliente.
Ubicar el certificado de inspección de HTTPS en el servidor de Forefront TMG
En los siguientes procedimientos se describe cómo ubicar el certificado de inspección de HTTPS en el servidor de Forefront TMG. Debería seleccionar el método adecuado para el certificado que desea usar.
132
Generar un certificado autofirmado
Importar un certificado de una entidad de certificación local o públicaGenerar un certificado autofirmado
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en Configurar inspección de HTTPS.
2. En el cuadro de diálogo Inspección de HTTPS saliente, en la pestaña General, bajo Configuración de certificado de inspección de HTTPS, seleccione Usar Forefront TMG para generar un certificado y, a continuación, haga clic en Generar.
3. En el cuadro de diálogo Generar certificado, puede personalizar los detalles del certificado; escriba, por ejemplo, un nombre personalizado para el certificado de inspección de HTTPS o seleccione una fecha de expiración. Después de especificar los detalles necesarios, haga clic en Generar certificado ahora.
4. En el cuadro de diálogo Certificado, haga clic en Aceptar.
Importante:
No haga clic en Instalar certificado.
El próximo paso es implementar el certificado en los equipos cliente. Sin cerrar el cuadro de diálogo Inspección de HTTPS saliente, vaya a Implementar el certificado de inspección de HTTPS en los equipos cliente.Importar un certificado de una entidad de certificación local o pública
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en Configurar inspección de HTTPS.
2. En el cuadro de diálogo Inspección de HTTPS saliente, en la pestaña General, bajo Configuración de certificado de inspección de HTTPS, seleccione Importar una certificado, haga clic en Importar y, a continuación, utilice el cuadro de diálogo Abrir para seleccionar el certificado que desea importar.
El próximo paso es implementar el certificado en los equipos cliente. Sin cerrar el cuadro de diálogo Inspección de HTTPS saliente, vaya a Implementar el certificado de inspección de HTTPS en los equipos cliente.Implementar el certificado de inspección de HTTPS en los equipos cliente
Puede recurrir a uno de los siguientes métodos para implementar el certificado en los equipos cliente:
Automáticamente, a través de Servicios de dominio de Active Directory (AD DS). Para obtener más información, vea Implementar el certificado de inspección de HTTPS manualmente.
Si no usa AD DS, debe instalar el certificado manualmente en cada equipo cliente y ubicarlo en el almacén de certificados de entidades de certificación raíz de confianza del equipo. Para obtener más información, vea Implementar el certificado de inspección de HTTPS manualmente.
Nota:
Este procedimiento describe cómo implementar el certificado de inspección de HTTPS en equipos cliente que ejecuten un explorador web que usa los almacenes de certificados de Windows, como Internet Explorer. Para configurar los demás exploradores web para que confíen en el certificado, consulte la documentación del explorador web.
Implementar el certificado de inspección de HTTPS automáticamente1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en
Configurar inspección de HTTPS.2. En el cuadro de diálogo Inspección de HTTPS saliente, en la pestaña General, haga clic en Opciones de certificado de entidad de certificación raíz de confianza
HTTPS.3. En el cuadro de diálogo Opciones de implementación de certificados, seleccione Automáticamente a través de Active Directory (recomendado) y, a continuación,
haga clic en Credenciales de administrador de dominio.4. En el cuadro de diálogo Microsoft Threat Management Gateway, escriba las credenciales y, a continuación, haga clic en Aceptar.
Nota:
Las credenciales que escriba deben tener privilegios suficientes para actualizar AD DS y permitir ejecutar los procesos en Forefront TMG.
5. Cierre los cuadros de diálogo Opciones de implementación de certificados e Inspección de HTTPS saliente. En la barra Aplicar cambios, haga clic en Aplicar. No se necesita ninguna configuración adicional; el certificado se reenvía a Active Directory y se implementa automáticamente a los equipos cliente.
Importante:
La implementación en los equipos cliente se produce una vez aplicada la directiva de grupo; el proceso puede tardar hasta ocho horas. Hasta que los equipos cliente reciben el certificado, el acceso a los sitios web HTTPS generará un mensaje de advertencia en Internet Explorer. Para evitarlo,
se recomienda que deshabilite la inspección de HTTPS temporalmente. Para ello haga clic en Configurar inspección de HTTPS en el panel Tareas del nodo Directiva de acceso web y desactive la casilla Habilitar inspección de HTTPS. Cuando la implementación haya finalizado, vuelva a habilitar la inspección de HTTPS.
Implementar el certificado de inspección de HTTPS manualmenteLa implementación manual del certificado de CA raíz de confianza de inspección HTTPS requiere dos acciones:
1. Exportar el certificado desde Forefront TMG.2. Importar el certificado a todos los equipos cliente. Para esta operación se requieren derechos administrativos en el equipo cliente.
Para exportar el certificado1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en
Configurar inspección de HTTPS.2. En el cuadro de diálogo Inspección de HTTPS saliente, en la pestaña General, haga clic en Opciones de certificado de entidad de certificación raíz de confianza
HTTPS.3. En el cuadro de diálogo Opciones de implementación de certificados, seleccione Manualmente en cada equipo cliente, haga clic en Exportar al archivo y, a
continuación, use el cuadro de diálogo Guardar como para exportar el certificado.Para importar el certificado a un equipo cliente
1. En el equipo cliente, haga clic en Inicio, Todos los programas, Accesorios y, a continuación, haga clic en Ejecutar.2. Escriba MMC y, a continuación, presione ENTRAR.
133
3. En Microsoft Management Console, haga clic en el menú Archivo, en Agregar o quitar complemento, haga clic en Certificados y, a continuación, haga clic en Agregar.
4. En el cuadro de diálogo Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente. En la ventana Agregar o quitar complementos, haga clic en Aceptar. Se cerrará la ventana Agregar o quitar complementos.
5. En la ventana Seleccionar equipo, asegúrese de que Equipo local está seleccionado y, a continuación, haga clic en Finalizar.6. En Microsoft Management Console, en el panel Nombre de almacén lógico, haga clic con el botón secundario en Entidades de certificación raíz de confianza,
haga clic en Todas las tareas y, a continuación, haga clic en Importar.7. En el Asistente para importación de certificados, busque el archivo que guardó al exportar el certificado y, a continuación, haga clic en Siguiente.8. En la página Almacén de certificados, asegúrese de que todos los certificados se colocan en el almacén de certificados Entidades de certificación raíz de
confianza, haga clic en Siguiente y, a continuación, haga clic en Finalizar.Notificar a los usuarios la inspección de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar la notificación de la inspección de HTTPS a los equipos cliente que ejecutan el cliente de Forefront TMG, incluidos los requisitos previos y los pasos de configuración. Puede ser necesario habilitar la notificación de cliente para cumplir las directivas de privacidad corporativas.
Nota:
La notificación de cliente no es aplicable si solo se implementa la inspección de HTTPS para la validación de certificados.
Requisitos previos
Para recibir notificaciones de certificado de inspección de HTTPS, los equipos cliente deben tener el certificado de la entidad de certificación (CA) raíz de confianza instalado en el almacén de certificados Entidades de certificación raíz de confianza. Si el certificado no se instala en este almacén de certificados exacto, el usuario no recibirá notificaciones de globo de la inspección de HTTPS. Para obtener más información, vea Administrar los certificados de inspección de HTTPS.
Los clientes de Forefront TMG solo pueden recibir notificaciones de inspección de HTTPS si realiza la inspección un servidor proxy que sigue en la cadena y no un servidor proxy que precede en la cadena. Para habilitar las notificaciones de cliente en un escenario de encadenamiento de web, asegúrese de que la inspección de HTTPS esté habilitada en el proxy que sigue en la cadena.
La regla de directiva del sistema para permitir notificaciones de cliente, que permite las notificaciones a los clientes de Forefront TMG, no se actualiza dinámicamente con redes que no sean las predeterminadas: VPN, cuarentena e interna. Utilice el editor de directivas del sistema para agregar manualmente otras redes que contengan clientes de Forefront TMG a las redes de destino de esta regla.
Pasos de configuración
Para habilitar notificaciones de inspección de HTTPS se requieren los siguientes procedimientos:
1. Habilitar las notificaciones de inspección de HTTPS en Forefront TMG2. Habilitar las notificaciones de inspección de HTTPS en el cliente de Forefront TMG
Habilitar las notificaciones de inspección de HTTPS en Forefront TMG1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar inspección de HTTPS. 3. En la ficha Notificación de cliente, haga clic en Notificar a los usuarios que se está inspeccionando su tráfico HTTPS y, a continuación, haga clic en Aceptar.
Habilitar las notificaciones de inspección de HTTPS en el cliente de Forefront TMG En la ficha Inspección de conexión segura, seleccione Notificarme cuando se inspeccione el contenido enviado a sitios web seguros.
Configurar la inspección de malware en la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes temas se proporciona información sobre la configuración de la inspección de malware en la puerta de enlace web segura de Forefront TMG:
Habilitar la característica de inspección de malware
Configurar las actualizaciones de definiciones de la inspección de malware
Configurar los valores opcionales de la inspección de malware
Definir las exenciones de la inspección de malware
Configurar la entrega de contenido para la inspección de malware
Configurar la ubicación de almacenamiento para la inspección de malware
Nota:
Para mantener sus sistemas protegidos de las amenazas más recientes, compruebe que Forefront TMG tiene conectividad con el origen de actualización seleccionado, Microsoft Update o Windows Server Update Services (WSUS), y que se ha habilitado la instalación automática del conjunto de firmas más reciente. Para obtener más información, vea Administrar las actualizaciones de definiciones para la inspección de malware y NIS.
Dispone de una descripción de los niveles de amenazas de la inspección de malware en el tema Planeación para proteger frente a contenido web malintencionado (http://go.microsoft.com/fwlink/?LinkId=168615).
Para detectar malware en el tráfico HTTPS, debe habilitar la inspección de HTTPS. Para obtener más información, vea Configurar la inspección de HTTPS en la puerta de enlace web segura de Forefront TMG.
Habilitar la característica de inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar la inspección de malware del tráfico HTTP en las solicitudes salientes. La inspección de malware primero se habilita de forma global y, a continuación, por regla, tal y como se describe en los siguientes procedimientos:
134
Habilitar la inspección global de malware
Habilitar la inspección de malware por regla
Nota:
Aunque se recomienda que se mantenga la configuración predeterminada, se pueden establecer opciones de inspección de malware para reglas específicas que sean diferentes de las establecidas globalmente. Para obtener más información, vea Configurar los valores opcionales de la inspección de malware.
Habilitar la inspección global de malware
La configuración de inspección de malware global se aplica a todas las reglas de acceso para las que se habilita la inspección de malware.Para habilitar la inspección global de malware
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo nombre de servidor.2. En la ficha Tareas, haga clic en el asistente para Iniciar Introducción y, a continuación, haga clic en Definir las opciones de implementación.3. Realice una selección en la página Configuración de Microsoft Update y haga clic en Siguiente. Para obtener más información, vea Planeación de las
actualizaciones de definiciones de protección.4. En la página Configuración de características de protección de Forefront TMG, haga lo siguiente:
a. Seleccione una de las licencias para habilitar la protección web.b. Si selecciona Activar la licencia de pago y habilitar la protección web, escriba el código de activación de la licencia junto a Clave.c. Compruebe que la opción Habilitar inspección de malware está seleccionada.
5. Siga avanzando a través del asistente y, a continuación, haga clic en Finalizar.
Nota:
Al habilitar la inspección de malware, Forefront TMG descarga automáticamente el motor de inspección de malware y las firmas más recientes. Esta descarga inicial puede tardar varios minutos, tiempo durante el cual el tráfico de HTTP no se inspecciona en busca de malware. De forma predeterminada, el tráfico se permite en las reglas en las que se aplica la inspección de malware. Sin embargo, puede bloquear el tráfico en dichas reglas. Para ello, en el nodo de Directiva de acceso web, haga clic en Configurar inspección de malware y, a continuación, en la pestaña General, haga clic en Bloquear tráfico en las reglas pertinentes hasta que se complete la descarga.
Habilitar la inspección de malware por regla
Después de habilitar el filtro de inspección de malware globalmente, se debe habilitar en reglas de acceso concretas, tanto nuevas como existentes. Para habilitar la inspección de malware al crear una regla de acceso web
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en Configurar directiva de acceso web.
2. Siga las instrucciones en pantalla para crear reglas de directiva de acceso web. 3. En la página Configuración de la inspección de malware, haga clic en Inspeccionar el contenido web solicitado desde Internet. Si es necesario, seleccione
Bloquear archivos cifrados (por ejemplo, archivos zip). 4. Siga avanzando a través del asistente. Después de hacer clic en Finalizar, haga clic en Aplicar en la barra Aplicar cambios.
Para habilitar la inspección de malware en reglas existentes1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. 2. En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Propiedades.3. En la ficha Inspección de malware, seleccione Inspeccionar contenido descargado de servidores web a clientes.
Configurar las actualizaciones de definiciones de la inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar actualizaciones automáticas de definiciones de malware. La inspección del malware usa definiciones, desarrolladas por el Centro de protección contra malware de Microsoft, para proteger los equipos cliente del contenido malintencionado en la web.Para proteger sus sistemas de las amenazas de malware más recientes, se recomienda que compruebe que tiene conectividad con el origen de actualización adecuado y que habilita la instalación automática de las definiciones más recientes.Para obtener más información sobre cómo configurar la conectividad a Microsoft Update o Windows Server Update Services (WSUS), vea Administrar las actualizaciones de definiciones para la inspección de malware y NIS.Para que Forefront TMG pueda inspeccionar el tráfico en busca de malware, debe descargar las definiciones y el motor de inspección de malware más recientes. En los siguientes procedimientos se describe cómo configurar y comprobar las actualizaciones de definiciones de malware:
Configurar las actualizaciones de definición de malware
Comprobar que el mecanismo de actualización de inspección de malware funcionaConfigurar las actualizaciones de definición de malware
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la pestaña Tareas, en Tareas de protección web, haga clic en Configurar inspección de malware.3. En el cuadro de diálogo Inspección de malware, haga clic en la pestaña Actualizaciones de definiciones y, a continuación, en Seleccione la acción automática de
actualización de definiciones, elija una de las configuraciones siguientes: Buscar e instalar definiciones (recomendado): seleccione esta configuración para descargar e instalar automáticamente las actualizaciones de
definición de malware más recientes. Sólo buscar definiciones: seleccione esta configuración si desea que se le notifique sobre las nuevas definiciones para la descarga.
Ninguna acción automática: seleccione esta configuración para deshabilitar las acciones de actualización automática.4. En Frecuencia de sondeo automático, seleccione la frecuencia de sondeo adecuada para su organización; la frecuencia predeterminada es Cada 15 minutos.
Comprobar que el mecanismo de actualización de inspección de malware funciona
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Centro de actualizaciones.2. En el panel de detalles, en Actualizar información, compruebe si la última actualización de inspección de malware fue correcta. 3. Si se produjera un error en la actualización, bajo Mecanismo de protección, haga clic en Inspección de malware y, a continuación, en el recuadro Tareas, haga
clic en Buscar definiciones. 4. Si el sistema no puede descargar una actualización para la inspección de malware, compruebe su configuración de la red.
Configurar los valores opcionales de la inspección de malwarePublicada: noviembre de 2009
135
Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Al crear una regla de acceso web y habilitar la inspección de malware en dicha regla, se aplica un conjunto predeterminado de opciones de inspección de malware y umbrales a dicha regla. Para ajustar estas opciones y umbrales, modifique la siguiente configuración:
Configuración de inspección de malware global: la configuración se aplica de manera predeterminada a cada regla de acceso en la que la inspección de malware esté habilitada. Vea Configurar valores globales para inspección de código malintencionado.
Configuración de reglas de acceso web individuales: la configuración por regla invalida la configuración de inspección de malware global. Vea Configurar las opciones de la inspección de malware por regla.
Para ambas opciones de configuración, tenga en cuenta lo siguiente:
Si Intentar limpiar archivos infectados está habilitado, los archivos que no se pueden limpiar se purgan. Al usar la generación, Forefront TMG cierra la conexión TCP y graba el motivo en el registro. Al usar la notificación de progreso, Forefront TMG emite una página HTML para notificar al usuario que se ha bloqueado el archivo.
Para obtener información acerca de la generación y la notificación del progreso, vea Configurar la entrega de contenido para la inspección de malware. La configuración Bloquear archivos sospechosos está diseñada para bloquear archivos que parecen estar infectados con malware desconocido.
De manera predeterminada, la opción Bloquear archivos dañados está desactivada. Activar esta opción puede provocar un falso positivo y bloquear archivos que en realidad no son dañinos.
La opción Bloquear archivos si el nivel de profundidad del archivo supera está diseñada para bloquear malware que llega en archivos con anidamiento profundo para evitar la detección.
La configuración Bloquear archivos de almacenamiento si el tamaño del contenido desempaquetado es superior a (MB) está diseñada para evitar la descompresión de archivos de almacenamiento pequeños en un tamaño grande cuando se desempaquetan
Configurar valores globales para inspección de código malintencionado
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware.3. Haga clic en la pestaña Configuración de inspección y ajuste los umbrales de bloqueo y otras opciones de la inspección de malware.
Configurar las opciones de la inspección de malware por regla
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. 2. En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Propiedades.3. En la pestaña Inspección de malware, compruebe que esté seleccionado Inspeccionar contenido descargado de servidores web a clientes. Haga clic en Usar la
configuración específica de la regla para la inspección de malware y, a continuación, haga clic en Configuración de reglas.4. Use el cuadro de diálogo Editar la configuración de inspección de malware de las reglas para ajustar los umbrales de bloqueo y otras opciones de la inspección de
malware para esta regla.Definir las exenciones de la inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se explica cómo excluir las entidades de red de los exámenes de la inspección de malware y cómo configurar la inspección de malware en una implementación de encadenamiento de proxy web. Puede excluir orígenes y destinos, de la siguiente manera:
La razón principal para la exclusión de orígenes de la inspección de malware es evitar examinar contenido más de una vez, lo cual afecta al rendimiento y resulta problemático en algunos escenarios. Un escenario típico es cuando se examina el contenido en busca de malware por parte de un proxy que sigue en la cadena. En ese caso, debería configurar el proxy que precede en la cadena para excluir de la detección a todas las solicitudes que proceden del proxy posterior.
Los dos principales motivos para excluir destinos de la inspección de malware son mejorar el rendimiento mediante la exclusión de sitios de confianza y resolver los problemas de compatibilidad.
Para obtener más información, vea Eximir orígenes y destinos de la inspección de malware. En una implementación de encadenamiento de proxy web, no está admitido habilitar la inspección de malware a la vez en el servidor de Forefront TMG que
precede y que sigue en la cadena. Si tiene dicha implementación, debe asegurarse de que la inspección de malware está habilitada únicamente en el servidor que precede o en el que sigue en la cadena. Para obtener más información, vea Configuración de la inspección de malware con el encadenamiento de proxy web.
Eximir orígenes y destinos de la inspección de malware
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware.3. Haga clic en la pestaña Excepciones de destino o en la pestaña Excepciones de origen y, a continuación, haga clic en Agregar. 4. En el cuadro de diálogo Agregar entidades de red, haga clic en Nueva y, a continuación, seleccione los objetos de red excluidos. Puede especificar una red
completa, equipos o direcciones IP, o conjuntos de nombres de dominio y conjuntos de direcciones URL. Si selecciona nombres de dominio, asegúrese de que puedan resolverse por un Sistema de nombres de dominio (DNS).
5. Para modificar el conjunto de dominios predeterminado (solo excepciones de destino) u otros objetos de red excluidos, seleccione la entrada correspondiente y haga clic en Editar.
6. Para quitar sitios de la lista de excepciones, seleccione la entrada correspondiente y, a continuación, haga clic en Quitar.7. Cuando finalice, haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Configuración de la inspección de malware con el encadenamiento de proxy web
En una implementación de encadenamiento de proxy web, asegúrese de que la inspección de malware esté habilitada en el servidor que precede en la cadena o en el servidor que sigue en la cadena.Para configurar la inspección de malware en el servidor que precede en la cadena
1. Al usar el encadenamiento de proxy web, la identidad de cada cliente se conoce en el servidor que sigue en la cadena pero no se propaga al servidor precedente. Como resultado, todas las solicitudes de los usuarios que se encuentran detrás del servidor posterior comparten el mismo límite de almacenamiento temporal en el servidor que precede en la cadena. Para evitar que los usuarios que siguen en la cadena consuman todo este límite de almacenamiento temporal relativamente pequeño, agregue el servidor que sigue en la cadena al conjunto de equipos del servidor que precede en la cadena. Para ello, abra la consola de administración de
136
Forefront TMG en el servidor que precede en la cadena. En el árbol, haga clic en el nodo Sistema de prevención de intrusiones, y en la ficha Detección de intrusiones por comportamiento, haga clic en Configurar mitigación de ataques ''flood'' de congestión del servidor. En la ficha Excepciones IP, haga clic en Agregary agregue el servidor que sigue en la cadena a la lista.
2. Deshabilite la inspección de malware que sigue en la cadena o en la regla de encadenamiento de web.Para configurar la inspección de malware en el servidor que sigue en la cadena
Realice una de las acciones siguientes:
Deshabilite la inspección de malware en el servidor que precede en la cadena.
Excluya el tráfico procedente de detrás del servidor que sigue en la cadena de la inspección por el servidor que precede en la cadena. Para ello, abra la consola de administración de Forefront TMG en el servidor que precede en la cadena. En el árbol, haga clic en el nodo Directiva de acceso web, y en la ficha Tareas, haga clic en Configurar inspección de malware. En la ficha Excepciones de origen, haga clic en Agregary excluya el servidor que sigue en la cadena del filtro de inspección de malware.
Configurar la entrega de contenido para la inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar la entrega de contenido de inspección de malware. Dado que la inspección de malware puede producir algún retraso en la entrega de contenido del servidor al cliente, Forefront TMG permite controlar la experiencia del usuario mientras se examina el contenido web en busca de malware. Puede seleccionar uno de los siguientes métodos de entrega para el contenido examinado:
Generación: Forefront TMG envía partes del contenido al usuario a medida que se inspeccionan los archivos. Este proceso ayuda a evitar que la aplicación cliente alcance el límite de tiempo de espera antes de que se descargue e inspeccione todo el contenido. Puede seleccionar el uso de la generación estándar, la generación rápida o una combinación de ambas.
Notificación de progreso: Forefront TMG envía una página HTML al equipo cliente para informar al usuario de que se está inspeccionando el contenido solicitado e indicar el progreso de descarga e inspección. Una vez que han finalizado la descarga y la inspección del contenido, se informa al usuario de que el contenido está listo y se muestra un botón para descargarlo.
Nota:
Al aplicar el método de entrega con notificación de progreso, después de que un usuario descarga un archivo, al hacer clic en Atrás en la ventana del explorador, puede que el archivo se muestre como una página en formato binario.
Configurar la entrega del contenido de inspección de malware
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware y, a continuación, haga clic en la ficha Entrega de contenido.3. En Método de entrega de contenido predeterminado para el contenido examinado, seleccione uno de los siguientes:
Generación estándar: Forefront TMG mantiene la mayor parte del archivo en el servidor pero envía pequeñas cantidades de datos a la aplicación cliente para conservar la conexión. Se examina todo el archivo antes de enviarse al usuario.
Nota:
Si selecciona la generación estándar como método predeterminado para la entrega de contenido, puede configurar que ciertos tipos de contenido se procesen para la notificación de progreso y otros para la generación rápida.
Generación rápida: Forefront TMG envía los datos de la manera más rápida posible al usuario pero retiene la última parte para completar el examen antes de completar la transferencia. Este método requiere más recursos del servidor de Forefront TMG pero también ofrece una mejor experiencia al usuario.
Nota:
Si selecciona la generación rápida como método predeterminado para la entrega de contenido, puede configurar que determinados tipos de contenido se procesen para la notificación de progreso.
4. Para especificar los tipos de contenido para los que se debe utilizar una notificación de progreso en lugar de la opción de generación seleccionada, realice el procedimiento siguiente:
a. Active la casilla Usar notificación de progreso en lugar del método de entrega de contenido predeterminado para los tipos de contenido seleccionados.
b. Haga clic en Tipos de contenido para notificación de progreso y, a continuación, en la ventana de propiedades de Tipos de contenido que muestran
notificaciones de progreso, haga clic en la pestaña Tipos de contenido.c. En Tipos disponibles, escriba un tipo de contenido en el cuadro o seleccione los tipos de contenido para agregarlos a la lista predeterminada y, a
continuación, haga clic en Agregar. Para quitar un tipo de contenido, selecciónelo en la lista Tipos seleccionados y, a continuación, haga clic en Quitar.
d. Cuando haya terminado de especificar los tipos de contenido, haga clic en Aceptar.
5. Para especificar tipos de contenido que usan el método de entrega de generación rápida, haga lo siguiente:a. Active la casilla Usar generación rápida para los tipos de contenido seleccionados.
b. Haga clic en Tipos de contenido para generación rápida y, a continuación, en la ventana de propiedades Tipos de contenido para generación rápida,
haga clic en la pestaña Tipos de contenido.c. En Tipos disponibles, escriba un tipo de contenido en el cuadro o seleccione los tipos de contenido para agregarlos a la lista predeterminada y, a
continuación, haga clic en Agregar. Para quitar un tipo de contenido, selecciónelo en la lista Tipos seleccionados y, a continuación, haga clic en Quitar.
d. Cuando haya terminado de especificar los tipos de contenido, haga clic en Aceptar.
6. Haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.Configurar la ubicación de almacenamiento para la inspección de malwarePublicada: noviembre de 2009
137
Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe el modo de cambiar la ubicación predeterminada de los archivos que se someten a inspección de malware. Forefront TMG crea una carpeta denominada ScanStorage para almacenarlos. La ubicación predeterminada es %SystemRoot%\Temp\ScanStorage.
Nota:
Al descargar un gran número de archivos mayores de 64 KB, el rendimiento puede verse afectado. Si tiene estos problemas, se recomienda que mueva la carpeta ScanStorage a un disco físico independiente.
Especificar una ubicación en la que almacenar archivos temporalmente para inspección
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware.3. En la pestaña Almacenamiento, especifique la carpeta donde se deben conservar temporalmente los archivos para su inspección.
Importante:
La ruta de acceso especificada debe existir en todos los servidores de Forefront TMG de la matriz. Por consiguiente, se recomienda usar una variable de entorno (como %SystemRoot%) dentro del nombre de ruta para permitir el ajuste por servidor de la ruta de acceso.
Asegúrese de excluir esta carpeta de la inspección por parte de cualquier otra aplicación de detección de malware que se ejecute en el servidor de Forefront TMG.
Configurar NIS en la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Cuando se configura el Sistema de inspección de red (NIS) en la puerta de enlace web segura de Forefront TMG, el tráfico se inspecciona en busca de vulnerabilidades de seguridad conocidas en los sistemas operativos y aplicaciones.NIS usa las firmas de vulnerabilidades conocidas del Centro de protección contra malware de Microsoft (http://go.microsoft.com/fwlink/?LinkId=160624) para ayudar a detectar y bloquear tráfico malintencionado. Para que Forefront TMG pueda comenzar a bloquear ataques de vulnerabilidades conocidas, debe descargar el conjunto de firmas de NIS más reciente de Microsoft Update o Windows Server Update Services (WSUS). Para obtener información sobre cómo configurar la conectividad a Microsoft Update o Windows Server Update Services (WSUS), vea Administrar las actualizaciones de definiciones para la inspección de malware y NIS.En los siguientes temas se describe cómo configurar y administrar NIS y las firmas de NIS:
Habilitar y configurar NIS
Administrar las firmas de NISHabilitar y configurar NISPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se explica cómo habilitar y configurar el Sistema de inspección de red (NIS) en la puerta de enlace web segura de Forefront TMG.En los siguientes procedimientos se describe:
Habilitar el NIS
Configurar la respuesta de NIS ante anomalías de protocolo
Nota:
Se entiende por anomalías de protocolo en el tráfico de red el hecho de que el tráfico no cumpla los estándares de protocolo, como las RFC y las implementaciones comunes.
Eximir las entidades de red de los análisis de NIS
Sugerencia:
Una entidad típica que podría desear excluir es una dirección IP de detección, que es una dirección IP aislada y desprotegida que usa un administrador de firewall para obtener información sobre los ataques a la red.
Pasos siguientesHabilitar el NIS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo nombre de servidor.2. En la ficha Tareas, haga clic en el asistente para Iniciar Introducción y, a continuación, haga clic en Definir las opciones de implementación.3. En la página Configuración de Microsoft Update, seleccione un método de actualización y haga clic en Siguiente.4. En la página Configuración de características de protección de Forefront TMG, compruebe que la licencia de NIS esté establecida en Activar licencia
complementaria y habilitar NIS. 5. En la página Configuración de actualización de firmas de NIS, tenga en cuenta lo siguiente:
a. Si desea instalar automáticamente nuevos conjuntos de firmas, asegúrese de que la opción Comprobar e instalar actualizaciones (recomendado) está seleccionada.
b. En Frecuencia de sondeo automático, seleccione la frecuencia de sondeo adecuada para su organización. La frecuencia predeterminada es Cada 15 minutos. Observe que esta configuración solo se aplica a NIS; la configuración de la frecuencia de sondeo para otras protecciones actualizables se encuentran en el Centro de actualización.
c. La opción Seleccione la directiva de respuesta de las nuevas firmas solo se aplica a las firmas descargadas e instaladas recientemente. La configuración se aplica a todos los conjuntos de firmas que se descargan. Todas las firma que no estén establecida en la respuesta predeterminada de
138
Microsoft se marcan como que requieren atención en la ficha Sistema de inspección de red, que se encuentra en el panel de detalles Sistema de prevención de intrusiones.
Configurar la respuesta de NIS ante anomalías de protocolo
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En la pestaña Tareas, haga clic en Definir excepciones.3. En la ficha Directiva de anomalías de protocolo, configure la respuesta del NIS en anomalías de protocolo.4. Cuando haya finalizado, en la barra Aplicar cambios, haga clic en Aplicar.
Eximir las entidades de red de los análisis de NIS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. Haga clic en la ficha Sistema de inspección de red (NIS) y en la ficha Tareas, haga clic en Definir excepciones.3. En la ficha Excepciones, haga clic en Agregar y, a continuación, seleccione las entidades de red que desea excluir de la inspección.4. Cuando haya finalizado, en la barra Aplicar cambios, haga clic en Aplicar.
Pasos siguientes
Para poder usar Forefront TMG con el objeto de bloquear los ataques basados en vulnerabilidades conocidas, asegúrese de que Forefront TMG esté actualizado con el último conjunto de firmas de NIS. Para obtener más información, vea Configuring and verifying NIS signature set downloads.Administrar las firmas de NISPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes procedimientos se describe cómo administrar las firmas de NIS:
Configurar y comprobar las descargas de conjuntos de firmas de NIS. Para poder utilizar Forefront TMG para bloquear los ataques que aprovechan las vulnerabilidades conocidas, debe descargar el último conjunto de firmas de NIS.
Nota:
Las firmas descargadas recientemente solo se aplican a las nuevas conexiones. Sin embargo, NIS inspecciona el contenido almacenado en memoria caché con el conjunto de firmas activo cada vez que un cliente lo solicita.
Activar un conjunto de firmas diferente. Se puede usar el control de versiones para revertir a un conjunto de firmas anterior, por ejemplo, con el objeto de solucionar problemas o para activar la versión más actualizada.
Nota:
Al activar un conjunto de firmas de NIS anterior la red puede quedar expuesta a amenazas descubiertas recientemente.
>Modificar la directiva de respuesta de NIS para firmas individuales. Es posible cambiar la directiva de respuesta de NIS para una firma concreta, para grupos de firmas o para todo el sistema.
Configurar y comprobar las descargas de conjuntos de firmas de NIS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. Haga clic en la pestaña Sistema de inspección de red (NIS) y, en la pestaña Tareas, haga clic en Configurar propiedades. 3. En la pestaña Actualizaciones de definiciones, en Acción automática de actualización de definiciones, seleccione una de las siguientes opciones:
Buscar e instalar actualizaciones (recomendado): seleccione esta configuración para descargar e instalar automáticamente las actualizaciones de definición de firmas más recientes.
Solo buscar definiciones: seleccione esta configuración para recibir notificación de la disponibilidad de las nuevas firmas para descargarlas.
Ninguna acción automática: seleccione esta configuración para deshabilitar las actualizaciones automáticas.4. En Directiva de respuesta para nuevas firmas, seleccione una de las siguientes opciones:
Directiva predeterminada de Microsoft (recomendado): seleccione esta configuración para aceptar la directiva de respuesta que recomienda Microsoft para las nuevas firmas descargadas.
Detectar solo respuesta: seleccione esta configuración para establecer todas las nuevas firmas descargadas en modo de solo registro de manera que el tráfico coincidente se registre pero no se bloquee.
Sugerencia:
Puede configurar Forefront TMG para que se envíe una alerta por correo electrónico cuando se encuentre una vulnerabilidad de seguridad. Para obtener más información, vea Configurar acciones de alerta (http://go.microsoft.com/fwlink/?LinkId=179304).
Sin respuesta (deshabilitar firma): seleccione esta configuración para deshabilitar todas las nuevas firmas descargadas. En este modo, no se realiza ninguna acción ni se registra nada cuando se detecta tráfico que coincide con una nueva firma.
Nota:
Si más adelante decide inspeccionar el tráfico para una firma deshabilitada, deberá habilitarla manualmente.
5. En el árbol de la consola, haga clic en Centro de actualización.6. En el panel de detalles, compruebe si la última actualización de NIS se realizó correctamente. 7. Si no es así, haga clic en Sistema de inspección de red y, a continuación, en el recuadro Tareas, haga clic en Buscar definiciones. 8. Si el sistema no puede descargar una actualización de NIS, compruebe la configuración de la red.
Activar un conjunto de firmas diferente
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.
139
2. En la ficha Tareas, haga clic en Configurar propiedades.3. En la pestaña Actualizaciones de definiciones, haga clic en Control de versiones.4. Haga clic en Seleccione el conjunto de firmas de NIS que desee activar; a continuación, en la lista, seleccione el conjunto de firmas necesario en función del
número de versión o la fecha, y haga clic en Activar.
Nota:
Forefront TMG guarda hasta cinco conjuntos de firmas para facilitar la reversión.
5. En la barra Aplicar cambios, haga clic en Aplicar. Modificar la directiva de respuesta de NIS
Modificar la directiva de respuesta de NIS para firmas individuales1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En el panel de detalles de la pestaña Sistema de inspección de red (NIS), haga clic en la firma que desea modificar y, a continuación, en la pestaña Tareas, haga
clic en Configurar propiedades de firma. 3. En la ficha General, puede cambiar la configuración efectiva de la firma. Para invalidar la configuración predeterminada de Microsoft, haga clic en Invalidar,
haga clic en Habilitar y, a continuación, seleccione Bloquear o Solo detectar en la lista.
Nota:
Para obtener más información acerca de esta firma, haga clic en Más información sobre esta firma de NIS en línea.
4. Haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.Modificar la directiva de respuesta para un grupo de firmas
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En el panel de detalles de la pestaña Sistema de inspección de red (NIS), en la lista Agrupar por, seleccione la categoría según la que desea agrupar las firmas
pertinentes. 3. Haga clic con el botón secundario en el título de grupo de la sección que desea modificar (por ejemplo, si las firmas se agrupan por Gravedad, puede hacer clic
con el botón secundario en Moderada), o haga clic con el botón secundario en una firma o selección de firmas y, a continuación, haga clic en Habilitar firmas seleccionadas, Deshabilitar firmas seleccionadas o Establecer respuesta en valor predeterminado de Microsoft.
4. En la barra Aplicar cambios, haga clic en Aplicar.Modificar la directiva de respuesta para todo el sistema
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En la ficha Sistema de inspección de red (NIS), seleccione una de las siguientes opciones del panel Tareas:
Establecer todas las respuestas a los valores predeterminados de Microsoft.
Establecer todas las respuestas a Solo detectar.3. En la ventana Configuración de la directiva de respuesta global, seleccione Aplicar la configuración seleccionada a los conjuntos de firmas recién descargados si
desea que esta configuración se aplique también a las nuevas firmas. 4. Haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Administrar las actualizaciones de definiciones para la inspección de malware y NISPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La inspección de malware y el Sistema de inspección de red (NIS) usan las actualizaciones de productos de Microsoft para mantener las definiciones de protección actualizadas en todo momento.En este tema se describen los requisitos previos y pasos de configuración necesarios para actualizar las definiciones de protección en Forefront TMG.Para obtener información sobre cómo planear las actualizaciones de definiciones de protección, vea Planeación de las actualizaciones de definiciones de protección.Requisitos previos
Microsoft Update proporciona los archivos de definición actualizados y están sujetos a licencias. Para activar las licencias de mecanismo de protección, debe optar por usar Microsoft Update. Es necesario aun cuando se piensa utilizar Windows Server Update Services (WSUS). Para obtener información sobre las licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848). Pasos de configuración
La actualización de las definiciones de protección incluye los siguientes procedimientos:
Habilitar Microsoft Update y activar licencias
Modificar las definiciones de Microsoft Update para una característicaHabilitar Microsoft Update y activar licencias
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo nombre de servidor.2. En la ficha Tareas, haga clic en el asistente para Iniciar Introducción y, a continuación, haga clic en Definir las opciones de implementación.3. En la página Configuración de Microsoft Update, haga clic en Usar el servicio Microsoft Update para buscar actualizaciones (recomendado).
Nota:
Si el servidor de Forefront TMG se configura para recibir actualizaciones de WSUS, omitirá la configuración de la página Configuración de Microsoft Update.
4. En la página Configuración de características de protección de Forefront TMG, active las licencias para las características de protección que desea habilitar. Sólo puede descargar e instalar definiciones actualizadas para las características que ha habilitado.
5. Si ha activado la licencia de NIS, en la página Configuración de actualización de firmas de NIS, seleccione la acción de actualización automática que necesite. 6. Complete el asistente y, a continuación, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar.
Modificar las definiciones de Microsoft Update para una característica1. En el árbol de la consola de administración de Forefront TMG, haga clic en Centro de actualizaciones.2. En el panel Tareas, haga clic en Configurar opciones y, a continuación, revise la configuración de cada mecanismo de protección en la ficha Actualizaciones de
definiciones.3. Haga clic en el mecanismo de protección que desea modificar y, a continuación, en Configurar selección. 4. En la ventana Actualizar configuración, cambie la acción de actualización automática o la configuración de frecuencia de sondeo automático según sea necesario
y, a continuación, haga clic en Aceptar.
140
5. En la barra Aplicar cambios, haga clic en Aplicar.Configurar el almacenamiento en caché en la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se proporciona la siguiente información sobre cómo configurar el almacenamiento en caché en la puerta de enlace web segura de Forefront TMG:
Requisitos previos
Información general sobre la configuración
Pasos de configuraciónRequisitos previos
El almacenamiento en caché solo se puede habilitar en una unidad de disco con el sistema de archivos NTFS.
El tamaño máximo de un archivo de caché en una sola unidad es de 64 GB. Si se requiere un almacenamiento en caché más grande, configúrelo en unidades adicionales.
Para ejecutar trabajos de descarga de contenido, el servicio Programador de trabajos de Forefront TMG debe estar en ejecución.Información general sobre la configuración
La característica de almacenamiento en caché forma parte de la directiva de acceso web de Forefront TMG. El proceso de configuración se compone de las fases siguientes:
Habilitar el almacenamiento en caché mediante la asignación de espacio de disco en una o más unidades de disco en el servidor de Forefront TMG. Si ejecuta una matriz de Forefront TMG, debe asignar espacio de almacenamiento en caché en cada servidor de la matriz.
Configurar reglas de caché para especificar los tipos de contenido que se almacenan en caché.
Configurar los trabajos de descarga de contenido para actualizar de forma proactiva la memoria caché para anticiparse a las solicitudes de cliente, lo que mejora el rendimiento y ahorra ancho de banda.
Para obtener más información, vea Para habilitar y configurar el almacenamiento en caché.Pasos de configuración
Para habilitar y configurar el almacenamiento en caché1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, bajo Tareas relacionadas, haga
clic en Configurar almacenamiento en caché web.2. En la pestaña Unidades de caché, seleccione el servidor y haga clic en Configurar.3. Seleccione la unidad requerida. En Tamaño máximo de caché, especifique el tamaño máximo (en megabytes) y haga clic en Establecer. Si es necesario, repita
este paso para configurar el almacenamiento en caché en unidades adicionales. Cuando haya terminado de asignar el tamaño de almacenamiento en caché necesario, haga clic en Aceptar.
4. En la ficha Reglas de caché, haga clic en Nueva. Siga las instrucciones del asistente. 5. En la ficha Descarga de contenido, haga clic en Nueva. Siga las instrucciones del asistente.
Comprobar la implementación de la puerta de enlace web segura de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Este tema tiene como objeto ayudarle a probar y validar la funcionalidad de las características de la puerta de enlace web segura de Forefront TMG que ha implementado. Ejecute las pruebas después de completar la implementación y antes de implementar la puerta de enlace web segura en el entorno de producción.En los siguientes procedimientos se describe:
Probar la funcionalidad de proxy y caché. Antes de iniciar las pruebas, compruebe lo siguiente:
Se ha configurado el almacenamiento en caché web. Para obtener más información, vea Configurar el almacenamiento en caché en la puerta de enlace web segura de Forefront TMG.
Se ha creado al menos una regla de acceso web. Para obtener más información, vea Crear una directiva de acceso web básica (http://go.microsoft.com/fwlink/?LinkId=179465).
Se ha configurado una tabla de direcciones locales (LAT) en el servidor de Forefront TMG. Para obtener más información, vea Understanding the ISA Server 2000 Local Address Table (http://go.microsoft.com/fwlink/?LinkId=179663).
Probar el filtrado de direcciones URL. Antes de iniciar las pruebas, compruebe lo siguiente:
Una o más categorías de destino web se han definido como Destinos web bloqueados. Para obtener más información, vea Bloquear los destinos en las reglas de directiva de acceso web.
Se ha definido Invalidación de categorías de URL al menos para un sitio web. Para obtener más información, vea Buscar e invalidar la categoría de URL de un sitio.
La notificación de denegación que los usuarios reciben cuando se bloquea el acceso se personaliza de una de las siguientes maneras:
Se personaliza el mensaje de denegación de acceso predeterminado de Forefront TMG. Para obtener más información, vea Personalizar el mensaje de denegación de acceso predeterminado.
Los usuarios se redirigen a una página web que contiene un mensaje personalizado. Para obtener más información, vea Redirigir a los usuarios a una página de denegación de acceso personalizada.
Probar la inspección de HTTPS. Antes de iniciar las pruebas, compruebe lo siguiente:
La inspección de HTTPS está habilitada y configurada. Para obtener más información, vea Configurar la inspección de HTTPS en la puerta de enlace web segura de Forefront TMG.
La inspección de malware está habilitada y configurada. Para obtener más información, vea Configurar la inspección de malware en la puerta de enlace web segura de Forefront TMG.
Al menos un equipo o sitio web de origen o destino se ha excluido de la inspección de HTTPS. Para obtener más información, vea Excluir sitios y equipos de la inspección de HTTPS.
El cliente de Forefront TMG está instalado en el equipo cliente. Para obtener más información, vea Implementación del cliente de Forefront TMG (http://go.microsoft.com/fwlink/?LinkId=179467).
Las notificaciones de inspección de HTTPS a los usuarios finales están habilitadas en Forefront TMG y en el cliente de Forefront TMG. Para obtener más información, vea Notificar a los usuarios la inspección de HTTPS.
141
Probar la inspección de malware. Antes de iniciar las pruebas, compruebe que se haya habilitado y configurado la inspección de malware. Para obtener más información, vea Configurar la inspección de malware en la puerta de enlace web segura de Forefront TMG.
Probar NIS. Antes de iniciar las pruebas, compruebe que se haya habilitado y configurado NIS. Para obtener más información, vea Configurar NIS en la puerta de enlace web segura de Forefront TMG.
Sugerencia:
Para obtener información sobre los informes de Forefront TMG, así como instrucciones para configurarlos y consultarlos, vea Configurar los informes de Forefront TMG (http://go.microsoft.com/fwlink/?LinkId=179662).
Para obtener información sobre cómo solucionar los problemas de algunas de las características de la puerta de enlace web segura de Forefront TMG, vea Troubleshooting Web access protection (http://go.microsoft.com/fwlink/?LinkId=183985).
Probar la funcionalidad de proxy y caché
1. En el explorador del equipo cliente, establezca Configuración de red de área local (LAN) de modo que use el servidor de Forefront TMG como servidor proxy para la red LAN.
2. Vaya a What Is My IP (http://go.microsoft.com/fwlink/?LinkId=179317) y confirme la configuración del proxy y de la dirección IP externa. 3. Vaya al sitio web de la intranet. Debería pasar por el proxy si el indicador para omitirlo está desactivado en el explorador cliente. 4. Vaya al sitio de Outlook Web Access y realice una sesión corta.5. Desplácese a sitios web conocidos, como http://www.bing.com. Asegúrese de que todos estén accesibles y de que las páginas se muestren correctamente. 6. Descargue un archivo grande desde dos equipos diferentes. Puesto que el archivo se debería proporcionar desde la memoria caché, la segunda descarga debería
ser mucho más rápida que la primera. Compruebe que es así en el visor de registros de Forefront TMG. 7. Abra una conexión FTP en ftp://ftp.hp.com. Debería poder iniciar sesión en el sitio, así como mostrar y descargar archivos. 8. Si no consigue crear una sesión de proxy web o si se producen errores en alguna de las pruebas, en el árbol de la consola de Administración de Forefront TMG,
haga clic en Registros e informes. En el panel de detalles, haga clic en la pestaña Registro e inicie una consulta para detectar y analizar el tráfico procedente del equipo cliente.
Probar el filtrado de direcciones URL
1. En el equipo cliente, vaya a los sitios web en los que el filtrado de URL se haya configurado para el bloqueo y compruebe que se muestra su mensaje personalizado.
2. Vaya a un sitio web para el que se haya definido la invalidación de categorías y compruebe si se permiten o se bloquean de acuerdo con la configuración de invalidación.
3. Compruebe que puede consultar la base de datos de filtrado de URL:a. En el árbol de la consola de Administración de Forefront TMG, haga clic en Directiva de acceso web.b. En el recuadro Tareas, haga clic en Configurar filtrado de URL y, a continuación, haga clic en Consultar categoría de URL.c. En la pestaña Consulta de categorías, escriba una dirección URL o una dirección IP y, a continuación, haga clic en Consulta.
4. Compruebe que puede notificar problemas de clasificación en el sitio Comentarios e informes de errores de Microsoft Reputation Services (http://go.microsoft.com/fwlink/?LinkId=178581).
5. En el árbol de la consola de Administración de Forefront TMG, haga clic en Registros e informes. En el panel de detalles, haga clic en la pestaña Registro e inicie una consulta filtrada por la regla Destinos web bloqueados. Compruebe los resultados de la consulta y confirme si se ha detectado la categoría de URL correcta.
Probar la inspección de HTTPS
1. En el equipo cliente, vaya a The Anti-Virus or Anti-Malware test file (http://go.microsoft.com/fwlink/?LinkId=179319) y descargue uno de los archivos de virus de prueba sobre HTTPS. Compruebe si la protección contra malware de Forefront TMG notifica al equipo cliente que el acceso al archivo se encuentra bloqueado.
2. Vaya a un sitio web seguro y, a continuación, haga lo siguiente: Compruebe si, mientras se inspecciona el tráfico HTTPS, el cliente de Forefront TMG muestra un globo de notificación de Inspección de conexión
segura en el equipo cliente. Compruebe los detalles del certificado del sitio para confirmar que fue emitido por la Entidad de certificación de la inspección de HTTPS de
Microsoft Forefront TMG. Compruebe si el equipo cliente confía en el certificado, es decir, no se muestra ninguna página de error de certificado.
3. Desplácese a un sitio web no incluido en la inspección de HTTPS o desplácese a cualquier sitio web desde un equipo no incluido en la inspección de HTTPS y compruebe si el certificado no fue emitido por la Entidad de certificación de la inspección de HTTPS de Microsoft Forefront TMG.
4. En el árbol de la consola de Administración de Forefront TMG, haga clic en Registros e informes. En el panel de detalles, haga clic en la pestaña Registro e inicie una consulta filtrada por Resultado de la inspección de malware = Archivo infectado y Hora de registro. Compruebe los resultados de la consulta y confirme si Puerto de destino es 443 y Protocolo es https-inspect.
Probar la inspección de malware
1. En el equipo cliente, vaya a The Anti-Virus or Anti-Malware test file (http://go.microsoft.com/fwlink/?LinkId=179319) y descargue uno de los archivos de virus de prueba sobre HTTP. Compruebe si la protección contra malware de Forefront TMG notifica al equipo cliente que el acceso al archivo se encuentra bloqueado.
2. En el árbol de la consola de Administración de Forefront TMG, haga clic en Registros e informes. En el panel de detalles, haga clic en la pestaña Registro e inicie una consulta filtrada por Resultado de la inspección de malware = Archivo infectado. Compruebe los resultados de la consulta para confirmar que se bloqueó el archivo.
3. Asegúrese de que las definiciones de malware estén actualizadas. Para obtener más información, vea Configurar las actualizaciones de definiciones de la inspección de malware.
Probar NIS
1. En el equipo cliente, intente desplazarse a la siguiente dirección URL: http://www.contoso.com/testNIS.aspx?testValue=1!2@34$5%256%5e%5b%7bNIS-Test-URL%7d%5d1!2@34$5%256%5eCompruebe si se produce un error en el intento y si aparece este mensaje en el explorador: Mensaje de acceso a redes: No se puede mostrar la página.
2. En Forefront TMG, compruebe que se generó esta alerta: NIS bloqueó el tráfico que coincidía con una firma conocida. 3. En el árbol de la consola de Administración de Forefront TMG, haga clic en Registros e informes. En el panel de detalles, haga clic en la pestaña Registro e inicie
una consulta filtrada por Resultado del examen de NIS = Bloqueado. Compruebe los resultados de la consulta para confirmar que se detectó la firma.4. En el árbol de la consola de Administración de Forefront TMG, haga clic en Centro de actualización. En la pestaña Actualizaciones de definiciones, compruebe
que Forefront TMG recibe las actualizaciones de las definiciones de firmas.Operaciones de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
142
La guía de operaciones de Forefront TMG proporciona información para ayudarle a configurar los escenarios empresariales de Forefront TMG, y a administrar y mantener sus servidores de Forefront TMG. En la guía se incluyen los siguientes temas:
Configuración del acceso a Internet y a los recursos corporativos: proporciona instrucciones sobre cómo configurar el acceso a Internet para los usuarios internos, obtener acceso para los usuarios remotos y sitios a la red interna mediante la red privada virtual, y obtener acceso para los usuarios internos y externos a los recursos corporativos, como SharePoint y Outlook Web Access.
Proteger sus redes: proporciona instrucciones sobre cómo proteger los equipos y servidores en su red extendida.
Administrar Forefront TMG: proporciona instrucciones sobre cómo supervisar, respaldar y realizar otras tareas administrativas para Forefront TMG. Configuración del acceso a Internet y a los recursos corporativosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Uno de los escenarios corporativos principales para Forefront TMG es la habilitación del acceso seguro a Internet y a los recursos corporativos internos. En los temas siguientes se proporciona información que puede ayudarle a configurar tipos diferentes de acceso en Forefront TMG:
Configuración de la directiva de firewall: proporciona información acerca de cómo crear reglas de acceso y recomendaciones con respecto al orden de las reglas.
Configurar acceso web: proporciona información sobre cómo crear una directiva de acceso web para los usuarios y clientes conectados a una red corporativa.
Configurar acceso VPN: proporciona información sobre cómo configurar el acceso a redes privadas virtuales (VPN) de clientes remotos y sitio a sitio.
Configurar la publicación: proporciona información sobre cómo configurar el acceso a recursos corporativos como SharePoint y Exchange.Configuración de la directiva de firewallPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se proporciona información sobre cómo configurar una directiva de firewall en Forefront TMG:
Creación de una directiva de firewall: proporciona información general sobre cómo crear una directiva de firewall.
Crear una regla de acceso: describe los pasos básicos para crear una regla de acceso.
Recomendaciones de configuración de las directivas de firewall: contiene instrucciones para optimizar las directivas de firewall.
Configurar VoIP: describe cómo crear reglas de acceso que permiten el tráfico de voz sobre IP (VoIP). Creación de una directiva de firewallPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Con Forefront TMG, puede crear una directiva de firewall, que incluye un conjunto de reglas de acceso y reglas de publicación. Estas reglas, junto con las de red, determinan el modo en que los clientes tienen acceso a los recursos a través de las redes. Para obtener información general sobre las reglas de acceso, vea Planeación para controlar el acceso de red. Para obtener información general de las reglas de publicación, vea Planeación de publicación.
Trabajo con reglas de accesoLas reglas de acceso controlan el acceso de una red a otra. Una de las funciones principales de Forefront TMG es servir de conexión entre las redes de origen y de destino, al tiempo que las protege de accesos malintencionados. Para facilitar esta conectividad, se usa Forefront TMG para crear una directiva de acceso que permita a los clientes de la red de origen el acceso a equipos determinados de la red de destino. La directiva de acceso determina el modo en que los clientes tienen acceso a otras redes.Para obtener información sobre cómo crear reglas de acceso, vea Crear una regla de acceso. Para obtener información sobre cómo crear reglas de acceso de web saliente, es decir, el acceso desde un equipo cliente a Internet, vea Configurar acceso web.
Trabajo con reglas de publicación webLas reglas de publicación controlan el acceso entrante a los servidores publicados. Forefront TMG puede hacer que los servidores sean accesibles para los clientes de otra red de forma segura. Forefront TMG se usa para crear una directiva de publicación a fin de publicar los servidores de un modo seguro. La directiva de publicación (qué consta de reglas de publicación de web, reglas de publicación de servidor, reglas de publicación de web seguras y reglas de publicación de servidores de correo) y las reglas de encadenamiento web determinan el modo de acceso a los servidores publicados.Puede utilizar una de las reglas de Forefront TMG siguientes para publicar los servidores:
Reglas de publicación de web: sirven para publicar el contenido de los servidores web.
Reglas de publicación de servidor: para publicar cualquier otro contenido.
Servidores de publicación web seguros: para publicar contenido de Capa de sockets seguros (SSL).
Reglas de publicación de correo Exchange: para publicar el acceso de correo de cliente web en un servidor Exchange o granja de servidores.Cuando Forefront TMG procesa una solicitud HTTP o HTTPS desde un cliente, comprueba las reglas de publicación y las reglas de encadenamiento web para determinar si se permite la solicitud, y qué servidor la atenderá.En el caso de solicitudes no HTTP, Forefront TMG comprueba las reglas de red y, después, las reglas de publicación para determinar si se permiten las solicitudes.Para obtener información sobre cómo crear las reglas de publicación de web, vea Configurar la publicación de web.Para obtener información sobre cómo crear reglas de publicación de servidor, vea Configurar la publicación de otros protocolos.Crear una regla de accesoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo crear reglas de acceso mediante el Asistente para nueva regla de acceso. Para crear una regla de acceso mediante el Asistente para nueva regla de acceso
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall y, en el recuadro Tareas, haga clic en Crear regla de acceso.
2. Siga las instrucciones hasta completar el Asistente para nueva regla de acceso: En la página Acción de la regla, especifique si la regla debe permitir o denegar el acceso.
En la página Protocolos, para seleccionar los protocolos FTP, HTTP o HTTPS, deje la configuración predeterminada Protocolos seleccionados y haga clic en Agregar. En el cuadro de diálogo Agregar protocolos, haga clic para expandir Web y, a continuación, seleccione FTP, HTTP o HTTPS. No
143
seleccione los protocolos que terminan en "Server". Estos protocolos se utilizan para reglas de publicación de servidor no web, no para el acceso saliente.
En la página Inspección de código malintencionado, seleccione si se habilita la inspección de código malintencionado para la regla. Para habilitar esta configuración, la inspección de código malintencionado debe estar habilitada de forma global. Para obtener más información, vea Habilitar la inspección de malware.
En la página Orígenes de regla de acceso, seleccione los objetos de red desde los que se recibirán las solicitudes.
En la página Destinos de regla de acceso, seleccione los lugares adonde se enviarán las solicitudes recibidas. Para el acceso web seleccione la red Externa (Internet).
En la página Usuarios, seleccione si las solicitudes para la regla se deben autenticar. Para el acceso anónimo deje la configuración Todos los usuarios predeterminada. Para especificar que la regla solo se aplicará a un grupo concreto de usuarios, haga clic en Agregar y, a continuación, seleccione conjuntos de usuarios predefinidos o cree un conjunto de usuarios personalizado.
3. Configurar VoIPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes temas se proporciona información acerca de:Configurar el acceso para VoIP: cómo crear reglas de acceso que permitan VoIP sobre Forefront TMG.Configurar los valores de VoIP: cómo configurar las opciones de VoIP que permitan a los clientes de la red interna recibir y enviar llamadas a través del sistema IP PBX (central de conmutación de protocolo de Internet).
Configurar el acceso para VoIPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Con Forefront TMG puede configurar reglas de directiva que permitan el tráfico de voz sobre IP (VoIP) a través de Forefront TMG.VoIP se lleva a cabo mediante el protocolo de datagramas de usuario (UDP), que se basa en otros dos protocolos: protocolo de inicio de sesión (SIP) para el establecimiento y finalización de llamadas, y el protocolo en tiempo real (RTP) para multimedia (audio y vídeo).Un sistema telefónico de central de conmutación de protocolo de Internet (IP PBX) conmuta las llamadas entre los usuarios de VoIP. El sistema IP PBX transfiere la voz a través de las redes de datos, como las redes de área local (LAN) y las redes de área extensa (WAN), y también puede conmutar llamadas entre un usuario de VoIP y un usuario de telefonía tradicional, o entre dos usuarios de telefonía tradicional. Cuando Forefront TMG se implementa en el perímetro o dentro de la organización, se pueden configurar las reglas de directiva que permiten que el tráfico SIP y RTP pase por Forefront TMG.En los siguientes procedimientos se describe:
Configurar un sistema IP PBX externo (hospedado)
Configurar una IP PBX interna conectada a la RTC
Configurar una IP PBX interna con un tronco SIP
Configurar una IP PBX interna con una IP PBX externa (hospedada)Configurar un sistema IP PBX externo (hospedado)
Utilice esta configuración al utilizar un sistema IP PBX externo u hospedado que proporcione un proveedor de servicios de telefonía de Internet (ITSP). Esta configuración de VoIP agrega las siguientes reglas:
Permitir tráfico SIP entre teléfonos e IP PBX: permite que el tráfico SIP de los teléfonos internos llegue al sistema PBX externo.
Permitir el tráfico RTP en la red externa: permite que el tráfico multimedia de los teléfonos internos llegue a la red externa.
Permitir tráfico RTP entre teléfonos: permite el tráfico multimedia entre los teléfonos internos.Para configurar un sistema IP PBX hospedado
1. En el servidor de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En la ficha Tareas, haga clic en Configurar VoIP.3. En el Asistente para la configuración de SIP, seleccione Los teléfonos IP se conectan directamente a una IP PBX externa (hospedada).4. Siga los pasos del asistente para especificar la ubicación de la IP PBX externa (normalmente, su ITSP le proporcionará un nombre DNS) y especifique las
direcciones de red de los teléfonos que se utilizarán para el tráfico SIP.5. La página de finalización detalla las reglas de directiva de Forefront TMG que se crearán. Las reglas especifican el origen y destino por los que se permite el
tráfico especificado. Configurar una IP PBX interna conectada a la RTC
Utilice esta configuración si usa una IP PBX interna y la RTC para las llamadas externas. En este caso, necesita una puerta de enlace de SIP que convierta las llamadas entre la red IP y la RTC. Esta configuración de VoIP agrega las siguientes reglas:
Permitir el tráfico RTP en la puerta de enlace de SIP: permite que el tráfico multimedia (RTP) de los teléfonos internos y la IP PBX llegue a la puerta de enlace de SIP.
Permitir el tráfico RTP en la IP PBX interna: permite que el tráfico multimedia (RTP) de los teléfonos internos y la puerta de enlace de SIP llegue a la IP PBX.
Permitir tráfico RTP en los teléfonos: permite que el tráfico multimedia (RTP) de la IP PBX y la puerta de enlace de SIP llegue a los teléfonos IP.
Permitir el tráfico SIP entre IP PBX de SIP y los componentes SIP internos: permite el tráfico entre los teléfonos IP, la IP PBX y la puerta de enlace de SIP.Para configurar una IP PBX interna conectada a la RTC
1. En el servidor de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En la ficha Tareas, haga clic en Configurar VoIP.3. En el Asistente para la configuración de SIP, seleccione Los teléfonos IP se conectan a una IP PBX interna.4. Seleccione La PBX interna no está conectada a un proveedor de servicios externo y La PBX interna está conectada a una puerta de enlace RTC a través de SIP.5. Siga los pasos del asistente para especificar la ubicación de la puerta de enlace de SIP y la dirección IP de la PBX interna, y especifique las direcciones de red de
los teléfonos IP internos.6. La página de finalización detalla las reglas de directiva de Forefront TMG que se crearán. Las reglas especifican el origen y destino por los que se permite el
tráfico especificado. Configurar una IP PBX interna con un tronco SIP
Utilice esta configuración si usa una IP PBX interna y un tronco de SIP entre su IP PBX y la RTC para las llamadas externas. Esta configuración de VoIP agrega las siguientes reglas:
144
Permitir el tráfico RTP en la IP PBX interna: permite que el tráfico multimedia (RTP) de los teléfonos internos llegue a la IP PBX, es decir, el servidor proxy SIP interno.
Permitir tráfico RTP en los teléfonos: permite que el tráfico multimedia (RTP) de la IP PBX llegue a los teléfonos IP.
Permitir el tráfico RTP en la red externa: permite que el tráfico multimedia (RTP) de los teléfonos internos y la IP PBX llegue a la red externa.
Permitir tráfico SIP entre IP PBX internas y externas: permite que el tráfico SIP de la IP PBX interna llegue a la IP PBX externa.
Permitir SIP entre los componentes de SIP internos: permite SIP entre los teléfonos IP y la IP PBX.
Publicar IP PBX interna en la red externa: permite que el tráfico de la IP PBX externa llegue a la IP PBX interna.Para configurar una IP PBX interna con un tronco SIP
1. En el servidor de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En la ficha Tareas, haga clic en Configurar VoIP.3. En el Asistente para la configuración de SIP, seleccione Los teléfonos IP se conectan a una IP PBX interna.4. Seleccione La PBX interna es atendida por el servicio de troncos SIP.5. Siga los pasos del asistente para especificar la dirección IP de la IP PBX interna, la ubicación de la IP PBX externa (normalmente, su ITSP le proporcionará un
nombre DNS) y especifique las direcciones de red de los teléfonos IP internos.6. La página de finalización detalla las reglas de directiva de Forefront TMG que se crearán. Las reglas especifican el origen y destino por los que se permite el
tráfico especificado. Configurar una IP PBX interna con una IP PBX externa (hospedada)
Utilice esta configuración si usa una IP PBX interna y una PBX hospedada. Esta configuración de VoIP agrega las siguientes reglas:
Permitir el tráfico RTP en la IP PBX interna: permite que el tráfico multimedia (RTP) de los teléfonos internos llegue a la IP PBX, es decir, el servidor proxy SIP interno.
Permitir tráfico RTP en los teléfonos: permite que el tráfico multimedia (RTP) de la IP PBX llegue a los teléfonos IP.
Permitir el tráfico RTP en la red externa: permite que el tráfico multimedia (RTP) de los teléfonos internos y la IP PBX llegue a la red externa.
Permitir tráfico SIP entre IP PBX internas y externas: permite que el tráfico SIP de la IP PBX interna llegue a la IP PBX externa.
Permitir el tráfico SIP entre los componentes de SIP internos y la PBX interna: habilita SIP entre los componentes de SIP internos y la IP PBX de SIP.Para configurar una IP PBX interna con una IP PBX externa (hospedada)
1. En el servidor de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En la ficha Tareas, haga clic en Configurar VoIP.3. En el Asistente para la configuración de SIP, seleccione Los teléfonos IP se conectan a una IP PBX interna.4. Seleccione La PBX interna es atendida por un servicio externo (hospedado).5. Siga los pasos del asistente para especificar la dirección IP de la IP PBX interna, la ubicación de la IP PBX externa (normalmente, su ITSP le proporcionará un
nombre DNS) y especifique las direcciones de red de los teléfonos IP internos.6. La página de finalización detalla las reglas de directiva de Forefront TMG que se crearán. Las reglas especifican el origen y destino por los que se permite el
tráfico especificado.Configurar los valores de VoIPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La configuración de VoIP permite a los clientes de la red interna recibir y enviar llamadas a través del sistema IP PBX. En los siguientes procedimientos se describe cómo habilitar y configurar los valores de VoIP y cuotas SIP.Para configurar los valores de VoIP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de firewall.2. En la ficha Tareas, haga clic en Configurar valores de VoIP.3. Seleccione Habilitar clientes SIP internos para el registro externo para habilitar a los clientes de la red interna para que reciban las llamadas entrantes del IP PBX. 4. En el cuadro de diálogo Dirección IP del registro externo, escriba una dirección IP de red dedicada al sistema IP PBX. Si usa 0.0.0.0, se usa la dirección IP
externa de Forefront TMG. 5. En el Número de puertos de registro para SIP además del puerto predeterminado, escriba el número de veces que el mismo cliente se puede registrar con una IP
PBX externa. Para configurar las cuotas SIP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de firewall.2. En la ficha Tareas, haga clic en Configurar valores de VoIP.3. Haga clic en Configurar cuotas de SIP.4. En Número máximo global de registros en el filtro, escriba el número de clientes internos que se pueden registrar con el IP PBX externo.5. En Número máximo de registros para una dirección IP específica, escriba el número de clientes internos que se pueden registrar con el IP PBX externo a través
de una dirección IP concreta.6. En Número máximo global de llamadas en el filtro, escriba el número de llamadas simultáneas permitidas de los clientes internos al IP PBX externo. 7. En Número máximo de llamadas para una dirección IP específica, escriba el número de llamadas simultáneas permitidas de los clientes internos al IP PBX
externo a través de una dirección IP interna concreto.Configurar acceso webPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes temas se proporciona información sobre cómo configurar el acceso web en Forefront TMG:
Introducción a la configuración del acceso web: describe las distintas fases implicadas en la creación de una directiva de acceso web con Forefront TMG.
Habilitar el acceso a Internet: describe cómo crear y configurar las reglas de directiva de acceso web.
Almacenar en memoria caché el contenido del sitio web: describe cómo configurar el almacenamiento en memoria caché de contenido descargado con frecuencia para mejorar la velocidad del acceso web y el rendimiento de la red.
Configurar BranchCache en Forefront TMG (SP1): en este tema se describe cómo habilitar y configurar BranchCache en el modo Caché hospedada en un equipo Forefront TMG. BranchCache es una tecnología de optimización de ancho de banda de red de área extensa (WAN) que permite a los equipos cliente de las sucursales obtener acceso al contenido desde una memoria caché local.
Introducción a la configuración del acceso webPublicada: noviembre de 2009Actualizado: febrero de 2010
145
Se aplica a: Forefront Threat Management Gateway (TMG)En Forefront TMG, puede crear una directiva de acceso web para controlar quién puede obtener acceso a determinados recursos en Internet, así como la protección y las tecnologías que están habilitadas para proporcionar una experiencia de exploración rápida y segura.
Controlar el acceso webUna directiva de acceso web permite controlar:
Qué destinos web se permiten o bloquean. Puede controlar el acceso a las categorías de URL, conjuntos de categorías y sitios web concretos. Por ejemplo, puede bloquear el acceso de todos los usuarios a un sitio específico. Si lo prefiere, puede permitir a los administradores tener acceso a un conjunto de categorías de direcciones URL que desea denegar a otros empleados.
Qué equipos o usuarios pueden tener acceso a Internet. Por ejemplo, puede especificar que un conjunto de equipos no tenga acceso a Internet o puede permitir a un conjunto de usuarios tener acceso a Internet pero bloquear otros.
Qué tipos de contenido se permiten, en función del tipo MIME y la extensión de nombre de archivo. Por ejemplo, puede bloquear el acceso al contenido que incluye archivos de audio, como archivos MP3 y WAV.
Para obtener información acerca de cómo controlar el acceso web, vea Habilitar el acceso a Internet.
Acelerar el acceso al contenido solicitado con frecuenciaUna directiva de acceso web también permite configurar el almacenamiento en caché del contenido web, a fin de mejorar la velocidad del acceso web y el rendimiento de la red. Para obtener más información, vea Almacenar en memoria caché el contenido del sitio web.
Inspeccionar y filtrar el tráfico webUna directiva de acceso web también permite configurar varias protecciones contra el contenido web malintencionado. Forefront TMG incluye varias tecnologías de protección que pueden examinar el tráfico web:
Inspección de malware: cuando está habilitada la inspección de malware, se inspeccionan las páginas web descargadas y los archivos permitidos por las reglas de acceso en busca de malware. El filtro de inspección de malware limpia o bloquea el contenido HTTP y los archivos perjudiciales (como gusanos, virus y spyware). Para obtener más información acerca de cómo proteger los clientes del contenido HTTP malintencionado, vea Configurar la protección de las amenazas basadas en web.
Inspección de HTTPS: cuando la inspección de HTTPS está habilitada, se examina el tráfico a los sitios web seguros en busca de virus y otro contenido malintencionado que podría usar túneles de la capa de sockets seguros (SSL) para infiltrarse en la organización sin ser detectado. Para obtener más información acerca de cómo proteger los clientes del contenido HTTPS malintencionado, vea Configurar la inspección de HTTPS.
Filtrado HTTP: puede configurar el filtrado de HTTP de capa de aplicación que examina los comandos y los datos HTTP. Por ejemplo, puede usar el filtrado HTTP para bloquear el uso de un determinado servicio de uso compartido de archivos de punto a punto. Para obtener más información acerca del filtrado HTTP, vea Configurar filtrado HTTP.
Crear reglas de accesoAl configurar una directiva de acceso web, se crea un conjunto de reglas de acceso que controlan cómo se administran las solicitudes de los clientes de recursos web que se encuentran en otras redes. En el Asistente para directivas de acceso web, puede establecer opciones de configuración globales que determinan el modo en que se administra el tráfico web.Las herramientas para crear una directiva de acceso web se encuentran en el nodo Directiva de acceso web. En él, puede abrir el Asistente para directivas de acceso web y editar otros aspectos de la directiva.Habilitar el acceso a InternetPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En Forefront TMG, el acceso a la Web se habilita mediante la creación de reglas de acceso. Al crear una directiva de acceso web para su organización, se recomienda que haga lo siguiente:
1. Use el Asistente para directivas de acceso web con el fin de crear una directiva de acceso web básica. Esta directiva básica proporciona acceso anónimo para los usuarios internos a todos los destinos web, excepto los destinos web que seleccione. Puede usar las categorías de URL predefinidas para excluir los tipos de destinos web a los que no desee que tengan acceso sus usuarios. También puede designar usuarios o conjuntos de usuarios a los que no se apliquen estos bloqueos. El asistente también permite habilitar las tecnologías de protección para las amenazas basadas en Web.
2. Después de completar el Asistente para directivas de acceso web, puede optimizar la directiva de acceso web si edita las propiedades de las reglas de acceso web. Entre otras opciones, puede obligar a los usuarios a que se autentiquen antes de concederles acceso a Web, configurar diferentes reglas de acceso para usuarios distintos, controlar las horas a las que pueden obtener acceso a Web y los tipos de archivo que pueden descargar.
En los temas siguientes se describe cómo habilitar y configurar el acceso web en su organización:
Crear una directiva de acceso web básica: describe cómo crear una directiva acceso web simple.
Configurar las propiedades de la regla de acceso web: describe cómo diferenciar la directiva de acceso web para distintos usuarios y equipos.
Personalizar los mensajes de error HTML en Forefront TMG: describe cómo personalizar los mensajes de error que los clientes de explorador web reciben a veces como resultado de una solicitud web.
Crear una directiva de acceso web básicaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este procedimiento se explica cómo crear una directiva de acceso web básica mediante el Asistente para directivas de acceso web. El asistente crea una regla predeterminada que concede acceso a Internet a todos los usuarios internos. El asistente también permite definir excepciones a la regla.Para crear una directiva de acceso web básica
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar directiva de acceso web.3. Siga los pasos del Asistente para directivas de acceso web.
146
4. En la página Reglas de directiva de acceso web, puede permitir a Forefront TMG crear una regla predeterminada que bloquee el acceso a los sitios web categorizados como malintencionados.
Nota:
En la página Destinos web bloqueados, puede bloquear el acceso a todos los tipos de entidades de red, incluidas las categorías de direcciones URL y conjuntos de categorías de direcciones URL. Para configurar su directiva de acceso rápidamente, use los conjuntos de categorías de direcciones URL, que combinan direcciones URL similares. Si es necesario, puede agregar dominios concretos y otros destinos web.
5. Después de finalizar el asistente, en la barra Aplicar cambios, haga clic en Aplicar.Pasos siguientes
Puede personalizar más la directiva de acceso web mediante la edición de las reglas que ha creado. Para obtener información detallada, vea Configurar las propiedades de la regla de acceso web.Configurar la inspección de código malintencionadoConfigurar las propiedades de la regla de acceso webPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Tras la creación de una regla de acceso web mediante el Asistente para directivas de acceso web o el Asistente para nueva regla de acceso, puede configurar la regla con detalles adicionales si edita sus propiedades. Hay muchas propiedades de reglas de acceso web que puede configurar. En el siguiente procedimiento se describe cómo modificar estas propiedades. Modificar una regla de acceso web
1. En el árbol de la consola de administración de Forefront TMG, en el árbol, haga clic en el nodo Directiva de acceso web. 2. En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Propiedades. 3. Modifique las propiedades de la regla de acceso según sea necesario, en función de las tareas descritas en la siguiente tabla.
Tarea y descripción Pasos
Habilitar o deshabilitar la reglaSi una regla está deshabilitada, el motor de reglas no la evalúa.
Haga clic en la pestaña General y, a continuación, active o desactive la casilla Habilitar.
Modificar la acción de la reglaEstablezca la acción que se tomará si se cumplen todas las condiciones especificadas en la regla.
Haga clic en la pestaña Acción y seleccione Permitir para permitir la coincidencia del tráfico con la regla o en Denegar para denegar la coincidencia del tráfico con la regla.
Habilitar la anulación del usuario para reglas de denegación (solo SP1)Habilite la invalidación del usuario si desea permitir que los usuarios decidan por ellos mismos si desean tener acceso a un sitio que les estaba anteriormente denegado.Cuando la invalidación del usuario está habilitada y configurada correctamente, la página HTML de acceso denegado ofrece la opción de continuar al sitio
Haga clic en la pestaña Acción de una regla de acceso de denegación y, a continuación, seleccione Permitir la invalidación del usuario.
Importante:
La invalidación del usuario solo está disponible para las reglas de denegación que disponen de categorías de direcciones URL o conjuntos de categorías de direcciones URL como su destino.
Cuando un usuario hace clic en Invalidar restricción de acceso, la regla se quita de la consideración mientras esta solicitud de acceso específica se evalúa con la base de regla de directiva de firewall. En consecuencia, para que la invalidación del usuario funcione, una de las reglas de directiva de firewall posteriores debe permitir el acceso al destino solicitado.
Si desea limitar la longitud de la sesión, seleccione Invalidación efectiva durante (minutos). El período predeterminado de tiempo es de 30 minutos; puede ajustar este tiempo según sea necesario para la directiva.Para obtener más información, vea Planeación para la invalidación del usuario de reglas de denegación (SP1).
147
restringido.
Modificar la notificación de denegaciónCuando una regla de directiva de acceso web deniega el acceso a un sitio web o a un conjunto de sitios web, puede crear un mensaje personalizado que avise a los clientes de que se les ha denegado el acceso. Puede crear un mensaje de acceso denegado diferente para cada regla de la directiva de acceso web.También puede dirigir los clientes web a una página web hospedada personalizada en un servidor web.
Haga clic en la pestaña Acción de una regla de acceso de denegación y en Opciones avanzadas y, a continuación, realice una de las siguientes opciones:
Para modificar el mensaje de denegación predeterminado, compruebe que la opción Mostrar la notificación de denegación al usuario está seleccionada. En el cuadro de Agregar texto personalizado o HTML a la notificación (opcional), escriba el mensaje que desea mostrar a los usuarios que intenten obtener acceso a los sitios web bloqueados.
Nota:
Puede usar etiquetas HTML, como:
<a href="mailto:[email protected]?subject=Access to web site denied">Contact the system administrator</a>. Si la regla bloquea el acceso a una categoría de dirección URL, puede exponer la categoría de dirección URL del sitio web bloqueado
a los usuarios seleccionando Agregar categoría de la solicitud denegada a la notificación. Esta opción solo está disponible cuando el filtrado de URL está habilitado.
Para dirigir a los clientes web a una página web personalizada hospedada en un servidor web, seleccione Redirigir el cliente web a la siguiente URL y escriba la dirección URL completa, con el siguiente formato: http://URL.
Nota:
En Forefront TMG 2010 Service Pack 1, puede usar los siguientes tokens en la página web personalizada:
[DESTINATIONURL]: muestra la dirección URL denegada. [URLCATEGORYNAME]: muestra la categoría de dirección URL denegada en el idioma de instalación de Forefront TMG. [URLCATEGORYID]: muestra un número que representa el Id. de categoría de dirección URL denegada si desea visualizar la
categoría de dirección URL en la configuración de idioma predeterminada del explorador del usuario. [OVERRIDEGUID]: muestra el GUID de matriz, necesario si desea crear un botón de invalidación de usuario similar al de la página
de notificación predeterminada.Por ejemplo: http://192.168.1.3/Default.aspx?OrigUrl=[DESTINATIONURL]&Category=[URLCATEGORYNAME]&CategoryId=[URLCATEGORYID].
Habilitar o deshabilitar el registro de una reglaCon el registro habilitado, las solicitudes de cliente que se permitan o denieguen con esta regla se guardarán en el registro correspondiente.
Haga clic en la pestaña Acción y, a continuación, active o desactive la casilla Registrar solicitudes que coincidan con esta regla.
Modificar los protocolos para una reglaLa regla de acceso se aplica al tráfico IP que usa los protocolos seleccionados aquí. Una regla diseñada para permitir el tráfico web permitirá HTTP y, según sus requisitos, HTTPS y FTP.
1. Haga clic en la pestaña Protocolos y para Esta regla se aplica a, seleccione una de las siguientes opciones: Para especificar que la regla solo se aplica a los protocolos relacionados con Internet, seleccione Protocolos seleccionados y, a
continuación, haga clic en Agregar. En el cuadro de diálogo Agregar protocolos, haga clic para expandir Web, seleccione FTP, HTTP y HTTPS; para ello, haga clic en Agregar después de cada uno. A continuación, haga clic en Cerrar.
Nota:
No seleccione los protocolos que terminan en "Server". Estos protocolos se usan para la publicación de web y no para el acceso saliente.
Para indicar que la regla se aplica a todos los protocolos, seleccione Todo el tráfico saliente. Para especificar que esta regla se aplica a todo el tráfico excepto a los protocolos seleccionados, elija Todo el tráfico saliente
excepto el seleccionado y, a continuación, haga clic en Agregar. En el cuadro de diálogo Agregar protocolos, seleccione el protocolo necesario, haga clic en Agregar y, a continuación, en Cerrar.
Nota:
Para obtener información acerca de la creación y la edición de definiciones de protocolo predeterminadas, vea Configuring protocols
2. Para permitir solo el tráfico de un determinado intervalo de puertos, haga clic en Puertos y, a continuación, seleccione Limitar acceso al tráfico de este intervalo de puertos de origen. Escriba el intervalo de los puertos de origen permitidos en los cuadros De y A.
3. Para permitir el tráfico únicamente con características de HTTP específicas, haga clic en Filtrado y seleccione Configurar HTTP. Para obtener información acerca de cómo crear el filtro HTTP, vea Configurar filtrado HTTP.
Modificar los orígenes de
Haga clic en la ficha De y realice una de las siguientes acciones:
148
reglaEspecifique las redes, los equipos, las subredes, los intervalos de direcciones y las categorías de direcciones URL de origen (o conjuntos de cada uno de ellos) que se aplican a cada regla.
Para agregar un origen de tráfico a la regla, haga clic en Agregar en la lista Esta regla se aplica al tráfico de estos orígenes. En el cuadro de diálogo Agregar entidades de red, seleccione los orígenes de tráfico a los que desea que se aplique esta regla, haga clic en Agregar y, a continuación, haga clic en Cerrar.
Para especificar las excepciones a la regla, haga clic en Agregar en la lista Excepciones y, a continuación, especifique las entidades de red a las que no se aplica esta regla.
Modificar los destinos de reglaEspecifique las redes, los equipos, las subredes, los intervalos de direcciones y las categorías de direcciones URL de destino (o conjuntos de cada uno de ellos) que se aplican a cada regla.
Haga clic en la ficha A y realice una de las siguientes acciones:
Para agregar un destino de tráfico a la regla, haga clic en Agregar en la lista Esta regla se aplica al tráfico enviado a estos destinos. En el cuadro de diálogo Agregar entidades de red, seleccione los orígenes de tráfico a los que desea que se aplique esta regla, haga clic en Agregar y, a continuación, haga clic en Cerrar.
Para especificar las excepciones a la regla, haga clic en Agregar en la lista Excepciones y, a continuación, especifique las entidades de red a las que no se aplica esta regla.
Modificar los requisitos de autenticación para una reglaLa regla de acceso se aplica a los conjuntos de usuarios enumerados en la ficha Usuarios.
Haga clic en la pestaña Usuarios y realice una de las siguientes acciones:
Para especificar que la regla es anónima y que los usuarios no tienen que autenticarse, compruebe que el elemento Todos los usuarios se encuentra en la lista de conjuntos de usuarios.
Para agregar un conjunto de usuarios a la regla, haga clic en Agregar y, a continuación, seleccione lo siguiente en el cuadro de diálogo Agregar usuarios: Para indicar que sólo se debe permitir el acceso a los usuarios que se puedan autenticar, seleccione Todos los usuarios autenticados. Para especificar el acceso anónimo, seleccione Todos los usuarios. También puede seleccionar un grupo de usuarios personalizado, si se ha creado uno. Para obtener más información, vea Configuring
user sets. Si desea especificar excepciones a la regla, haga clic en Agregar en la lista Excepciones y, a continuación, especifique los usuarios que están
exentos de los requisitos de autenticación de usuarios de la regla.
Nota:
Si establece que una regla requiere autenticación, los usuarios se autentican según el método de autenticación proxy web para la red de origen especificada en la pestaña De de la regla.
Si las propiedades del proxy web de la red de origen indican que se requiere autenticación, este valor tendrá prioridad sobre la configuración de autenticación de una regla determinada. Para obtener más información, vea Planeación para la autenticación de acceso web.
Si una regla requiere autenticación, se denegará el acceso a los usuarios que no puedan presentar credenciales de autenticación, así como a los usuarios que presenten credenciales que no pasen el proceso de autenticación.
Modificar la programación de una reglaEspecifique cuándo desea aplicar esta regla.
Haga clic en la ficha Programación y en la lista Programar, seleccione una de las opciones siguientes:
Siempre, para especificar que la regla siempre es aplicable. Fines de semana, para especificar que la regla solo se aplica en sábado y domingo. Horas laborables, para especificar que la regla está activa de lunes a viernes, desde las 9:00 hasta las 17:00.
Nota:
Puede modificar los días y horas de estas programaciones predeterminadas, o crear nuevas. Para obtener más información acerca de cómo crear y editar los calendarios, vea Configuring schedules.
Cuando modifica una regla para que sólo se aplique en momentos determinados (mediante la configuración de la programación), la regla modificada sólo se aplicará en las conexiones nuevas. El tráfico de las conexiones existentes seguirá pasando, aunque se produzca en un momento no permitido.
Modificar tipos de contenido
1. Haga clic en la ficha Tipos de contenido.2. Haga clic en Tipos de contenido seleccionados y seleccione los conjuntos de tipos de contenido adecuados en la lista Tipos de contenido.
149
para una reglaPuede usar esta opción para especificar los tipos de contenido que se aplican a una regla.
3. Para ver los tipos MIME y de archivo incluidos en un determinado conjunto de tipos de contenido, realice lo siguiente:a. Seleccione el conjunto de tipos de contenido y, a continuación, haga clic en Detalles.b. Haga clic en la ficha Tipos de contenido de la ventana Propiedades de aplicaciones y revise la lista Tipos seleccionados.c. Para agregar un tipo MIME o de archivo a la lista Tipos seleccionados, selecciónelo en la lista Tipos disponibles.d. Cuando haya finalizado, haga clic en Aceptar.
4. Para definir un nuevo tipo de contenido, haga clic en Nuevo y, a continuación, especifique la configuración del tipo de contenido.
Nota:
Para obtener más información acerca de los tipos de contenido, vea Configuring content types.
5.
Modificar la configuración de inspección de malware para una reglaEspecifique si se debe detectar malware en el contenido descargado de los servidores web y modifique las opciones de inspección de malware específicas de la regla.
1. Haga clic en la ficha Inspección de malware.2. Para habilitar la descripción de malware para el tráfico permitido por esta regla, seleccione Inspeccionar contenido descargado de
servidores web a clientes.3. Aunque se recomienda que conserve la configuración predeterminada, puede establecer las opciones de inspección de malware para esta
regla que son diferentes de las establecidas globalmente. Para ello, haga clic en Usar la configuración específica de la regla para la inspección de malware. A continuación, haga clic en Configuración de reglas para ajustar con precisión los umbrales de bloque de inspección de malware y otras opciones para esta regla. Tenga en cuenta las consideraciones siguientes: Si Intentar limpiar archivos infectados está habilitado, se purgarán los archivos que no se pueden limpiar. Se emite una página
HTML para notificar al usuario que el archivo se ha bloqueado. La configuración Bloquear archivos sospechosos está diseñada para bloquear archivos que parecen estar infectados con malware
desconocido. De manera predeterminada, la opción Bloquear archivos dañados está desactivada. Activar esta opción puede provocar un falso
positivo y bloquear archivos que en realidad no son dañinos. La opción Bloquear archivos si el nivel de profundidad del archivo supera está diseñada para bloquear malware que llega en
archivos con anidamiento profundo para evitar la detección. La configuración Bloquear archivos de almacenamiento si el tamaño del contenido desempaquetado es superior a (MB) está
diseñada para evitar que los archivos de almacenamiento pequeños se descompriman en un tamaño grande cuando se desempaquetan.
Nota:
La inspección de malware solo se puede configurar en la regla si está habilitada de forma global. Para obtener más información, vea Habilitar la inspección de malware.
Para detectar malware en el tráfico HTTPS, debe habilitar la inspección de HTTPS. Para obtener más información, vea Configurar la inspección de HTTPS.
Personalizar los mensajes de error HTML en Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describen los mensajes de error HTML que se proporcionan con Forefront TMG y se explica cómo personalizarlos. También se indica cómo crear nuevos mensajes de error.
Acerca de los mensajes de error HTMLA veces, los clientes de explorador web reciben mensajes de error en el explorador como resultado de una solicitud web. Si un error de solicitud web se produce en el cliente antes de llegar al equipo con Forefront TMG, Internet Explorer genera el mensaje de error.Cuando las solicitudes web llegan al equipo con Forefront TMG, Forefront TMG incluye un conjunto de mensajes de error que se pueden devolver a los clientes de explorador web. Forefront TMG distingue entre las solicitudes de cliente externas e internas.
Editar los mensajes de error HTMLPuede editar los archivos .htm cuando y como considere necesario. Recuerde hacer una copia de seguridad del archivo original antes de realizar modificaciones. Los mensajes de error correspondientes al idioma de su versión de Forefront TMG se encuentran en el directorio ErrorHtmls del directorio de instalación de Forefront TMG. Se utiliza la siguiente sintaxis para identificar los archivos:
Para los clientes internos, los archivos se denominan Error_número.htm.
Para los clientes externos, los archivos se denominan Error_númeroR.htm (donde R es "reverse" y significa inverso). En la siguiente tabla se enumeran los mensajes de error de esta carpeta.
Nombres de archivo Descripción
64.htm y 64R.htm Se ha perdido la conexión al servidor web especificado.
401R.htm El cliente no se ha autenticado correctamente (solo el cliente externo).
407.htm El servidor proxy no ha autenticado el cliente (solo el cliente interno).
502.htm y 502R.htm
No se pudo establecer conexión con un servidor de contenido que precede en la cadena.
504.htm y 504R.htm
Se agotó el tiempo de espera al intentar establecer conexión con un servidor que precede en la cadena.
150
1460.htm y 1460R.htm
Se agotó el tiempo de espera de una conexión solicitada al servidor web especificado.
10054.htm y 10054R.htm
El servidor web de destino especificado restableció la conexión.
10060.htm y 10060R.htm
No se pudo establecer contacto con el servidor web especificado y se agotó el tiempo de espera de la solicitud.
10061.htm y 10061R.htm
El servidor web especificado no pudo establecer una conexión. Normalmente sucede al intentar establecer conexión con un servicio inactivo del servidor.
11001.htm y 11001R.htm
No se encontró el host especificado.
11002.htm y 11002R.htm
No se pudo establecer contacto con el servidor de nombres DNS para el host especificado.
11004.htm y 11004R.htm
No se encontró el host.
12206.htm y 12206R.htm
Se ha detectado una configuración de bucle de cadena de proxy. Podría indicar un problema de configuración del proxy.
12221R.htm El certificado de cliente utilizado para establecer la conexión SSL con el equipo de Forefront TMG no procede de una entidad de certificación (CA) de confianza.
12222R.htm El certificado de cliente utilizado para establecer la conexión SSL con el equipo de Forefront TMG no es aceptable. No se cumplieron las restricciones del certificado de cliente.
12223.htm y 12223R.htm
El sistema de protección contra intrusiones (IPS) bloqueó la página.
12224.htm El certificado de servidor SSL proporcionado por un servidor de destino todavía no es válido.
12225.htm El certificado de servidor SSL proporcionado por un servidor de destino ha expirado.
12226.htm El equipo local no confía en la entidad de certificación que emitió el certificado de servidor SSL proporcionado por un servidor de destino.
12227.htm El nombre que consta en el certificado de servidor SSL proporcionado por un servidor de destino no coincide con el nombre del host solicitado.
12228.htm El certificado SSL proporcionado por un servidor de destino no se puede utilizar para validar el servidor porque no es un certificado de servidor.
12229.htm El sitio web requiere un certificado de cliente, pero no se puede proporcionar un certificado de cliente cuando la inspección de HTTPS se aplica a la solicitud.
12230.htm La entidad de certificación que emitió el certificado de servidor SSL proporcionado por un servidor de destino lo ha revocado.
12231.htm Forefront TMG denegó el Localizador uniforme de recursos (URL) especificado. (Esta página se usa cuando la regla de denegar se establece para mostrar la categoría de URL pero no el mensaje personalizado; [URLCATEGORY] se reemplazará con el nombre de la categoría).
12232.htm Forefront TMG denegó el Localizador uniforme de recursos (URL) especificado. (Esta página se usa cuando la regla de denegar se establece para mostrar el mensaje personalizado pero no la categoría de URL; [ADMINMESSAGE] se reemplazará con el mensaje personalizado).
12233.htm Forefront TMG denegó el Localizador uniforme de recursos (URL) especificado. (Esta página se usa cuando la regla de denegar se establece para mostrar tanto el mensaje personalizado como la categoría de URL; [URLCATEGORY] se reemplazará con el nombre de la categoría y [ADMINMESSAGE] se reemplazará con el mensaje personalizado).
Crear mensajes de error HTML personalizadosAdemás de modificar los archivos existentes, puede crear mensajes de error HTML adicionales personalizados para su organización. Hay dos archivos de error HTML predeterminados en la carpeta \ErrorHtmls que se pueden utilizar como plantillas para crear páginas de mensajes de error HTML adicionales:
DEFAULT.htm (clientes internos)
DEFAULTR.htm (clientes externos) Puede modificar estos archivos .htm predeterminados como lo haría con cualquier página HTML. Guarde los mensajes de error que cree con el formato CódigoError.htm. Modifíquelos como se indica a continuación:
1. Reemplace [ERRORNUM] con el código de error correspondiente. 2. Reemplace [ERRORTEXT] con el texto del mensaje de error correspondiente. 3. Reemplace [SERVERNAME] con el nombre del servidor que devuelve la página HTML. 4. Reemplace [VIAHEADER] con la cadena de mensaje del encabezado Via que recibe el equipo con Forefront TMG.
Puede utilizar gráficos insertados en forma de archivos .gif o .jpg en sus mensajes de error HTML personalizados. Sin embargo, estos archivos deben almacenarse en un directorio compartido independiente en el equipo con Forefront TMG, y deben usarse direcciones URL completas en los archivos de los mensajes de error HTML para señalar a los gráficos insertados.Después de modificar los mensajes existentes o después de crear mensajes nuevos, reinicie el servicio de proxy web para que los cambios surtan efecto.Almacenar en memoria caché el contenido del sitio web
151
Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG implementa una característica de caché que mejora el rendimiento y los tiempos de respuesta a las solicitudes web. El almacenamiento en caché de salida proporciona objetos web almacenados en la memoria caché a los usuarios internos que realizan solicitudes en Internet, proporcionando así acceso más rápido y tráfico reducido en la conexión a Internet. En los temas de esta sección se describe cómo habilitar y configurar el almacenamiento en caché, cómo crear reglas que especifiquen el contenido que debe almacenarse en caché y cómo crear trabajos de descarga de contenido para especificar cómo debe recopilarse el contenido.En esta sección
Habilitar el almacenamiento en memoria caché
Configurar reglas de caché
Configurar trabajos de descarga de contenidoHabilitar el almacenamiento en memoria cachéPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG implementa una memoria caché de objetos solicitados con frecuencia para mejorar la velocidad de acceso web y el rendimiento de la red. Para habilitar el almacenamiento en caché, debe asignar específicamente espacio de disco a la memoria caché. De manera predeterminada, después de la instalación no existe espacio definido para la memoria caché. Puede habilitar el almacenamiento en caché al ejecutar el Asistente para acceso web o puede habilitarlo con las instrucciones de este tema.Los siguientes procedimientos describen cómo habilitar el almacenamiento en caché y cómo configurar la forma en que los objetos están almacenados en caché y los objetos expirados se atienden desde la memoria caché. Para habilitar el almacenamiento en caché
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, en Tareas relacionadas, haga clic en Configurar almacenamiento en caché web.
2. En la ficha Unidades de caché, seleccione la entrada del servidor y haga clic en Configurar.3. Seleccione la unidad necesaria y, en Tamaño máximo de caché, especifique el tamaño máximo en megabytes. Haga clic en Establecer para guardar la
configuración. Haga clic en Restablecer para definir de nuevo el valor en 0. El tamaño máximo para un único archivo de memoria caché es 64 GB. Si es necesario un almacenamiento en caché mayor, puede dividirlo entre varios archivos de distintas unidades.
Nota:
La memoria caché solo se puede habilitar en una unidad de disco con el sistema de archivos NTFS.
4. Para deshabilitar el almacenamiento en caché, establezca el tamaño de unidad de caché en 0. Compruebe las reglas de caché antes de deshabilitar el almacenamiento en caché. El contenido que se atiende solo desde la memoria caché no estará disponible si el almacenamiento en caché está deshabilitado.
5. Para configurar las propiedades avanzadas del almacenamiento en caché, deje abierto el cuadro de diálogo Configuración de la memoria caché y continúe con el siguiente procedimiento.
Para configurar la forma en que se almacenan en caché los objetos y la forma en que se atienden los objetos expirados desde la memoria caché
1. En el cuadro de diálogo Configuración de la memoria caché, haga clic en la ficha Opciones avanzadas. 2. Deje la configuración predeterminada Almacenar en caché los objetos sin fecha de última modificación especificada habilitada para especificar que esas páginas
u objetos que no tienen marca de tiempo de la última modificación se puedan seguir almacenando en caché.3. Deje la configuración predeterminada Almacenar en caché los objetos, aunque no tengan un código de estado HTTP de 200 para especificar que las páginas sin
este código de estado deben almacenarse en caché. El código de estado HTTP 200 es una respuesta de confirmación a un servidor web que indica que se ha satisfecho una solicitud y que se ha obtenido una página completa.
4. En Tamaño máximo de la dirección URL de caché en memoria, especifique el límite máximo de tamaño de los objetos que se pueden almacenar en la memoria. Esto impide el excesivo almacenamiento en caché de objetos grandes, como gráficos. Un límite demasiado bajo puede entorpecer el rendimiento del almacenamiento en caché, ya que los objetos se atienden con mayor rapidez desde la memoria caché (RAM).
5. Seleccione No devolver el objeto expirado (devolver una página de error) para especificar que no debe utilizarse el almacenamiento en caché con resultados negativos. El almacenamiento en caché con resultados negativos permite especificar en qué circunstancias los objetos de caché expirados deben devolverse a los usuarios cuando un servidor web solicitado no esté disponible.
6. Seleccione Devolver el objeto cuando haya expirado sólo si la expiración fue para indicar que en algunas circunstancias se debe devolver un objeto expirado. A continuación, seleccione una de las siguientes opciones:
Seleccione En un valor inferior a este porcentaje del período de vida original para especificar durante cuánto tiempo debe servirse desde la memoria caché un objeto expirado según un porcentaje del período de vida original (TTL). En cada regla de caché que se crea, se especifica un valor TTL. Por ejemplo, si especifica un valor de 59, el período de tiempo máximo durante el cual se devuelve el objeto expirado es del 50 por ciento del valor TTL original.
Seleccione Pero no superior a (minutos) para indicar que no debe devolverse un objeto expirado si el tiempo de expiración era mayor que el número de minutos especificado, aunque se encuentre dentro del valor TTL especificado anteriormente.
7. En Porcentaje de memoria disponible que se usará para almacenar en caché, especifique el porcentaje de RAM para el almacenamiento en caché. El valor predeterminado es 10%.
Configurar reglas de cachéPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Las reglas de caché de Forefront TMG especifican los tipos de contenido almacenados en caché, así como la forma en que se atienden los objetos desde la memoria caché. Puede configurar las reglas de caché mediante el Asistente para nueva regla de caché, tal como se indica a continuación:Configurar reglas de caché
Para configurar las reglas de caché1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar el almacenamiento en caché de web.3. En la ficha Reglas de caché, haga clic en Nueva. Siga las instrucciones del asistente y tenga en cuenta lo siguiente:
a. En la página Almacenar el contenido en caché, al seleccionar almacenar en caché Contenido dinámico, si los encabezados de origen y de solicitud indican almacenamiento en caché, Forefront TMG almacenará en caché los objetos recuperados, incluso si no están marcados para almacenarse en caché.
b. En la página Almacenar el contenido en caché, al seleccionar almacenar en caché Contenido que requiere autenticación de usuario para recuperarse, si los encabezados de origen y de solicitud indican almacenamiento en caché, Forefront TMG almacenará en caché el contenido solicitado por los
152
usuarios autenticados. Después, servir el contenido desde la caché sin comprobar los permisos de acceso, los usuarios no autenticados pueden tener acceso a la caché.
c. En la página Configuración avanzada de la caché, el valor Almacenar en caché respuestas SSL se aplica al tráfico con puente. El tráfico del túnel SSL no se almacena en caché. Esto significa que se puede almacenar el tráfico SSL en escenarios de almacenamiento en caché inversa, en los que los sitios web internos se publican a través de SSL y la solicitud SSL se termina en el firewall de Forefront TMG. Las solicitudes SSL salientes a Internet no se pueden almacenar en caché.
d. En la página Almacenamiento en caché HTTP, la configuración Establecer TTL de objetos (% de la edad de contenido) indica a Forefront TMG que mantenga los objetos válidos en la memoria caché según la configuración de TTL. La configuración de TTL se basa en el TTL definido en el encabezado de respuesta y los límites de TTL definidos en la regla de caché. El porcentaje de edad de contenido es un porcentaje del tiempo de la existencia del contenido. Cuanto mayor sea el porcentaje, menor es la frecuencia de actualización de la caché.
Configurar trabajos de descarga de contenidoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los trabajos de descarga de contenido de Forefront TMG actualizan de forma proactiva la memoria caché para anticiparse a las solicitudes de cliente, lo que mejora el rendimiento y ahorra ancho de banda. En el siguiente procedimiento se describe cómo configurar un trabajo de descarga de contenido:Configurar un trabajo de descarga de contenido
Para configurar un trabajo de descarga de contenido1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. 2. En la ficha Tareas, haga clic en Configurar el almacenamiento en caché de web.3. En la ficha Descarga de contenido, haga clic en Nueva. Siga las instrucciones del asistente y tenga en cuenta lo siguiente:
a. Los trabajos de descarga sólo se puede ejecutar si el servicio Programador de trabajos de Forefront TMG está en ejecución.b. La selección de Almacenar todo el contenido en caché incluye las respuestas de redirección (301, 302 y 307).
Configurar BranchCache en Forefront TMG (SP1)Publicada: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
Importante:
La información de este tema solo es relevante para Forefront TMG SP1 y en equipos que están ejecutando Windows Server 2008 R2.
En este tema se describe cómo habilitar y configurar BranchCache en el modo Caché hospedada en Forefront TMG. BranchCache es una tecnología de optimización de ancho de banda de red de área extensa (WAN) que se incluye en algunas ediciones de los sistemas operativos Windows Server 2008 R2 y Windows 7. Para optimizar el ancho de banda WAN, BranchCache copia el contenido de los servidores de contenido de oficina principal y almacena en la memoria caché el contenido en ubicaciones de sucursal, permitiendo a los equipos cliente de las sucursales el acceso al contenido localmente en lugar de a través del WAN. Puede configurar Forefront TMG para hospedar la memoria caché en el modo Caché hospedada. Para obtener más información, vea Planeación para BranchCache (SP1). Para habilitar BranchCache en Forefront TMG
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en Configurar BranchCache. 3. En la ficha General, seleccione Habilitar BranchCache (modo Caché hospedada).4. En la ficha Autenticación, haga clic en Seleccionar y seleccione el certificado adecuado en la lista.
Nota:
Si Forefront TMG forma parte de un grupo de trabajo, no seleccione Requerir a los equipos cliente que sean miembros del mismo dominio que Forefront TMG.
5. En la ficha Almacenamiento, revise la configuración para la ubicación de la memoria caché y su tamaño relativo para la partición, y modifíquela en caso necesario.
Configurar acceso VPNPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG proporciona acceso de red privada virtual (VPN) a la red corporativa interna para los clientes en redes remotas y los clientes móviles que se conectan a través de Internet. En los siguientes temas se proporciona información acerca de cómo configurar el acceso VPN en Forefront TMG:
Configurar el acceso VPN de sitio a sitio: describe cómo crear una conexión VPN a una red remota. Esto permite a los clientes de la red remota obtener acceso a los recursos de la red corporativa con una elevada seguridad, a la vez que los clientes de la red corporativa pueden obtener acceso a los recursos del sitio remoto.
Configurar el acceso VPN de cliente remoto: describe cómo permitir a los usuarios que trabajan de forma remota conectarse a la red corporativa a través de Internet con alta seguridad.
Configurar el acceso VPN de sitio a sitioPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Con Forefront TMG, puede permitir a los clientes de las redes remotas conectarse a los recursos de su red corporativa estableciendo un conexión a redes privadas virtuales (VPN) de sitio a sitio. En los temas siguientes se describe cómo configurar una conexión VPN de sitio a sitio:
Crear una cuenta de usuario para autenticar el sitio remoto: describe cómo crear una cuenta de usuario de manera que el sitio remoto se pueda autenticar a la puerta de enlace VPN.
Crear una conexión de sitio remoto VPN: proporciona instrucciones paso a paso para crear una conexión del sitio remoto con el asistente para Crear conexión de VPN de sitio a sitio.
Probar la configuración (sitio a sitio): describe cómo probar la conectividad de sitio a sitio intentando obtener acceso a un equipo de la red remota.
Configurar las direcciones para los sitios remotos habilitados con NLB: describe las consideraciones especiales al trabajar con sitios remotos que usan el Equilibrio de carga en la red.
Configurar la autenticación EAP: describe cómo completar la configuración de las redes del protocolo de túnel punto a punto (PPTP) y el protocolo de túnel de capa dos (L2TP), con el protocolo de autenticación extensible (EAP).
153
Finalizar automáticamente las conexiones VPN inactivas: describe cómo configurar Forefront TMG para finalizar las conexiones inactivas en las redes VPN del PPTP y del L2TP.
Crear una cuenta de usuario para autenticar el sitio remotoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En el siguiente procedimiento se describe cómo crear una cuenta de usuario de manera que el sitio remoto se pueda autenticar en la puerta de enlace de VPN. Solo se debe crear una cuenta de acceso telefónico para redes PPTP (protocolo de túnel punto a punto) o L2TP (protocolo de túnel de capa dos). No se crea una cuenta de acceso telefónico para redes IPsec (seguridad del protocolo Internet).Crear una cuenta de usuario para la puerta de enlace de sitio remoto
Para crear una cuenta de usuario para la puerta de enlace de sitio remoto1. En el servidor de Forefront TMG, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de equipos. 2. En el árbol de la consola Administración de equipos, haga clic en Herramientas del sistema, en Usuarios y grupos locales y, a continuación, en Usuarios. 3. En el panel de detalles, haga clic con el botón secundario en el usuario correspondiente y, a continuación, haga clic en Propiedades. 4. En la ficha Marcado, en Permiso de acceso remoto (acceso telefónico o red privada virtual), seleccione Permitir acceso.
Nota:
Para que la red remota inicie una conexión con la red local, debe configurarse un usuario con propiedades de acceso telefónico configurado en la red local. La cuenta de usuario y la red de sitio a sitio deben tener el mismo nombre. Por ejemplo, si crea una red de sitio a sitio en el SitioA que representa el SitioB, también debe crear un usuario denominado SitioB. El SitioB se conecta al SitioA con las credenciales del usuario denominado SitioB. En un entorno de dominio, defina los permisos de acceso remoto en la cuenta de usuario basada en el dominio de Active Directory.
Crear una conexión de sitio remoto VPNPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El Asistente para la creación de nueva red VPN de sitio a sitio ayuda a configurar Forefront TMG para crear una conexión de red privada virtual (VPN) desde un sitio remoto a su red corporativa.En el asistente, puede realizar las siguientes tareas:
Especificar un protocolo de tráfico VPN.
Asignar direcciones IP a la conexión del cliente VPN remota.
Especificar la cuenta usada para autenticar en el sitio remoto.
Configurar la autenticación para el sitio remoto.
Especificar un método de autenticación de IPsec.
Especificar intervalos de direcciones IP de la red del sitio remoto.
Crear una regla de red para enrutar el tráfico a la red remota y desde ella.
Crear una regla de acceso para permitir el tráfico a la red remota y desde ella.Después de ejecutar el asistente, puede configurar los valores adicionales para habilitar la conexión VPN. En el siguiente procedimiento se describe cómo configurar una VPN de sitio a sitio en Forefront TMG.Crear una conexión de sitio remoto VPN
Para crear una red VPN de sitio a sitio1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de acceso remoto (VPN). 2. En el panel de detalles, haga clic en la ficha Sitios remotos. 3. En la ficha Tareas, haga clic en Crear conexión VPN de sitio a sitio. 4. En el asistente Crear conexión VPN de sitio a sitio, siga las instrucciones en pantalla y tenga en cuenta lo siguiente:
a. En la página Bienvenido, en el cuadro de texto Nombre de la red de sitio a sitio, debe escribir el nombre exacto de la puerta de enlace de la red remota.b. Tenga en cuenta lo siguiente acerca del protocolo de tunelización del protocolo de túnel de seguridad del protocolo Internet (IPsec):
Si se crea o modifica una red de sitio remoto que utiliza IPsec, se debe reiniciar el servicio Microsoft Firewall de modo que los filtros IPsec se puedan modificar para reflejar la nueva configuración. Este proceso puede tardar varios minutos, en función del número de subredes incluidas en los intervalos de direcciones de la red. Para reducir el efecto, se recomienda definir intervalos de direcciones IP que estén alineados con los límites de las subredes.
Si detiene o reinicia el servicio PolicyAgent de IPSec, se pierde toda la información de la configuración dinámica de IPsec, incluidos los valores de la configuración IPsec de la VPN de sitio a sitio de Forefront TMG, y los clientes de VPN se desconectan. Para restaurar la configuración, inicie el servicio PolicyAgent o reinicie el servicio de firewall.
c. Si el servidor de Forefront TMG es miembro de una matriz, en la página Propietario de conexión, haga clic en el miembro de la matriz que actuará como el extremo del túnel de VPN en la matriz. Si el Equilibrio de carga en la red (NLB) se habilita para la matriz, no tiene que especificar un propietario de la conexión; se asignará automáticamente.
d. Si usa la autenticación de certificado con el protocolo VPN L2TP/IPSec, es necesario que los servidores de Forefront TMG de ambos lados de la VPN tengan certificados digitales de la misma entidad de certificación. Tenga en cuenta que la autenticación del certificado es la recomendada y el método de protocolo más seguro.
e. Al especificar un intervalo de direcciones para el servidor VPN remoto en la página Direcciones de red, debe coincidir con la máscara de subred y la definición de red exacta del sitio remoto.
5. Para ver un resumen de la configuración de red VPN de sitio a sitio, haga clic con el botón secundario en la red seleccionada y, a continuación, haga clic en Resumen de sitio a sitio en la ficha Sitios remotos.
Probar la configuración (sitio a sitio)Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Una vez configurada la VPN de sitio a sitio, puede probar la conexión intentando tener acceso a un equipo de la red remota desde un equipo de la red local (para el que las reglas de red y la directiva de acceso permiten el acceso). Si puede tener acceso al equipo de la red remota, habrá configurado correctamente la conexión VPN de sitio a sitio.Comprobación de la conectividad VPN de sitio a sitio
154
Para comprobar la conectividad VPN de sitio a sitio1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión.2. En el panel de detalles, en la ficha Sesiones, compruebe si aparece su sesión VPN. La sesión de la VPN de sitio a sitio tiene las siguientes propiedades:
Tipo de sesión muestra VPN de sitio a sitio.
Nombre de host de cliente muestra la dirección IP pública del servidor VPN remoto (si la sesión la inició el servidor VPN local, este campo estará vacío).
IP de cliente muestra que la dirección IP asignada para la sesión VPN.
Nombre de aplicación muestra que es una conexión VPN e indica además el protocolo usado para la conexión. Nombre de aplicación no aparece de forma predeterminada. Para agregarlo, haga clic con el botón secundario en uno de los encabezados de columna en la ficha Sesiones y haga clic en Nombre de aplicación.
3. Para crear un filtro de sesión que solo muestre sesiones de VPN de sitio a sitio:
a. En la ficha Tareas, haga clic en Modificar filtro.
b. En el cuadro de diálogo Modificar filtro, en Filtrar por, seleccione Tipo de sesión. En Condición, seleccione Igual a; y en Valor, seleccione Sitio VPN
remoto.c. Haga clic en Agregar a la lista y, a continuación, en Iniciar consulta. Debe hacer clic en Iniciar consulta para guardar el filtro.
Configurar las direcciones para los sitios remotos habilitados con NLBPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Al configurar direcciones para sitios remotos habilitados con NLB, tenga en cuenta lo siguiente:
La dirección que especifica para el extremo del túnel remoto debe ser la dirección IP virtual de la matriz habilitada con NLB.
Al crear la red del sitio remoto, especifique todas las direcciones en el sitio remoto.
Para las redes del protocolo de seguridad de Internet (IPsec), proxy HTTP o tráfico de traducción de direcciones de red (NAT) entre sitios, debe incluir todas las direcciones IP dedicadas de los adaptadores de red asociados a la red del sitio remoto. Las direcciones IP de origen para el proxy HTTP y el tráfico NAT desde sitios remotos están sujetas a la traducción de direcciones (en el lado remoto), de modo que el sitio local ve el tráfico como si llegara de la dirección IP primaria del sitio remoto; es decir, desde su dirección IP dedicada.
Cuando la red de sitio remoto es una matriz habilitada para NLB, la conexión inicial de esta matriz de equipos servidores Forefront TMG se hará en la dirección IP virtual del equipo. El túnel se establecerá desde una de las direcciones IP dedicadas en la matriz remota. Por este motivo, debe especificar todas las direcciones IP dedicadas como extremos de túnel remoto adicionales. Esto sólo se admite en redes VPN de Enrutamiento y acceso remoto (RRAS) (PPTP y L2TP).
Configurar la autenticación EAPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Si crea una red de sitio remoto de VPN (red privada virtual) que use una conexión de protocolo de túnel punto a punto (PPTP), y selecciona el Protocolo de autenticación extensible (EAP) como protocolo de autenticación, es necesario completar la configuración de EAP. La configuración de EAP se realiza con el complemento Enrutamiento y acceso remoto de Microsoft Management Console (MMC).Finalización de la configuración de EAP
Para finalizar la configuración de EAP1. En el equipo de Forefront TMG, haga clic en Inicio, en Herramientas administrativas y, a continuación, haga clic en Enrutamiento y acceso remoto.2. En el complemento Enrutamiento y acceso remoto de MMC, seleccione el nodo Interfaces de red. 3. Cuando haya aplicado los cambios en la configuración de Forefront TMG, se creará una interfaz de marcado a petición con el mismo nombre especificado para la
red. Seleccione esta interfaz de marcado a petición y, a continuación, haga clic en Propiedades.4. En la ficha Seguridad, debería seleccionarse la opción de configuración avanzada personalizada. Haga clic en Configuración para abrir la configuración avanzada
de seguridad. 5. Seleccione el protocolo de autenticación extensible (EAP) que va a usar y, a continuación, haga clic en Propiedades para configurar el protocolo en función del
proveedor EAP. Finalizar automáticamente las conexiones VPN inactivasPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar Forefront TMG para finalizar las conexiones inactivas en las redes VPN del protocolo de túnel punto a punto (PPTP) y el protocolo de túnel de capa dos (L2TP).Finalizar automáticamente las conexiones VPN inactivas
Para finalizar automáticamente las conexiones VPN inactivas 1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Redes privadas virtuales (VPN). 2. En el panel de detalles, haga clic en la ficha Sitios remotos y, a continuación, seleccione la red remota correspondiente (únicamente las redes PPTP y L2TP). 3. En la ficha Tareas, haga clic en Editar red seleccionada. 4. En el cuadro de lista Anular conexiones inactivas después de de la ficha Conexión, seleccione el tiempo que puede permanecer inactiva una sesión antes de
anularla. Configurar el acceso VPN de cliente remotoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Habilitar el acceso remoto a través de una red privada virtual (VPN) permite a los usuarios que trabajan de forma remota conectarse con la red privada de una organización a través de Internet. Para obtener información acerca de cómo planear la implementación de VPN, vea Planeación para las redes privadas virtuales. En los siguientes temas se proporciona información acerca de cómo configurar el acceso de cliente remoto a través de una VPN en Forefront TMG:
Definir clientes de VPN remotos
Habilitar el acceso básico al cliente remoto
Configurar el acceso de cliente remoto con seguridad mejorada
Instalar la herramienta de cuarentena de acceso remoto
155
Configurar un control de cuarentena basado en RQS y RQC
Aplicación de los requisitos de mantenimiento de cliente de VPN con NAPDefinir clientes de VPN remotosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar usuarios y grupos para el acceso VPN remoto. La definición de los clientes de VPN remotos consta de los siguientes pasos:
Crear usuarios y grupos para clientes de VPN remotos: especifique y configure las cuentas de usuario que pueden conectarse a Forefront TMG como clientes de VPN remotos. Los usuarios se pueden identificar como usuarios RADIUS (Servicio de autenticación remota telefónica de usuario) o como usuarios de Windows.
Configurar los grupos de dominio para el acceso remoto: especifique los grupos de dominio que permiten el acceso VPN.
Habilitar la asignación de usuarios para los clientes que se autentican a través de RADIUS o EAP (opcional): habilite la asignación de usuarios si piensa usar la autenticación RADIUS o EAP, y el equipo de Forefront TMG es miembro del dominio.
Crear usuarios y grupos para clientes de VPN remotos
Tenga en cuenta que los grupos y los usuarios se configuran en "Administración de equipos" de Microsoft Management Console.Para crear usuarios y grupos
1. Haga clic en Inicio, luego en Ejecutar, escriba compmgmt.msc y, a continuación, presione INTRO.2. En la ventana Administración de equipos, haga clic en Usuarios y grupos locales, haga clic con el botón secundario en Grupos y, a continuación, seleccione
Nuevo grupo. 3. En Nuevo grupo, escriba un nombre para el grupo, haga clic en Crear y, después, en Cerrar. 4. Haga clic en Usuarios. Por cada usuario que desee que tenga acceso VPN remoto, realice lo siguiente:
a. Haga doble clic en el usuario para mostrar sus propiedades. b. En la ficha Miembro de, haga clic en Agregar. c. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre del grupo y, a continuación, haga clic en Aceptar. d. En la ficha Marcado, seleccione Controlar acceso a través de la directiva de acceso remoto y, a continuación, haga clic en Aceptar.
Importante:
Únicamente los usuarios que tengan propiedades de marcado configuradas pueden utilizar Forefront TMG para el acceso de cliente de VPN remoto.
Nota:
Cuando se configura un acceso de cliente de VPN para especificar los grupos locales que tienen acceso remoto, sólo se pueden agregar los grupos siguientes:
HelpServicesGroup IIS_WPG TelnetClientsNo se pueden agregar otros grupos locales integrados, como Administradores, Operadores de copia de seguridad o Usuarios avanzados. Estos grupos locales son genéricos e Forefront TMG no distingue entre administradores locales y administradores de dominio.
Nota:
En los dominios de Active Directory en modo nativo, las cuentas de dominio tienen acceso de marcado controlado, de forma predeterminada, por la directiva de acceso remoto. En los dominios de Active Directory en modo no nativo (mixtos), debe habilitar el acceso de marcado para las cuentas de usuario del dominio que requieran acceso de VPN. Seleccione, para cada cuenta, Permitir acceso en la ficha Marcado.
Configurar los grupos de dominio para el acceso remoto
Utilice el siguiente procedimiento para permitir que los miembros de los grupos de dominio obtengan acceso a la VPN de forma remota.Para permitir el acceso remoto a los miembros de los grupos de dominio
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN).2. En el panel de detalles, haga clic en la ficha Clientes de VPN. 3. En la ficha Tareas, haga clic en Configurar acceso de clientes de VPN.4. En la ficha Grupos, haga clic en Agregar. 5. Escriba los nombres de los usuarios o los grupos que pueden obtener acceso a la red de clientes de VPN.
Habilitar la asignación de usuarios para los clientes que se autentican a través de RADIUS o EAP (opcional)
Use el siguiente procedimiento para asegurarse de que las reglas de acceso de la directiva de firewall que se aplica a los conjuntos de usuarios para los usuarios y grupos de Windows también se aplican a los clientes de VPN que se autentican en la red a través de RADIUS o EAP. Para ello, debe habilitar la asignación de usuarios.Para habilitar la asignación de usuarios
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN).2. En el panel de detalles, haga clic en la ficha Clientes de VPN. 3. En la ficha Tareas, haga clic en Configurar acceso de clientes de VPN. 4. En la ficha Asignación de usuarios, haga clic en Habilitar asignación de usuarios. 5. Si el nombre de usuario que va a asignar no incluye un nombre de dominio, seleccione Usar este dominio cuando el nombre de usuario no contenga un dominio y
escriba el nombre de dominio que se usará.
Nota:
Si el servidor RADIUS e Forefront TMG se encuentran en dominios distintos (o si uno está en un grupo de trabajo), la asignación de usuarios solo se admite para la autenticación del protocolo de autenticación de contraseña. No utilice la asignación de usuarios si está configurado cualquier otro método de autenticación.
La asignación de usuarios solamente se puede usar cuando Forefront TMG está instalado en un dominio. No habilite la asignación de usuarios en un entorno de grupo de trabajo.
156
La característica de asignación de usuarios sólo se requiere cuando crea una directiva de firewall basada en grupos. Para crear una directiva basada en usuarios, puede definir conjuntos de usuarios con espacios de nombres RADIUS en su lugar.
Habilitar el acceso básico al cliente remotoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar el acceso básico para los clientes remotos con una red privada virtual (VPN). Después de finalizar los procedimientos que se indican a continuación, y de comprobar que dispone de conectividad VPN, se recomienda que implemente un nivel superior de seguridad, como se detalla en Configurar el acceso de cliente remoto con seguridad mejorada. Para habilitar el acceso de cliente remoto básico, complete los siguientes procedimientos:
Asignar direcciones IP a clientes de VPN remotos: especifique la manera en la que los clientes de VPN reciben direcciones IP al conectarse a la red corporativa.
Configurar redes de acceso de cliente de VPN y métodos de autenticación: especifique las redes desde las que los clientes de VPN pueden iniciar conexiones VPN y compruebe que MS-CHAPv2 es el único método de autenticación habilitado.
Habilitar el acceso de cliente de VPN y establecer el protocolo de túnel: habilite la red privada virtual en Forefront TMG para clientes remotos y compruebe que el protocolo de túnel punto a punto (PPTP) es el único protocolo de túnel habilitado.
Probar la conectividad VPN básica: inicia una conexión VPN de una red externa y supervisa el uso del acceso remoto y los intentos de autenticación mediante el visor Sesiones.
Requisitos previos
Antes de comenzar, se recomienda que cree un grupo Clientes de VPN como se describe en el procedimiento "Crear usuarios y grupos para clientes de VPN remotos" en Definir clientes de VPN remotos.Asignar direcciones IP a clientes de VPN remotos
Para asignar direcciones IP a clientes de VPN remotos1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la
ficha Clientes de VPN. 2. En el panel de detalles, haga clic en Configurar método de asignación de direcciones. 3. En la ficha Asignación de direcciones, seleccione una de las siguientes opciones:
Grupo de direcciones estáticas: si desea asignar direcciones estáticas a los clientes de VPN remotos.
Protocolo de configuración dinámica de host (DHCP): si desea asignar direcciones a los clientes VPN remotos de manera dinámica.
Nota:
Puede configurar Forefront TMG con el fin de usar un servidor DHCP para asignar direcciones IP para clientes remotos de VPN sólo para matrices de servidor único. Use la asignación de direcciones de grupo estático siempre que haya varios miembros de matriz.
4. Si ha seleccionado Grupo de direcciones estáticas, proceda del modo siguiente:
a. Haga clic en Agregar.
b. En las matrices con más de un miembro de matriz, en Seleccione el servidor, seleccione el miembro de matriz para el que está definiendo el grupo de
direcciones estáticas.
Nota:
En una implementación con varios miembros de matriz, un cliente VPN puede conectarse a cualquiera de ellos. Esta configuración define qué grupo de direcciones puede usar cada miembro de la matriz. Los grupos de direcciones para cada miembro de matriz no deben coincidir con el grupo de direcciones de cualquier otro miembro de la matriz.
c. En Dirección inicial, escriba la primera dirección del intervalo de direcciones que desea asignar a los clientes de VPN.
d. En Dirección final, escriba la última dirección del intervalo de direcciones que desea asignar a los clientes de VPN.
e. Haga clic en Aceptar para cerrar el cuadro de diálogo.
5. En Usar la siguiente red para obtener servicios DHCP, DNS y WINS, seleccione la red en la que se encuentran los servidores de resolución de nombres.6. Si desea configurar los valores de servidor WINS y DNS, haga clic en Opciones avanzadas.
a. Establezca la configuración de la dirección de servidor DNS seleccionando una de las siguientes opciones:
Obtener direcciones de servidor DNS por medio de la configuración DHCP.
Usar las siguientes direcciones de servidor DNS: para proporcionar la dirección IP estática del servidor DNS que deben usar los clientes de VPN para la resolución de nombres. Si selecciona esta opción, en Principal, escriba la dirección IP de un servidor DNS ubicado en la red interna que puedan usar los clientes de VPN para resolver los nombres de la red interna. En Reserva, escriba la dirección IP de un servidor DNS ubicado en la red interna que puedan usar los clientes de VPN para resolver los nombres de la red interna cuando el servidor DNS principal no esté disponible.
b. Establezca la configuración de la dirección del servidor WINS seleccionando una de las siguientes opciones:
Obtener direcciones de servidor WINS por medio de la configuración DHCP: si los clientes VPN deberían obtener el servidor WINS con una configuración de DHCP.
Usar las siguientes direcciones de servidor WINS: para proporcionar la dirección IP estática del servidor WINS que deben usar los clientes de VPN para la resolución de nombres. Si selecciona esta opción, en Principal, escriba la dirección IP de un servidor WINS ubicado en la red interna que puedan usar los clientes de VPN para resolver los nombres en la red interna. En Reserva, escriba la dirección IP de un servidor WINS ubicado en la red interna que puedan usar los clientes de VPN para resolver los nombres en la red interna cuando el servidor DNS principal no esté disponible.
7. Si no ha especificado grupos o usuarios de acceso remoto, vea Definir clientes de VPN remotos.8. Deje la ventana Propiedades de directiva de acceso remoto (VPN) abierta para el próximo paso al habilitar el acceso al cliente remoto básico (VPN).
Nota:
157
Las direcciones asignadas a través de Active Directory (en la ficha Marcado de las propiedades de usuario de Administración de equipos) no se pueden usar en matrices con más de un servidor miembro.
Configurar redes de acceso de cliente de VPN y métodos de autenticación
Para configurar redes de acceso de cliente de VPN y métodos de autenticación1. Haga clic en la ficha Redes de acceso de la ventana Propiedades de Directiva de acceso remoto (VPN). 2. Compruebe que la red Externa está seleccionada y active la casilla para cualquier otra red desde la cual los clientes iniciarán las conexiones al servidor VPN.3. Haga clic en la ficha Autenticación en la ventana Propiedades de Directiva de acceso remoto (VPN).4. Compruebe que la opción Autenticación cifrada de Microsoft versión 2 (MS-CHAPv2) está seleccionado y desactive cualquier otro método de autenticación.5. Haga clic en Aceptar para guardar los cambios y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Habilitar el acceso de cliente de VPN y establecer el protocolo de túnel
Para habilitar el acceso del cliente de VPN y seleccionar un protocolo de túnel1. En el panel Tareas, haga clic en Configurar acceso de clientes de VPN y en la ficha General, haga clic en Habilitar acceso de clientes de VPN.
Nota:
Al habilitar el acceso a cliente de VPN, se habilita también una regla de la directiva de sistema denominada Permitir los clientes de VPN al firewall. Esta regla establece una relación de ruta entre la red interna y las dos redes de clientes de VPN (clientes de VPN y clientes de VPN en cuarentena).
Cree reglas de acceso para permitir el acceso adecuado a los clientes de VPN. Puede crear, por ejemplo, una regla que permita el acceso desde la red de clientes de VPN a la red interna en todos los protocolos o en protocolos específicos.
2. Si es necesario, ajuste el número máximo de clientes conectados de manera simultánea Máximo de clientes de VPN permitidos (por miembro de matriz).. La configuración predeterminada es 100 y la configuración máxima es 1000.
3. Haga clic en la ficha Protocolos y compruebe que la opción Habilitar PPTP está seleccionada.
Sugerencia:
Se recomienda que comience a probar sólo la conectividad VPN con el protocolo PPTP. Después de haber comprobado la conectividad, debería habilitar el protocolo de túnel de capa dos (L2TP) sobre la autenticación del protocolo de seguridad de Internet (IPsec) y el protocolo de cifrado para seguridad aumentada. Para obtener instrucciones, vea Configurar el acceso de cliente remoto con seguridad mejorada.
Probar la conectividad VPN básica
Para probar la conectividad VPN básica1. Con un cliente remoto, inicie una conexión VPN desde una red externa.2. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la
ficha Clientes de VPN.3. En la ficha Tareas, haga clic en Supervisar clientes de VPN. El visor Sesiones muestra los datos de los clientes de VPN que están conectados al Forefront TMG.
Configurar el acceso de cliente remoto con seguridad mejoradaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar una conexión VPN más segura para los clientes de acceso remoto. Para ello, primero se implementa un certificado de equipo en Forefront TMG y en los clientes de VPN remotos y, a continuación, se habilita la autenticación de Protocolo de túnel de capa dos (L2TP) a través de IPsec (seguridad del protocolo de Internet) y el protocolo de cifrado para una mayor seguridad, y se habilita el protocolo de autenticación extensible (EAP).Requisitos previos
Antes de comenzar, asegúrese de completar los pasos descritos en Habilitar el acceso básico al cliente remoto. Implementar certificados en Forefront TMG y clientes de VPN
Al configurar el acceso de cliente remoto con seguridad mejorada, debe implementar los certificados en Forefront TMG y en los clientes remotos.Para implementar certificados en Forefront TMG y clientes de VPN
1. Obtenga un certificado de servidor. Debe configurar una entidad de certificación (CA) local y solicitar un certificado de servidor o usar un certificado emitido por una CA comercial.
2. Instale el certificado de servidor.3. Instale el certificado raíz en los equipos cliente.
Habilitar el protocolo de túnel L2TP
Para habilitar el protocolo de túnel L2TP1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la
ficha Clientes de VPN. 2. En la ficha Tareas, haga clic en Configurar acceso de clientes de VPN. 3. Haga clic en la ficha Protocolos y seleccione Habilitar L2TP. 4. Haga clic en Aceptar y, para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.
Habilitar la autenticación EAP
Para habilitar la autenticación EAP1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la
ficha Clientes de VPN. 2. En la ficha Tareas, haga clic en Seleccionar los métodos de autenticación. 3. En la ficha Autenticación, seleccione Protocolo de autenticación extensible (EAP) con tarjeta inteligente u otro certificado. 4. Haga clic en Aceptar y, para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.
Habilitar el protocolo de túnel de sockets segurosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)El protocolo de túnel de sockets seguros (SSTP) es una forma de túnel de VPN que permite el tráfico del transporte del protocolo de punto a punto (PPP) a través de un canal de capa de sockets seguros (SSL). Con SSTP mejora la capacidad de las conexiones VPN para atravesar los firewalls y los servidores proxy.En el procedimiento siguiente se describe cómo habilitar SSTP al configurar una directiva VPN de acceso remoto.
158
Para habilitar SSTP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la ficha Clientes de VPN.
2. En el panel de detalles, haga clic en Comprobar propiedades de VPN y en la ficha Protocolos, haga clic en Habilitar SSTP. 3. Haga clic en Configurar y seleccione una escucha de web existente en la lista o haga clic en Nuevo para crear una nueva escucha de web.
Nota:
Puede usar una escucha de web existente si cumple los criterios siguientes:
Escucha el tráfico HTTP en el puerto 443. Solo tiene un certificado. No se ha configurado en Requerir la autenticación de los usuarios ni Requerir certificado SSL de cliente.
4. Si ha seleccionado Nuevo, siga las instrucciones que aparecen en la pantalla en el Asistente para nueva escucha de web.5. Haga clic en Aceptar para guardar los cambios y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar un control de cuarentena basado en RQS y RQCPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe la forma de configurar Forefront TMG para colocar en cuarentena a los clientes de una red privada virtual (VPN) con acceso remoto mediante el servicio de cuarentena de acceso remoto (RQS, Remote Access Quarantine Service) y el cliente de cuarentena de acceso remoto (RQC, Remote Access Quarantine Client). El control de cuarentena proporciona acceso por fases a la red a los clientes remotos, ya que los limita al modo de cuarentena antes de permitirles obtener acceso a la red. Dos componentes de software proporcionan un mecanismo para el control de cuarentena. El servicio de cuarentena de acceso remoto (Rqs.exe) se ejecuta en el equipo Forefront TMG como componente de escucha. El cliente de cuarentena de acceso remoto (Rqc.exe) se ejecuta en el equipo cliente con acceso remoto como componente de notificación con el fin de informar al componente de escucha Rqs.exe de que el equipo cliente cumple la directiva de seguridad. Una vez que la configuración del equipo cliente se ajusta o se tiene intención de ajustar a las restricciones de cuarentena específicas de su organización, se aplica una directiva estándar de VPN a la conexión, en función del tipo de cuarentena que se especifique.Habilitar y configurar el control de cuarentena
Para habilitar y configurar el control de cuarentena1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la
ficha Clientes de VPN. 2. En la ficha Tareas, haga clic en Configurar el control de cuarentena. 3. En la ficha Cuarentena, haga clic en Habilitar el control de cuarentena. 4. Seleccione una de las siguientes opciones:
Poner en cuarentena de acuerdo con las directivas del servidor RADIUS. Cuando un cliente de VPN intenta conectarse, la directiva de Enrutamiento y acceso remoto determina si la solicitud de conexión se transmite a Forefront TMG. Una vez comprobada la directiva de Enrutamiento y acceso remoto, el cliente se une a la red de clientes de VPN.
Poner clientes de VPN en cuarentena de acuerdo con las directivas de Forefront TMG. Cuando un cliente VPN intenta conectarse al equipo de Forefront TMG, Enrutamiento y acceso remoto transfiere incondicionalmente la solicitud a Forefront TMG. Forefront TMG coloca el cliente que se conecta en la red de clientes VPN en cuarentena, sujeto a la directiva del firewall para dicha red. Cuando el cliente retira la cuarentena, lo desplaza a la red de clientes de VPN. Cuando selecciona esta opción, debe deshabilitar la característica de cuarentena de Enrutamiento y acceso remoto para que pueda establecerse la conexión VPN.
5. Si los clientes en cuarentena deben desconectarse a una hora concreta, seleccione Desconectar usuarios en cuarentena después de (s) y, a continuación, escriba los segundos que deberán pasar para que el cliente desaparezca de la red de clientes de VPN en cuarentena y se desconecte de Forefront TMG.
Importante:
Si selecciona esta opción, debe configurar el control de cuarentena en el equipo de Forefront TMG y en los clientes de VPN remotos que intenten conectarse a la red corporativa. De lo contrario, los clientes de VPN remotos permanecerán en modo de cuarentena hasta que pase el tiempo especificado y se desconecten de Forefront TMG.
6. Si desea eximir a usuarios determinados del control de cuarentena, haga clic en Agregar y, a continuación, en Conjuntos de usuarios disponibles, seleccione los usuarios que deben estar exentos del control de cuarentena.
Nota:
Los usuarios exentos del control de cuarentena se convierten automáticamente en miembros de la red de clientes de VPN.
Instalar la herramienta de cuarentena de acceso remotoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe la forma de preparar Forefront TMG como escucha del Agente de cuarentena de acceso remoto (RQS, Remote Access Quarantine Agent). Para ello, ejecute la herramienta de cuarentena de acceso remoto. Esta herramienta es un script que crea una regla de acceso que permite la comunicación en el puerto RQS (7250) desde los clientes VPN y las redes de clientes VPN en cuarentena a la red de host local. Esta regla de acceso habilita a Forefront TMG para recibir el aviso de que el cliente ha cumplido los requisitos de conexión.Para configurar Forefront TMG como escucha de RQS
1. Descargue la herramienta en el sitio web de Microsoft TechNet (http://go.microsoft.com/fwlink/?LinkID=153407).2. Haga clic con el botón secundario en el icono del símbolo del sistema y, a continuación, seleccione Ejecutar como administrador.3. En el símbolo del sistema, escriba cscript ConfigureRqs.vbs /install <AllowedSet>.
Nota:
Incluya la ruta de acceso completa del script.
159
< AllowedSet> es la clave que los clientes deberían enviar cuando cumplen los requisitos para dejar la cuarentena.
Pasos siguientes
Tras ejecutar la herramienta, tendrá que crear un perfil de Connection Manager. Para obtener más información, vaya a la biblioteca de Microsoft TechNet (http://go.microsoft.com/fwlink/?LinkID=16616).Aplicación de los requisitos de mantenimiento de cliente de VPN con NAPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes temas se describe cómo configurar el Forefront TMG para que trabaje con el cumplimiento de la protección de acceso a redes (NAP).
Importante:
Antes de configurar el cumplimiento NAP, se supone que ha configurado su red privada virtual (VPN) y ha comprobado que la conexión VPN está funcionando correctamente.
Configurar EAP como método de autenticación para clientes de VPN: describe cómo configurar Forefront TMG para usar el Protocolo de autenticación extensible (EAP) para autenticar los clientes de la red privada virtual (VPN).
Configurar Forefront TMG como un cliente RADIUS: describe cómo establecer RADIUS como el protocolo de acceso de red y el servidor de directiva de red (NPS) como el servidor RADIUS primario.
Habilitar el control de cuarentena basado en NAP: describe cómo configurar Forefront TMG para poner en cuarentena los clientes VPN según las directivas del servidor RADIUS.
Habilitar la cuarentena para clientes no compatibles con NAP: describe cómo configurar Forefront TMG como escucha del Agente de cuarentena de acceso remoto (RQS) para admitir clientes heredados.
Configurar EAP como método de autenticación para clientes de VPNPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar Forefront TMG para usar el Protocolo de autenticación extensible (EAP) para autenticar los clientes de la red privada virtual (VPN). Para configurar EAP como método de autenticación para clientes de VPN
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la ficha Clientes de VPN.
2. En la ficha Tareas, haga clic en Seleccionar los métodos de autenticación.3. En la ficha Autenticación, haga clic en Protocolo de autenticación extensible (EAP) con tarjeta inteligente u otro certificado.4. Haga clic en Aceptar para guardar los cambios y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar Forefront TMG como un cliente RADIUSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar Forefront TMG como un cliente RADIUS. Como cliente RADIUS, Forefront TMG envía mensajes RADIUS al servidor de directivas de (NPS) para la autenticación y autorización de la conexión de red privada virtual (VPN).Para configurar Forefront TMG como un cliente RADIUS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la ficha Clientes de VPN.
2. Haga clic en Especificar la configuración RADIUS.3. En la ficha RADIUS, haga clic en Usar RADIUS para autenticación y, a continuación, haga clic en Servidores RADIUS. 4. Si no hay configurado ningún servidor RADIUS que represente a NPS, haga clic en Agregar para hacerlo. Si se ha configurado un servidor RADIUS, compruebe
que la configuración coincida con la especificada en los pasos siguientes.5. En el cuadro Nombre del servidor, especifique el nombre o la dirección IP del servidor NPS.6. Para crear un nuevo secreto compartido, haga clic en Cambiar. Registre el secreto compartido para utilizarlo al configurar el servidor NPS.
Importante:
Si surgen problemas de comunicación entre Forefront TMG y el servidor NPS, considere la posibilidad de aumentar el valor de tiempo de espera, que se puede configurar en el servidor RADIUS.
7. En el cuadro de diálogo Agregar servidor RADIUS, haga clic en Aceptar.8. Si se enumeran varios servidores RADIUS en el cuadro de diálogo Servidores RADIUS, use la flecha arriba para aumentar el nivel del servidor RADIUS NPS a
la parte superior de la lista y, a continuación, hacen clic en Aceptar.Habilitar el control de cuarentena basado en NAPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar el control de cuarentena basado en NAP. Al utilizar la aplicación de la protección de acceso a redes (NAP) para la red privada virtual (VPN), debe configurar Forefront TMG para que ponga en cuarentena los clientes VPN según las directivas del servidor RADIUS.Para habilitar el control de cuarentena basado en NAP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la ficha Clientes de VPN.
2. En la ficha Tareas, haga clic en Configurar el control de cuarentena.3. En la ficha Cuarentena, active las casillas Habilitar el control de cuarentena y Poner en cuarentena según las directivas del servidor RADIUS y, a continuación,
haga clic en Aceptar.Habilitar la cuarentena para clientes no compatibles con NAP
4. Publicada: noviembre de 20095. Actualizado: febrero de 2010
160
6. Se aplica a: Forefront Threat Management Gateway (TMG)7. Si su implementación incluye clientes que no pueden utilizar Protección de acceso a redes (NAP), se recomienda que habilite la compatibilidad con estos clientes
a través de la cuarentena basada en Forefront TMG.8. Para habilitar la cuarentena para estos clientes, necesita preparar Forefront TMG como una escucha de agente de cuarentena de acceso remoto (RQS). Para
obtener instrucciones acerca de cómo hacerlo, vea Instalar la herramienta de cuarentena de acceso remoto.9. Para obtener una lista actualizada de los sistemas operativos cliente que admiten NAP, consulte "Versiones de Windows compatibles con la protección de acceso
a redes como cliente" en Protección de acceso a redes: Preguntas más frecuentes (http://go.microsoft.com/fwlink/?LinkID=153403).Configurar la publicaciónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes temas se proporciona información acerca de cómo configurar la publicación en Forefront TMG:
Configurar la publicación de web
Configurar la publicación de otros protocolosConfigurar la publicación de webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Con Forefront TMG, puede publicar servidores web sobre conexiones seguras o no seguras. En los siguientes temas se describe la manera de configurar diferentes tipos de publicación web:
Configurar la publicación de web: Información general
Publicar servidores web a través de HTTP
Publicar servidores web a través de HTTPS
Configurar la publicación de Outlook Web Access
Configurar publicación de Outlook Mobile Access
Configurar la publicación de ActiveSync
Configurar publicación de SharePoint
Configurar las reglas de publicación de web
Personalizar los formularios HTML
Configuración de la priorización del ancho banda
Configurar la compresión HTTPConfigurar la publicación de web: Información generalPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La publicación de web de Forefront TMG permite que el contenido web esté disponible de forma segura para los grupos de usuarios o todos los usuarios que envíen solicitudes a su organización desde Internet. El contenido web se almacena normalmente en servidores web de la red interna o en una red perimetral (denominada también subred filtrada o zona desmilitarizada (DMZ)).Mediante reglas de publicación de web, puede admitir o rechazar solicitudes en función de directivas de acceso definidas. Puede restringir el acceso a usuarios, equipos o redes concretos, exigir la autenticación de los usuarios e inspeccionar el tráfico. El almacenamiento del contenido en caché permite a Forefront TMG almacenar contenido web en caché y responder a las solicitudes de los usuarios desde la memoria caché sin reenviar dichas solicitudes en dirección descendente hasta el servidor web publicado. Las reglas de publicación de web cuentan con numerosas características, entre las que se incluyen las siguientes:
Asignación de solicitudes a rutas de acceso internas determinadas para limitar las partes de los servidores web a las que se puede tener acceso.
Delegación de las credenciales de usuario para autenticar Forefront TMG en el servidor web después de la autenticación por parte de Forefront TMG, sin que los usuarios tengan que volver a proporcionar sus credenciales.
Traducción de vínculos para sustituir las rutas de acceso y los nombres de host internos y del contenido web con nombres públicos y rutas de acceso externas.
Protocolo de puente de Secure Sockets Layer (SSL), que permite a Forefront TMG inspeccionar las solicitudes HTTPS entrantes y, posteriormente, reenviarlas al servidor web a través de un canal SSL cifrado.
Equilibrio de la carga de las solicitudes de clientes entre los servidores web de una granja, con el mantenimiento de la afinidad con el cliente para aumentar la disponibilidad y mejorar el rendimiento.
Para obtener más información general acerca de la configuración en las reglas de publicación de web, vea Planeación de publicación.Publicar servidores web a través de HTTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se describe cómo configurar la publicación de servidor web a través de conexiones no seguras (HTTP):
Publicar un solo sitio web o equilibrio de carga a través de HTTP
Publicar varios sitios web a través de HTTP
Publicar una granja de servidores a través de HTTPPublicar un solo sitio web o equilibrio de carga a través de HTTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se ofrecen instrucciones para publicar a través de HTTP. Para obtener información acerca de cómo publicar a través de una conexión SSL segura, vea Publicar un solo sitio web o equilibrio de carga a través de HTTPS.Para publicar un solo sitio web o equilibrio de carga a través de HTTP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En el panel Tareas, haga clic en la ficha Herramientas.
161
3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba:Escucha de web a través de HTTP
Seguridad de conexión de cliente
Seleccione No requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuación, seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP del sitio web, haga clic en Agregar y luego en Aceptar.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
En la lista desplegable, seleccione Sin autenticación.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
El inicio de sesión único (SSO) sólo está disponible si se utiliza la autenticación basada en formularios. Para habilitar SSO, haga clic en Agregar y, a continuación, especifique un dominio dentro del cual se aplicará el SSO.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
5. En el panel Tareas, haga clic en la ficha Tareas.6. En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente para nueva regla de publicación de web.7. En la siguiente tabla se indica cómo completar el Asistente para nueva regla de publicación de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de web
Nombre de regla de publicación de web Escriba un nombre para la regla de publicación de web. Por ejemplo, escriba:Sitio web único
Seleccionar acción de regla Acción Seleccione Permitir.
Tipo de publicación Seleccione Publicar un único sitio web o equilibrio de carga.
Seguridad de conexión de servidor
Seleccione Usar conexiones no seguras para conectar el servidor web o granja de servidores publicada.
Detalles internos de publicación (1)
Nombre interno del sitio Escriba el nombre de host que Forefront TMG va a usar en los mensajes de solicitud HTTP enviados al servidor publicado.Si va a publicar un solo servidor web y el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre del equipo o la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado; a continuación, escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver.
Detalles internos de publicación (2)
Ruta de acceso (opcional) Escriba la ruta de acceso de su sitio web.
Reenvíe el encabezado de host original en vez del que efectivamente se ha especificado en la página anterior, en el campo Nombre interno del sitio.
Active esta casilla solo si su sitio web incluye características específicas que necesitan el encabezado de host original que Forefront TMG recibe del cliente.
Detalles del nombre público
Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el nombre de dominio completo (FQDN) o la dirección IP públicos que los usuarios externos utilizarán para obtener acceso al sitio web publicado.
Seleccionar escucha de web
Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Editar para cambiar las propiedades de la escucha de web seleccionada.
Delegación de autenticación
Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Sin delegación y el cliente no se puede autenticar directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
No cambie la opción predeterminada, Todos los usuarios.
Protección contra código malintencionado
Seleccione Habilitar la inspección de código malintencionado para esta regla.
162
Finalización del Asistente para nueva regla de publicación de web
Revise la configuración y haga clic en Finalizar.
8. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
El escucha de web también se puede configurar para la autenticación HTTP o basada en formularios. Tenga en cuenta, sin embargo, que la autenticación del cliente se realizará a través de HTTP sin cifrado. Dado que las credenciales del usuario se transmitirán en texto sin formato, dichas configuraciones se considerarán como inseguras y quedarán deshabilitadas de forma predeterminada. Para habilitar dicha configuración, abra las propiedades de la escucha de web. En la ficha Autenticación, haga clic en Opciones avanzadas y, a continuación, active la casilla de verificación Permitir la autenticación de cliente a través de HTTP. Si desea aplicar una buena práctica de seguridad, use dicha configuración sólo si tiene un acelerador SSL delante del equipo Forefront TMG.
Forefront TMG trata las granjas de servidores de un dispositivo de equilibrio de carga como un solo servidor. Aunque esta opción se admite para la publicación de una granja de equilibrio de carga, se recomienda usar la compatibilidad de equilibrio de carga integrada que se proporciona mediante una granja de servidores creada en Forefront TMG, en lugar de un dispositivo de equilibrio de carga. La publicación de Forefront TMG para las granjas de servidores proporciona una mejor afinidad de clientes, que se puede configurar para funcionar con una cookie, en vez de depender de la dirección IP de cliente. Esto supone una clara ventaja en situaciones donde un dispositivo situado entre el dispositivo de equilibrio de carga e Forefront TMG (por ejemplo, un dispositivo NAT) oculta la dirección IP de cliente.
Las reglas de publicación de web comparan las solicitudes de clientes entrantes con el sitio web correspondiente del servidor web. Puede crear reglas de publicación de web que deniegan el tráfico para bloquear el tráfico entrante que coincide con las condiciones de la regla. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si, por ejemplo, su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en
una de esas dos carpetas, deberá publicar ambas. Para obtener más información acerca de otra configuración en las reglas de publicación de web, vea Planeación de publicación.
Publicar varios sitios web a través de HTTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se ofrecen instrucciones para publicar a través de HTTP. Para obtener información acerca de cómo publicar a través de una conexión SSL segura, vea Publicar varios sitios web a través de HTTPS.Para publicar varios sitios web a través de HTTP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba:Escucha de web a través de HTTP
Seguridad de conexión de cliente
Seleccione No requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuación, seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En la lista Direcciones IP disponibles, seleccione la dirección IP apropiada, haga clic en Agregar y, a continuación, en Aceptar.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
En la lista desplegable, seleccione Sin autenticación.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
El inicio de sesión único (SSO) sólo está disponible si se utiliza la autenticación basada en formularios. Si habilita SSO, deberá hacer clic en Agregar y, a continuación, especificar un dominio dentro del cual se aplicará el SSO.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
5. En el panel Tareas, haga clic en la ficha Tareas.6. En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente para nueva regla de publicación de web.7. En la siguiente tabla se indica cómo completar el Asistente para nueva regla de publicación de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de web
Nombre de regla de publicación de web
Escriba un nombre para la regla de publicación de web. Por ejemplo, escriba:Varios sitios web (HTTP)
Seleccionar acción de regla Acción Seleccione Permitir.
Tipo de publicación Seleccione Publicar múltiples sitios web.
Especificar los sitios web que Sitios publicados Para cada sitio web que desee publicar, haga clic en Agregar y, a continuación, en Nombre
163
se van a publicar interno del sitio; escriba el nombre de host que usará el Forefront TMG en los mensajes de solicitud HTTP enviados al sitio web publicado.No seleccione Forefront TMG utilizará SSL para conectarse al sitio web.
Nombres públicos de sitios web publicados
Sufijo del nombre público Escriba el sufijo que se añadirá al final de los nombres internos de sitio especificados en la página Especificar los sitios web que se van a publicar para crear los nombres públicos que utilizarán los usuarios para obtener acceso a los sitios web publicados.
Seleccionar escucha de web Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web seleccionada.
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Sin delegación y el cliente no se puede autenticar directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
No cambie la opción predeterminada, Todos los usuarios.
Finalización del Asistente para nueva regla de publicación de web
Revise la configuración y haga clic en Finalizar.
8. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
El escucha de web también se puede configurar para la autenticación HTTP o basada en formularios. Tenga en cuenta, sin embargo, que la autenticación del cliente se realizará a través de HTTP sin cifrado. Dado que las credenciales del usuario se transmitirán en texto sin formato, dichas configuraciones se considerarán como inseguras y quedarán deshabilitadas de forma predeterminada. Para habilitar dicha configuración, abra las propiedades de la escucha de web. En la ficha Autenticación, haga clic en Opciones avanzadas y, a continuación, active la casilla de verificación Permitir la autenticación de cliente a través de HTTP. Si desea aplicar una buena práctica de seguridad, use dicha configuración sólo si tiene un acelerador SSL delante del equipo Forefront TMG.
Este procedimiento crea una regla de publicación de web aparte para cada uno de los sitios publicados especificados, aunque todos utilizan el mismo escucha de web.
Al publicar múltiples sitios web siguiendo este procedimiento, el sufijo del nombre público se añada a cada uno de los nombres internos del sitio que especifique. Por ejemplo, si desea publicar los sitios news.fabrikam.com, sports.fabrikam.com y weather.fabrikam.com, especifique los nombres internos de sitio news, sports y weather; a continuación, indique el sufijo del nombre público fabrikam.com. El asistente creará tres reglas de publicación web, una para cada uno de los sitios, utilizando la misma escucha de web.
Puede configurar la forma en que las credenciales se pasan al servidor publicado en una regla de publicación de web. Las reglas de publicación de web comparan las solicitudes de clientes entrantes con el sitio web correspondiente del servidor web. Puede crear reglas de publicación de web que deniegan el tráfico para bloquear el tráfico entrante que coincide con las condiciones de la regla. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en una de esas
dos carpetas, deberá publicar ambas. Para obtener más información acerca de otra configuración en las reglas de publicación web, vea Planeación de publicación.
Publicar una granja de servidores a través de HTTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se ofrecen instrucciones para publicar a través de HTTP. Para obtener información acerca de cómo publicar a través de una conexión SSL segura, vea Publicar una granja de servidores a través de HTTPS.Para publicar una granja de servidores a través de HTTP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, haga clic en Nuevo y, a continuación, seleccione Granja de servidores.4. En la siguiente tabla se indica cómo finalizar el Asistente para nueva granja de servidores.
Página Campo o propiedad Valor o acción
Asistente para nueva granja de servidores
Nombre de granja de servidores
Escriba un nombre para la granja de servidores. Por ejemplo, escriba:Granja de servidores de contenido
Servidores Servidores incluidos en esta granja
Para cada servidor web que desee incluir en la granja de servidores, haga clic en Agregar. A continuación, en Detalles de servidor, haga clic en Examinar, en Escriba el nombre del objeto que se va a seleccionar y escriba el nombre NetBIOS del servidor web. Haga clic en Comprobar nombres, en Aceptar y, por último, de nuevo en Aceptar.
Supervisión de conectividad de granja de servidores
Método usado para supervisar la conectividad de la granja de servidores
Seleccione un método que Forefront TMG usará para comprobar la conectividad con los servidores web en la granja de servidores. Si selecciona Enviar una solicitud GET de HTTP y HTTPS y desea especificar una dirección URL que difiera de la dirección URL que se establecerá en la regla de publicación de web para esta granja de servidores, o bien si desea especificar un encabezado de host personalizado que difiera del que se enviará basándose en la regla de publicación de web, haga clic en Configurar, escriba la dirección URL y encabezado HOST y haga clic en Aceptar.
Finalización del Asistente para nueva
Revise la configuración y haga clic en Finalizar.
164
granja de servidores
5. Si aparece un cuadro de mensaje en el que se indica que va a habilitarse la regla de directiva de sistema Permitir solicitudes HTTP/HTTPS de Forefront TMG a servidores seleccionados para los comprobadores de conectividad, haga clic en Aceptar.
6. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.7. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba:Escucha de la granja de servidores HTTP
Seguridad de conexión de cliente
Seleccione No requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuación, seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En la lista Direcciones IP disponibles, seleccione la dirección IP apropiada, haga clic en Agregar y, a continuación, en Aceptar.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
En la lista desplegable, seleccione Sin autenticación.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
El inicio de sesión único (SSO) sólo está disponible si se utiliza la autenticación basada en formularios. Si habilita SSO, deberá hacer clic en Agregar y, a continuación, especificar un dominio dentro del cual se aplicará el SSO.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
8. En el panel Tareas, haga clic en la ficha Tareas.9. En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente para nueva regla de publicación de web.10. En la siguiente tabla se indica cómo completar el Asistente para nueva regla de publicación de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de web
Nombre de regla de publicación de web Escriba un nombre para la regla de publicación de web. Por ejemplo:Granja de servidores (HTTP)
Seleccionar acción de regla Acción Seleccione Permitir.
Tipo de publicación Seleccione Publicar una granja de servidores web con equilibrio de carga.
Seguridad de conexión de servidor Seleccione Usar conexiones no seguras para conectar el servidor web o granja de servidores publicada.
Detalles internos de publicación (1) Nombre interno del sitio Escriba el nombre de dominio completo (FQDN) de uno de los elementos miembros de la granja de servidores.
Detalles internos de publicación (2) Ruta de acceso (opcional) Escriba la ruta de acceso de su sitio web.
Especificar granja de servidores Seleccione la granja de servidores que desee publicar.
En la lista desplegable, seleccione la granja de servidores que haya creado en el paso 4.
Seleccione la forma en que Forefront TMG equilibrará la carga de solicitudes de web entrantes.
Seleccione Equilibrio de carga basado en cookies.
Detalles del nombre público Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el FQDN o la dirección IP pública que los usuarios externos utilizarán para obtener acceso al sitio web publicado.
Seleccionar escucha de web Escucha de web En la lista desplegable, seleccione la escucha de web que haya creado en el paso 7.
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Sin delegación y el cliente no se puede autenticar directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
No cambie el valor predeterminado Todos los usuarios.
Protección contra código malintencionado
Seleccione Habilitar la inspección de código malintencionado para esta regla.
Finalización del Asistente para nueva Revise la configuración y haga clic en Finalizar.
165
regla de publicación de web
11. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
El nombre interno del sitio debe poder resolverse en forma de dirección IP. Forefront TMG crea automáticamente una asignación de traducción de vínculos entre el nombre interno del sitio y el primer nombre público especificado en
la regla. Esta asignación se utiliza para traducir vínculos que utilicen el nombre interno del sitio para hacer referencia a la granja de servidores en páginas web y en mensajes de correo electrónico que puedan recibir los usuarios externos.
De forma predeterminada, Forefront TMG cambia el encabezado de host original que proporciona una aplicación de explorador a un encabezado de host correspondiente al nombre interno del sitio.
Puede configurar la forma en que las credenciales se pasan al servidor publicado en una regla de publicación de web. Las reglas de publicación de web comparan las solicitudes de clientes entrantes con el sitio web correspondiente del servidor web. Puede crear reglas de publicación de web que deniegan el tráfico para bloquear el tráfico entrante que coincide con las condiciones de la regla. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en una de esas
dos carpetas, deberá publicar ambas. Para obtener más información acerca de otra configuración en las reglas de publicación de web, vea Planeación de publicación.
Publicar servidores web a través de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se describe cómo configurar la publicación de servidor web a través de conexiones seguras (HTTPS):
Publicar un solo sitio web o equilibrio de carga a través de HTTPS
Publicar varios sitios web a través de HTTPS
Publicar una granja de servidores a través de HTTPS
Uso de la autenticación de certificado de cliente para publicar a través de HTTPS
Configurar inicio de sesión único
Configurar valores de traducción de vínculos
Publicar tras un acelerador SSL
Configurar el cierre de sesión seguro
Configurar certificados de servidor para la publicación de web segura
Utilizar certificados comodínPublicar un solo sitio web o equilibrio de carga a través de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para publicar un solo sitio web o equilibrio de carga a través de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de sitio web HTTPS .
Seguridad de conexión de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuación, seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP del sitio web, haga clic en Agregar y luego en Aceptar.
Certificados SSL de escucha
Seleccione Usar un único certificado para esta escucha de web, haga clic en Seleccionar certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para tener acceso al sitio web publicado aparezca en el campo Emitido a.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
Para autenticación HTTP (opción predeterminada), active una o más de las casillas de verificación. Al implementar un grupo de trabajo, sólo se podrá seleccionar Básica.Si desea exigir a los clientes que proporcionen un certificado, en la lista desplegable, seleccione Autenticación de certificados SSL de cliente.Para autenticación basada en formularios, seleccione en la lista desplegable Autenticación de formularios HTML.
Recopile otras credenciales de delegación en el formulario.Esta casilla de verificación aparece sólo si se ha seleccionado Autenticación de formularios HTML.
Active esta casilla solo si piensa seleccionar OTP de RADIUS o SecurID.
166
Seleccione la forma en que Forefront TMG validará las credenciales del cliente.
Para autenticación HTTP, si selecciona autenticación básica en la implementación de un grupo de trabajo, podrá seleccionar LDAP (Active Directory) o RADIUS.Para autenticación basada en formularios, seleccione una de las opciones disponibles.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
El inicio de sesión único (SSO) está disponible sólo si se utiliza la autenticación basada en formularios. Si habilita SSO, deberá hacer clic en Agregar y, a continuación, especificar un dominio dentro del cual se aplicará el SSO.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
5. En el panel Tareas, haga clic en la ficha Tareas.6. En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente para nueva regla de publicación de web.7. En la siguiente tabla se indica cómo completar el Asistente para nueva regla de publicación de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de web
Nombre de regla de publicación de web Escriba un nombre para la regla de publicación de web. Escriba, por ejemplo, Sitio web único (HTTPS).
Seleccionar acción de regla
Acción Seleccione Permitir.
Tipo de publicación Seleccione Publicar un único sitio web o equilibrio de carga.
Seguridad de conexión de servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada.
Detalles internos de publicación (1)
Nombre interno del sitio Escriba el nombre de host que Forefront TMG va a usar en los mensajes de solicitud HTTP enviados al servidor publicado.Si va a publicar un solo servidor web y el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre del equipo o la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado; a continuación, escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver.
Detalles internos de publicación (2)
Ruta de acceso (opcional) Escriba la ruta de acceso de su sitio web.
Reenvíe el encabezado de host original en vez del que efectivamente se ha especificado en la página anterior, en el campo Nombre interno del sitio.
Active esta casilla solo si su sitio web incluye características específicas que necesitan el encabezado de host original que Forefront TMG recibe del cliente.
Detalles del nombre público
Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el FQDN o la dirección IP pública que los usuarios externos utilizarán para obtener acceso al sitio web publicado.
Seleccionar escucha de web
Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Editar para cambiar las propiedades de la escucha de web seleccionada.
Delegación de autenticación
Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Sin delegación, pero el cliente se puede autenticar directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
No cambie la opción predeterminada (Todos los usuarios autenticados).
Finalización del Asistente para nueva regla de publicación de web
Revise la configuración y haga clic en Finalizar.
8. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local de cada equipo de Forefront TMG de la matriz, un certificado de servidor SSL emitido para el nombre de host público del sitio web publicado. Si la regla de publicación requiere una conexión SSL entre el equipo Forefront TMG y el servidor publicado, debe instalarse en el servidor publicado un certificado de servidor SSL que se haya emitido para el nombre de host especificado en el nombre interno del sitio. Para obtener más información acerca de la obtención e instalación de los certificados del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.
Forefront TMG trata las granjas de servidores de un dispositivo de equilibrio de carga como un solo servidor. Aunque esta opción se admite para la publicación de una granja de equilibrio de carga, se recomienda usar la compatibilidad de equilibrio de carga integrada que se proporciona mediante una
167
granja de servidores creada en Forefront TMG, en lugar de un dispositivo de equilibrio de carga. La publicación de Forefront TMG para las granjas de servidores proporciona una mejor afinidad de clientes, que se puede configurar para funcionar con una cookie, en vez de depender de la dirección IP de cliente. Esto supone una clara ventaja en situaciones donde un dispositivo situado entre el dispositivo de equilibrio de carga e Forefront TMG (por ejemplo, un dispositivo NAT) oculta la dirección IP de cliente.
Puede configurar la forma en que las credenciales se pasan al servidor publicado en una regla de publicación de web. Las reglas de publicación de web comparan las solicitudes de clientes entrantes con el sitio web correspondiente del servidor web. Puede crear reglas de publicación de web que deniegan el tráfico para bloquear el tráfico entrante que coincide con las condiciones de la regla. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en una de esas
dos carpetas, deberá publicar ambas. Para obtener más información acerca de otra configuración en las reglas de publicación de web, vea Planeación de publicación.
Publicar varios sitios web a través de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para publicar varios sitios web a través de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba:Escucha de web a través de HTTPS
Seguridad de conexión de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuación, seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En la lista Direcciones IP disponibles, seleccione la dirección IP apropiada, haga clic en Agregar y, a continuación, en Aceptar.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
Para autenticación HTTP (opción predeterminada), active una o más de las casillas de verificación. Al implementar un grupo de trabajo, sólo se podrá seleccionar Básica.Si desea exigir a los clientes que proporcionen un certificado, en la lista desplegable, seleccione Autenticación de certificados SSL de cliente.Para autenticación basada en formularios, seleccione en la lista desplegable Autenticación de formularios HTML.
Recopile otras credenciales de delegación en el formulario.Esta casilla de verificación aparece sólo si se ha seleccionado Autenticación de formularios HTML.
Active esta casilla solo si piensa seleccionar OTP de RADIUS o SecurID.
Seleccione la forma en que Forefront TMG validará las credenciales del cliente.
Para autenticación HTTP, si selecciona autenticación básica en un grupo de trabajo, podrá seleccionar LDAP (Active Directory) o RADIUS.Para autenticación basada en formularios, seleccione una de las opciones disponibles.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escuchaEl inicio de sesión único (SSO) está disponible sólo si se utiliza la autenticación basada en formularios.
No seleccione esta opción.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
5. En el panel Tareas, haga clic en la ficha Tareas.6. En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente para nueva regla de publicación de web.7. En la siguiente tabla se indica cómo completar el Asistente para nueva regla de publicación de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de web
Nombre de regla de publicación de web
Escriba un nombre para la regla de publicación de web. Por ejemplo, escriba:Varios sitios web (HTTPS)
Seleccionar acción de regla Acción Seleccione Permitir.
Tipo de publicación Seleccione Publicar múltiples sitios web.
Especificar los sitios web que se van a publicar
Sitios publicados Para cada sitio web que publique, haga clic en Agregar y, en Nombre interno del sitio, escriba el nombre de host que utilizará Forefront TMG en los mensajes de solicitud HTTP enviados al
168
servidor publicado; a continuación, seleccione Forefront TMG utilizará SSL para conectarse al sitio web.
Nombres públicos de sitios web publicados
Sufijo del nombre público Escriba el sufijo que se añadirá al final de los nombres internos de sitio especificados en la página Especificar los sitios web que se van a publicar para crear los nombres públicos que utilizarán los usuarios para obtener acceso a los sitios web publicados.
Seleccionar escucha de web Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web seleccionada.
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Sin delegación y el cliente no se puede autenticar directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
No cambie la opción predeterminada (Todos los usuarios autenticados).
Finalización del Asistente para nueva regla de publicación de web
Revise la configuración y haga clic en Finalizar.
8. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local de cada equipo de Forefront TMG de la matriz, un certificado de servidor SSL emitido para el nombre de host público de cada sitio web publicado. Si la regla de publicación requiere una conexión SSL entre el equipo Forefront TMG y el servidor publicado, debe instalarse en el servidor publicado un certificado de servidor SSL que se haya emitido para el nombre de host especificado como nombre interno del sitio correspondiente. Para obtener más información acerca de la obtención e instalación de los certificados del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.
Mediante este procedimiento se crea una regla de publicación web independiente para cada sitio publicado que se especifique. Al publicar múltiples sitios web siguiendo este procedimiento, el sufijo del nombre público se añada a cada uno de los nombres internos del sitio que
especifique. Por ejemplo, si desea publicar los sitios news.fabrikam.com, sports.fabrikam.com y weather.fabrikam.com, especifique los nombres internos de sitio news, sports y weather; a continuación, indique el sufijo del nombre público fabrikam.com. El asistente creará tres reglas de publicación web, una para cada uno de los sitios, utilizando la misma escucha de web.
Puede configurar la forma en que las credenciales se pasan al servidor publicado en una regla de publicación de web. Las reglas de publicación de web comparan las solicitudes de clientes entrantes con el sitio web correspondiente del servidor web. Puede crear reglas de publicación de web que deniegan el tráfico para bloquear el tráfico entrante que coincide con las condiciones de la regla. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en una de esas
dos carpetas, deberá publicar ambas. Para obtener más información acerca de otra configuración en las reglas de publicación de web, vea Planeación de publicación.
Publicar una granja de servidores a través de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para publicar una granja de servidores a través de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, haga clic en Nuevo y, a continuación, seleccione Granja de servidores.4. En la siguiente tabla se indica cómo finalizar el Asistente para nueva granja de servidores.
Página Campo o propiedad Valor o acción
Asistente para nueva granja de servidores
Nombre de granja de servidores
Escriba un nombre para la granja de servidores. Por ejemplo, escriba Granja de servidores de contenido.
Servidores Servidores incluidos en esta granja
Para cada servidor web que desee incluir en la granja de servidores, haga clic en Agregar. A continuación, en Detalles del servidor, haga clic en Examinar y, en Escriba el nombre del objeto que se va a seleccionar, escriba el nombre de NetBIOS del servidor web. Haga clic en Comprobar nombres, en Aceptar y, por último, de nuevo en Aceptar.
Supervisión de conectividad de granja de servidores
Método usado para supervisar la conectividad de la granja de servidores
Seleccione un método que Forefront TMG utilizará para verificar la conectividad con los servidores web en la granja de servidores. Si selecciona Enviar una solicitud GET de HTTP y HTTPS y desea especificar una dirección URL que difiera de la dirección URL que se establecerá en la regla de publicación de web para esta granja de servidores, o bien si desea especificar un encabezado de host personalizado que difiera del que se enviará basándose en la regla de publicación de web, haga clic en Configurar, escriba la dirección URL y encabezado HOST y haga clic en Aceptar.
Finalización del Asistente para nueva granja de servidores
Revise la configuración y haga clic en Finalizar.
5. Si aparece un cuadro de mensaje en el que se indica que va a habilitarse la regla de directiva de sistema Permitir solicitudes HTTP/HTTPS de Forefront TMG a servidores seleccionados para los comprobadores de conectividad, haga clic en Aceptar.
6. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.
169
7. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de granja de servidores HTTPS.
Seguridad de conexión de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuación, seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP correspondiente, haga clic en Agregar y luego en Aceptar.
Certificados SSL de escucha
Seleccione Usar un único certificado para esta escucha de web, haga clic en Seleccionar certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para tener acceso al sitio web publicado aparezca en el campo Emitido a.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
Para autenticación HTTP (opción predeterminada), active una o más de las casillas de verificación. Al implementar un grupo de trabajo, sólo se podrá seleccionar Básica.Si desea exigir a los clientes que proporcionen un certificado, en la lista desplegable, seleccione Autenticación de certificados SSL de cliente.Para autenticación basada en formularios, seleccione en la lista desplegable Autenticación de formularios HTML.
Recopile otras credenciales de delegación en el formulario.Esta casilla de verificación aparece sólo si se ha seleccionado Autenticación de formularios HTML.
Active esta casilla solo si piensa seleccionar OTP de RADIUS o SecurID.
Seleccione la forma en que Forefront TMG validará las credenciales del cliente.
Para autenticación HTTP, si selecciona autenticación básica en un grupo de trabajo, podrá seleccionar LDAP (Active Directory) o RADIUS.Para autenticación basada en formularios, seleccione una de las opciones disponibles.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
El inicio de sesión único (SSO) está disponible sólo si se utiliza la autenticación basada en formularios. Si habilita SSO, deberá hacer clic en Agregar y, a continuación, especificar un dominio dentro del cual se aplicará el SSO.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
8. En el panel Tareas, haga clic en la ficha Tareas.9. En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente para nueva regla de publicación de web.10. En la siguiente tabla se indica cómo completar el Asistente para nueva regla de publicación de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de web
Nombre de regla de publicación de web Escriba un nombre para la regla de publicación de web. Por ejemplo, escriba Granja de servidores (HTTPS).
Seleccionar acción de regla Acción Seleccione Permitir.
Tipo de publicación Seleccione Publicar una granja de servidores web con equilibrio de carga.
Seguridad de conexión de servidor Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada.
Detalles internos de publicación (1) Nombre interno del sitio Escriba el nombre de dominio completo (FQDN) de uno de los elementos miembros de la granja de servidores.
Detalles internos de publicación (2) Ruta de acceso (opcional) Escriba la ruta de acceso de su sitio web.
Especificar granja de servidores Seleccione la granja de servidores que desee publicar.
En la lista desplegable, seleccione la granja de servidores que haya creado en el paso 4.
Seleccione la forma en que Forefront TMG equilibrará la carga de solicitudes de web entrantes.
Seleccione Equilibrio de carga basado en cookies.
Detalles del nombre público Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el FQDN o la dirección IP pública que los usuarios externos utilizarán para obtener acceso al sitio web publicado.
Seleccionar escucha de web Escucha de web En la lista desplegable, seleccione la escucha de web que haya creado en el paso 7.
170
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Sin delegación y el cliente no se puede autenticar directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
No cambie la opción predeterminada (Todos los usuarios autenticados).
Finalización del Asistente para nueva regla de publicación de web
Revise la configuración y haga clic en Finalizar.
11. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
El nombre interno del sitio debe poder resolverse en forma de dirección IP. Forefront TMG crea automáticamente una asignación de traducción de vínculos entre el nombre de sitio interno y el primer nombre público especificado en la
regla. Esta asignación se utiliza para traducir vínculos que utilicen el nombre interno del sitio para hacer referencia a la granja de servidores en páginas web y en mensajes de correo electrónico que puedan recibir los usuarios externos.
De manera predeterminada, Forefront TMG cambia el encabezado de host original proporcionado por una aplicación de explorador por un encabezado de host que corresponde al nombre de sitio interno.
Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local del equipo Forefront TMG un certificado de servidor SSL emitido para el nombre de host público del sitio web publicado. Si la regla de publicación de web requiere una conexión SSL entre el equipo Forefront TMG y un miembro de la granja de servidores publicados, puede instalarse en cada miembro de la granja de servidores publicados un único certificado de servidor con un nombre correspondiente al nombre o dirección IP del servidor, o bien puede instalarse en todos los miembros de la granja de servidores el mismo certificado con un nombre correspondiente al nombre de sitio interno. Para obtener más información acerca de la obtención e instalación de los certificados del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.
Puede configurar la forma en que las credenciales se pasan al servidor publicado en una regla de publicación de web. Las reglas de publicación de web comparan las solicitudes de clientes entrantes con el sitio web correspondiente del servidor web. Puede crear reglas de publicación de web que deniegan el tráfico para bloquear el tráfico entrante que coincide con las condiciones de la regla. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en una de esas
dos carpetas, deberá publicar ambas. Para obtener más información acerca de otra configuración en las reglas de publicación de web, vea Planeación de publicación.
Uso de la autenticación de certificado de cliente para publicar a través de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para usar la autenticación de certificado de cliente para publicar a través de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla de publicación de web correspondiente.3. En la ficha Tareas, haga clic en Editar regla seleccionada.4. En la ficha Escucha, haga clic en Propiedades.5. En la ficha Conexiones, compruebe que Habilitar conexiones SSL (HTTP) en el puerto esté seleccionado.6. Si no desea permitir conexiones HTTP sin autenticación de certificado de cliente, compruebe que Habilitar conexiones HTTP en el puerto no esté seleccionado.7. En la ficha Autenticación, realice una de las acciones siguientes:
a. Si Método que los clientes usan para autenticarse en Forefront TMG está establecido en Autenticación HTTP o Sin autenticación, seleccione Autenticación de certificados SSL de cliente en la lista desplegable y haga clic en Opciones avanzadas.
b. Si Método que los clientes usan para autenticarse en Forefront TMG está establecido en Autenticación de formularios HTML, haga clic en Opciones avanzadas. Debe seleccionar Requerir certificado SSL de cliente solo si desea exigir que en la solicitud HTTPS se envíe un certificado SSL de cliente antes de que se presente el formulario HTML al usuario.
8. En la ficha Lista de confianza de certificados de cliente, seleccione una de las opciones siguientes:
Aceptar cualquier certificado de cliente en el que confíe el equipo de Forefront TMG. Seleccione esta opción si desea que la lista de entidades de certificación aceptables incluya todas las entidades cuyo certificado raíz esté instalado en el almacén Entidades de certificación raíz de confianza del equipo de Forefront TMG.
Aceptar únicamente certificados emitidos por las entidades de certificación seleccionadas a continuación. Seleccione esta opción si desea limitar la lista de entidades de certificación cuyos certificados se considerarán de confianza.
9. En la ficha Restricciones de certificado de cliente, defina las restricciones con las que deben coincidir los certificados SSL de cliente. 10. Haga clic en Aceptar para cerrar la página Opciones avanzadas de autenticación.11. En la ficha Certificados, compruebe que haya seleccionado un certificado de servidor SSL y, a continuación, haga clic en Aceptar.12. Para la autenticación basada en formularios, en la ficha Tráfico, seleccione Requerir certificado SSL de cliente.13. Haga clic en Aceptar.14. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
Un certificado de cliente presentado a Forefront TMG se considera de confianza solo cuando el certificado raíz de la entidad de certificación que lo ha emitido está instalado en el almacén Autoridades de certificación raíz de confianza del equipo de Forefront TMG.
Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local de cada equipo de Forefront TMG de la matriz, en la que está configurada la regla de publicación de web, un certificado de servidor SSL emitido para el nombre de host público del sitio web publicado. Para obtener más información acerca del uso de los certificados de servidor para publicación de web segura, vea Configurar certificados de servidor para la publicación de web segura.
Cuando un cliente se intenta conectar a través de Forefront TMG, Forefront TMG proporciona una lista de entidades de certificación aceptables al cliente como parte del protocolo de enlace SSL. Esto permite a la aplicación cliente, como un explorador web, utilizar sólo los certificados de cliente emitidos por una entidad de certificación de confianza concreta.
Para restringir más el conjunto de certificados que un cliente puede enviar a Forefront TMG, cree restricciones con las que los certificados SSL de cliente
171
deban coincidir. De esta manera, puede eliminar la necesidad de que la aplicación cliente muestre una lista de certificados para que el usuario seleccione el certificado de cliente adecuado.
Configurar inicio de sesión únicoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para configurar el inicio de sesión único
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la regla de publicación de web correspondiente.3. En la ficha Tareas, haga clic en Editar regla seleccionada.4. En la ficha Escucha, haga clic en Propiedades.5. En la ficha Autenticación, compruebe que Método que los clientes usan para autenticarse en Forefront TMG esté definido en Autenticación de formularios
HTML.6. En la ficha SSO, seleccione Habilitar inicio de sesión único.7. En Especificar los dominios de inicio de sesión único para esta escucha de web, realice los pasos siguientes para los sitios web en los que desee permitir el inicio
de sesión único (SSO).a. Haga clic en Agregar.b. Escriba el dominio SSO para dos o más sitios web.
8. Haga clic en Aceptar.9. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
El inicio de sesión único (SSO) permite a los usuarios hacer clic en un vínculo de una página web proporcionada por un sitio web y desplazarse de forma segura a otro sitio web sin tener que presentar sus credenciales de nuevo.
El dominio SSO para un conjunto de sitios web es el sufijo DNS de los nombres de host de los sitios web. Por ejemplo, el dominio SSO para portal.contoso.com y ventas.contoso.com es .contoso.com.
El inicio de sesión único está disponible para sitios web publicados por reglas que utilizan la misma escucha de web. La escucha de web debe estar configurada para utilizar autenticación basada en formularios HTML y SSO debe estar habilitado para ella.
El inicio de sesión único entre distintas aplicaciones requiere cookies permanentes, que se deshabilitan de manera predeterminada. Por ejemplo, las cookies permanentes permiten a los usuarios llegar a documentos de Word desde vínculos proporcionados por un sitio de Microsoft Office SharePoint Server sin que se les soliciten credenciales. Como procedimiento recomendado de seguridad, se aconseja utilizar cookies permanentes sólo en equipos privados.
Configurar valores de traducción de vínculosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para configurar la traducción de vínculos
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de tareas, haga clic en la regla de publicación de web correspondiente.3. En la ficha Tareas, haga clic en Editar regla seleccionada.4. En la ficha Traducción de vínculos, seleccione Aplicar traducción de vínculos a esta regla. 5. Si desea que se traduzcan los vínculos de páginas web que contengan otros juegos de caracteres, seleccione Aplicar también traducción de vínculos al contenido
web que use este juego de caracteres y, a continuación, seleccione un juego de caracteres en la lista desplegable. 6. Para configurar asignaciones locales, haga clic en Configurar y, a continuación, realice los pasos siguientes para cada asignación local que desee agregar a la
regla de publicación de web seleccionada.a. Haga clic en Agregar.b. En Reemplazar este texto, escriba una dirección URL que contenga un nombre de host interno (o una dirección IP).c. En Con este texto, escriba una dirección URL que contenga un nombre de host que se pueda resolver públicamente (o una dirección IP).d. Haga clic en Aceptar.
7. Haga clic en Aceptar y luego de nuevo en Aceptar.8. Repita los pasos del 2 al 7 para otras reglas de publicación de web en las que desee configurar opciones de traducción de vínculos específicas.9. En la ficha Tareas, haga clic en Configurar opciones de traducción global de vínculos.10. En la ficha General, compruebe que Habilitar la traducción de vínculos esté seleccionado. 11. En la ficha Asignaciones globales, realice los pasos siguientes para cada asignación global que desee agregar.
a. Haga clic en Agregar.b. En el campo Dirección URL interna, escriba una dirección URL que contenga un nombre de host interno (o una dirección IP).c. En el campo Dirección URL traducida, escriba una dirección URL que contenga un nombre de host que se pueda resolver públicamente (o una
dirección IP).d. Haga clic en Aceptar.
12. Para habilitar y configurar el redireccionamiento de vínculos en sitios internos no publicados, en la ficha Redireccionamiento de vínculo, haga lo siguiente: a. Seleccione Redirigir usuarios que vayan a estos sitios no publicados. b. Haga clic en Agregar para agregar o crear un conjunto de direcciones URL que contenga las direcciones URL internas de los sitios no publicados. c. En Redirigir usuarios a esta dirección URL publicada, especifique la dirección URL a la que se debe redirigir a los usuarios cuando utilicen vínculos
que apunten a uno de los sitios publicados. 13. Para configurar tipos de contenido, en la ficha Tipos de contenido, en Tipos de contenido seleccionados, seleccione uno o más tipos de contenido. 14. Haga clic en Aceptar y luego de nuevo en Aceptar.15. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
Las asignaciones implícitas que asignan el nombre interno (o dirección IP) del servidor publicado por la regla de publicación de web al nombre público (o dirección IP) del sitio web o, si existen varios nombres públicos, al primer nombre público, se crean automáticamente.
Las direcciones URL de asignaciones locales pueden contener un protocolo válido (http:// o https://) y una ruta de acceso. Sin embargo, las direcciones URL especificadas en asignaciones globales deben empezar por un protocolo válido (http:// o https://). También se puede especificar un puerto; sin embargo, este
172
tipo de asignación se excluirá de las búsquedas de vínculos sin puerto. Por ejemplo, una asignación que especifique la dirección URL interna http://www.miInterna:80 no traducirá la dirección URL http://www.miInterna.
Forefront TMG traduce únicamente direcciones URL completas o parte de direcciones URL seguidas de un carácter de terminación, como un espacio o una barra diagonal. Por ejemplo, si la cadena de búsqueda de una asignación es http://contoso y la respuesta contiene la dirección URL http://noticiascontoso, esta dirección URL no se traducirá mediante esta asignación. Esto significa que las asignaciones no son específicas de las rutas de acceso. Por ejemplo, la cadena de búsqueda http://www.miInterna coincidirá con un vínculo para http://www.miInterna/docs.
De manera predeterminada, cuando la traducción de vínculos está habilitada para una regla, Forefront TMG bloquea las solicitudes de intervalo para el tipo de contenido al que se aplica la regla. Mientras que este comportamiento no se puede modificar en la Administración de Forefront TMG, el bloqueo de solicitudes de intervalo se puede deshabilitar mediante programación con la propiedad RangeRequestsAllowedWithLinkTranslation del objeto COM de administración de FPCWebPublishingProperties en el Kit de desarrollo de software (SDK) de Forefront TMG. Si el bloqueo de solicitudes de intervalo está deshabilitado, la traducción de vínculos no se utilizará para solicitudes de intervalo.
Habilite el redireccionamiento de vínculos cuando desee redireccionar a los usuarios que soliciten un sitio no publicado a una dirección URL determinada, en lugar de que reciban un mensaje de error.
De manera predeterminada, el filtro de traducción de vínculos funciona únicamente en respuestas web que incluyan un tipo de archivo o un tipo MIME especificado en el tipo de contenido de los documentos HTML. De manera predeterminada, el tipo de contenido de los documentos HTML especifica los tipos MIME text/css, text/html y text/webviewhtml y las extensiones de archivo .htm, .html, .htt, .stm y .xsl.
Para ver o modificar los tipos MIME y los tipos de archivo especificados para la revisión por el filtro de traducción de vínculos, haga lo siguiente: En una implementación de empresa de varias matrices, la traducción de vínculos usa la configuración en los tipos de contenido de nivel de empresa
para determinar si tiene que realizar la traducción en el cuerpo del mensaje. Para revisar o modificar estos tipos de contenido, expanda Empresay haga clic en Directivas de empresa. En el panel derecho, haga clic en Herramientas y seleccione Tipos de contenido.
En una implementación de matriz única, haga clic en el nodo Directiva de firewall. En el panel derecho, haga clic en Herramientas y seleccione Tipos de contenido.
Se recomienda usar la página de errores de ejemplo incluida en Forefront TMG o, de forma alternativa, una basada en la página de errores de ejemplo, para evitar crear una vulnerabilidad a los ataques de introducción de scripts entre sitios. Para obtener más información acerca de la introducción de scripts entre sitios, vea "Información acerca de la vulnerabilidad de seguridad mediante la introducción de scripts entre sitios" (en inglés) en el sitio web de Microsoft TechNet.
Publicar tras un acelerador SSLPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para publicar tras un acelerador SSL
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba: Escucha de acelerador SSL
Seguridad de conexión de cliente
Seleccione No requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuación, seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En la lista Direcciones IP disponibles, seleccione la dirección IP en la que Forefront TMG escuchará las solicitudes HTTP del acelerador SSL, haga clic en Agregar y, a continuación, haga clic en Aceptar.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
En la lista desplegable, seleccione Sin autenticación.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
El inicio de sesión único no está disponible en esta configuración.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
5. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar. 6. Para establecer el puerto al que Forefront TMG devolverá las respuestas al acelerador SSL, copie el siguiente código en un archivo del Bloc de notas y guárdelo
como SetSslAcceleratorPort.vbs. A continuación, para un escucha de web denominado Escucha de acelerador SSL, en el símbolo del sistema, escriba:CScript SetSslAcceleratorPort.vbs "Escucha de acelerador SSL"
Copiar código ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ' Copyright (c) de Microsoft Corporation. Reservados todos los derechos. ' ESTE CÓDIGO ESTÁ DISPONIBLE TAL CUAL, SIN GARANTÍA DE NINGÚN TIPO. ' TODO RIESGO DERIVADO DEL USO DE ESTE CÓDIGO O EL RESULTADO DE SU USO ES RESPONSABILIDAD DEL USUARIO.
173
' POR LA PRESENTE, SE PERMITE EL USO Y LA REDISTRIBUCIÓN DE ESTE CÓDIGO, CON O SIN MODIFICACIÓN. ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Option Explicit
' Define the constant neededconst Error_FileNotFound = &H80070002
Main(WScript.Arguments)
Sub Main(args) If(args.Count = 1) Then SetSslAcceleratorPort args(0) Else Usage() End IfEnd Sub
Sub SetSslAcceleratorPort(wlName)
' Create the root object. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root")
' Declare the other objects needed. Dim tmgArray ' An FPCArray object Dim webListener ' An FPCWebListener object Dim text ' A String Dim input ' A String
' Get a reference to the local array object. Set tmgArray = root.GetContainingArray()
' Get a reference to the Web listener specified. On Error Resume Next Set webListener = _ tmgArray.RuleElements.WebListeners.Item(wlName) If Err.Number = Error_FileNotFound Then WScript.Echo _ "No se pudo encontrar la escucha web especificada." Else Err.Clear On Error GoTo 0 With webListener.Properties If .SSLAcceleratorPort = 0 Then text = "No hay configurado ningún puerto de acelerador SSL." _ & VbCrLf _ & "Puede especificar un valor distinto de cero para habilitar" _ & VbCrLf _ & "un puerto de acelerador SSL." Else text = "Puerto de acelerador SSL actual: " _ & .SSLAcceleratorPort _ & VbCrLf _ & "Puede cambiar este valor o escribir 0" _ & VbCrLf _ & "para deshabilitar el puerto de acelerador SSL." End If input = InputBox(text,"Puerto de acelerador SSL", "443") End With If CInt(input) <> _ webListener.Properties.SSLAcceleratorPort Then WScript.Echo "Cambiando el puerto de acelerador SSL a " _ & CInt(input) & "..." webListener.Properties.SSLAcceleratorPort = CInt(input) End If If webListener.Properties.SSLAcceleratorPort <> 0 Then WScript.Echo "Comprobando que el puerto SSL está definido en 0..." webListener.Properties.SSLPort = 0 End If webListener.Save End IfEnd Sub
Sub Usage() WScript.Echo "Usage:" & VbCrLf _ & " CScript " & WScript.ScriptName & " WebListener" _ & VbCrLf & "" & VbCrLf _ & " WebListener - Nombre de la escucha web"
174
WScript.QuitEnd Sub
Nota:
Si dispone de un dispositivo acelerador SSL externo delante de Forefront TMG, el dispositivo intercepta todo el tráfico web y, a continuación, se transmite a Forefront TMG. Cuando el dispositivo recibe tráfico HTTPS de un cliente, finaliza la conexión SSL en el dispositivo, descifra el tráfico y, a continuación, lo trasmite como HTTP a Forefront TMG, que normalmente recibe el tráfico en el puerto 80. Este procedimiento configura Forefront TMG para que reconozca que hay un acelerador SSL entre él e Internet. Este procedimiento también configura Forefront TMG para enviar respuestas al puerto correcto del acelerador SSL y para proporcionar vínculos HTTPS en la respuesta que devolverá el acelerador SSL.
En el caso concreto de que la solicitud HTTPS originada en el cliente sea una solicitud de Microsoft Outlook Web Access, Forefront TMG anexa automáticamente un encabezado que indica al servidor de acceso web de Outlook que debe devolver una respuesta HTTPS. Esto tiene lugar independientemente de que Forefront TMG se haya configurado para que funcione tras el acelerador SSL.
Este procedimiento se puede aplicar únicamente en un acelerador SSL externo conectado a Internet que se encuentre delante del equipo Forefront TMG, que comunica con él a través de una conexión de red. Si dispone de una tarjeta aceleradora SSL instalada directamente en el equipo Forefront TMG o de un dispositivo externo conectado al equipo Forefront TMG con una interfaz estándar de equipos pequeños (SCSI), no son necesarios cambios de configuración en Forefront TMG.
La escucha de web debe escuchar las solicitudes HTTP en una dirección IP independiente, en la que no exista ninguna otra escucha de web para solicitudes HTTP. Esto exige que haya una dirección IP adicional en el adaptador de red conectado a la red externa o un adaptador de red independiente dedicado al acelerador SSL. Si utiliza un adaptador de red independiente, deberá definir una nueva red que contenga el acelerador SSL y configurar la escucha de web para que actúe en esa red.
Si el acelerador SSL está conectado a Internet, el nombre de su certificado de servidor SSL debe coincidir con el nombre de host público o con la dirección IP pública que los clientes externos escribirán en su explorador web para obtener acceso al sitio web publicado.
El puerto al que Forefront TMG devuelve las respuestas a un dispositivo acelerador SSL externo delante de Forefront TMG no se puede definir en la Administración de Forefront TMG. El script proporcionado también garantiza que la escucha HTTPS esté deshabilitada en la escucha de web.
Configurar el cierre de sesión seguroPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para configurar el cierre de sesión seguro
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla de publicación de web correspondiente que utiliza autenticación basada en formularios HTML.3. En la ficha Tareas, haga clic en Editar regla seleccionada.4. En la ficha Configuración de aplicaciones, en el campo Dirección URL de cierre de sesión de servidor publicado, escriba la cadena que se utiliza en el vínculo de
cierre de sesión de la página web publicada para indicar una solicitud de cierre de sesión; por ejemplo, ?Cmd=logoff, o logoff=1.5. Haga clic en Aceptar. 6. En la ficha Escucha, haga clic en Propiedades. 7. En la ficha Formularios, haga clic en Opciones avanzadas. 8. En Configuración de cookies puede proporcionar un nombre para la cookie que Forefront TMG proporciona al cliente cuando la autenticación basada en
formularios es correcta. En la lista desplegable puede seleccionar si las cookies son permanentes (siguen presentes en el cliente tras el final de la sesión) en todos los equipos, sólo en equipos privados o nunca.
9. En Omitir la dirección IP del explorador para la comprobación de cookies, defina si desea permitir que los clientes utilicen la misma cookie desde distintas direcciones IP. Por ejemplo, puede parecer que las solicitudes de un único cliente proceden de distintas direcciones IP, como cuando existe un equilibrio de carga entre Forefront TMG y el cliente.
10. En Configuración de seguridad del cliente, seleccione: Considerar como tiempo máximo de inactividad, para establecer un período de espera según el tiempo que el cliente permanezca inactivo.
Considerar como duración máxima de la sesión, para establecer un período de espera según la duración de la sesión. A continuación, especifique los períodos de espera para los equipos públicos y privados, que se utilizará para establecer el tiempo máximo de inactividad o la duración máxima de la sesión.
Aplicar tiempo de espera de sesión a clientes no de explorador, para aplicar el período de espera a los clientes que no estén basados en explorador (como Outlook RPC/HTTP o ActiveSync).
11. Haga clic en Aceptar, haga clic de nuevo en Aceptar y vuelva a hacer clic en Aceptar.12. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Cuando Forefront TMG recibe la dirección URL de cierre de sesión configurada en una solicitud de usuario, cierra la sesión del usuario, quita la cookie de autenticación del equipo cliente y anota que la cookie se ha revocado. A continuación, Forefront TMG presenta la página de cierre de sesión al usuario, lo que indica que el cierre de sesión se ha realizado correctamente.
Las cookies no permanentes se eliminan del equipo cliente cuando se cierran todas las ventanas del explorador (lo que finaliza el proceso del explorador) o cuando el usuario cierra la sesión en el equipo. Las cookies permanentes permanecen en el equipo después de cerrar la ventana del explorador y sólo se eliminan cuando el usuario cierra la sesión en el equipo. También puede configurar un tiempo máximo de inactividad de forma que, si un usuario abandona un equipo y deja el explorador abierto e inactivo, la cookie expira automáticamente.
Si selecciona utilizar cookies permanentes, puede especificar si se utilizan en equipos públicos o privados. Tenga en cuenta que, al iniciar una sesión, el usuario indica si lo hace desde un equipo público o privado.
En un equipo público, si el usuario no cierra sesión, el siguiente usuario puede utilizar la cookie de sesión para obtener acceso a sitios publicados. Esta amenaza se puede mitigar no habilitando cookies persistentes para equipos públicos.
Utilice cookies permanentes para permitir la apertura de documentos desde Microsoft Windows SharePoint Services sin que los usuarios tengan que proporcionar credenciales de nuevo. No obstante, se recomienda habilitar cookies permanentes únicamente en equipos privados.
Como medida adicional para evitar problemas de seguridad asociados a las cookies, se recomienda crear un proceso de cierre de sesión que elimine las cookies y acostumbrar a los usuarios corporativos a cerrar la sesión cada vez que abandonen un equipo público. El proceso de cierre de sesión debe activarse al hacer clic en un vínculo o en un botón de la página web corporativa.
Cuando una sesión llega al final del período de espera, los clientes tienen que iniciar la sesión con sus credenciales de usuario. Se recomienda que, al configurar el período de espera para la autenticación basada en formularios, el período de espera sea inferior al impuesto por el
175
servidor publicado. Si el servidor publicado agota el tiempo de espera antes que Forefront TMG, el usuario puede creer (equivocadamente) que la sesión ha finalizado. Esto podría permitir a un intruso usar la sesión, que permanecería abierta hasta que el usuario la cerrara activamente o hasta que Forefront TMG superara el tiempo de espera (según lo configurado en el formulario).
Configurar certificados de servidor para la publicación de web seguraPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Al publicar servidores web u Outlook Web Access, Forefront TMG utiliza los certificados de la forma siguiente:
Protocolo puente de HTTPS a HTTP:
Conexión HTTPS entre el cliente externo y el equipo Forefront TMG.
Conexión HTTP entre el equipo Forefront TMG y el servidor web backend.
Nota:
Este escenario requiere un certificado de servidor en el equipo Forefront TMG para autenticarlo en el cliente externo.
Protocolo puente de HTTPS a HTTPS:
Conexión HTTPS entre el cliente externo y el equipo Forefront TMG
Conexiones HTTP entre el equipo Forefront TMG y el servidor web backend
Nota:
Este escenario requiere un certificado de servidor en el equipo Forefront TMG para autenticarlo en el cliente externo y requiere un certificado de servidor en el servidor web backend para autenticarlo en el equipo Forefront TMG.
Para obtener instrucciones, consulte los procedimientos siguientes:
Solicitar un certificado de una entidad de certificación comercial
Instalar un certificado de una entidad de certificación comercial
Exportar un certificado de un servidor web
Importar un certificado a un equipo Forefront TMG
Quitar un certificado de un servidor web
Solicitar un certificado de una entidad de certificación localSolicitar un certificado de una entidad de certificación localPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Si los certificados de servidor son para uso interno, puede crear una entidad de certificación local (CA) en vez de comprar un certificado comercial.Para configurar una entidad de certificación local
1. Abra el Panel de control.2. Haga doble clic en Agregar o quitar programas.3. Haga clic en Agregar o quitar componentes de Windows.4. Haga doble clic en Servidor de aplicaciones.5. Haga doble clic en Internet Information Services (IIS).6. Haga doble clic en Servicio World Wide Web.7. Seleccione Páginas Active Server.8. Haga clic en Aceptar para cerrar el cuadro de diálogo Servicio World Wide Web, haga clic en Aceptar para cerrar el cuadro de diálogo Internet Information
Services (IIS) y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Servidor de aplicaciones.9. Seleccione Servicios de servidor de certificados. Lea el mensaje de advertencia sobre el nombre del equipo y su pertenencia a un dominio. En el cuadro de
diálogo de la advertencia, haga clic en Sí si desea continuar y, a continuación, haga clic en Siguiente en la página Componentes de Windows.10. En la página Tipo de entidad de certificación, elija una de las siguientes opciones y haga clic en Siguiente:
CA raíz de la empresa. Se debe instalar una entidad de certificación raíz de empresa en un miembro del dominio. La entidad de certificación raíz de empresa emitirá certificados automáticamente cada vez que se los soliciten los usuarios autorizados (reconocidos por el controlador de dominio).
Entidad de certificación raíz independiente. Una entidad de certificación raíz independiente necesita que el administrador emita cada certificado solicitado.
11. En la página Identificación de la entidad de certificación, escriba un nombre común para la entidad de certificación, compruebe el sufijo de nombre completo, seleccione un período de validez y, a continuación, haga clic en Siguiente.
12. En la página Configuración de la base de datos de certificados, revise la configuración predeterminada. Compruebe las ubicaciones de la base de datos. Haga clic en Siguiente.
13. En la página Finalización del Asistente para componentes de Windows, revise la información de resumen y haga clic en Finalizar.
Nota:
Este procedimiento también instala los servicios que permiten a los equipos obtener los certificados a través de una página web. Si prefiere utilizar un enfoque distinto para obtener los certificados de los equipos, no es necesario que realice las instalaciones de IIS (Internet Information Server) ni de las páginas Active Server (ASP) que se describen en este procedimiento.Debe publicar el sitio web de la entidad de certificación para permitir el acceso a él. Para limitar el acceso al sitio web, puede publicar únicamente las carpetas específicas del sitio web necesarias para un grupo específico de usuarios, en lugar de publicar un servidor completo para todos los usuarios. Para obtener más información acerca de la publicación de web, vea Planeación de publicación.
Para instalar un certificado de servidor
176
1. Abra Internet Explorer.2. En el menú, seleccione Herramientas y, a continuación, Opciones de Internet.3. Seleccione la ficha Seguridad y, en Seleccionar una zona para ver o modificar la configuración de seguridad, haga clic en Sitios de confianza.4. Haga clic en el botón Sitios para que se abra el cuadro de diálogo Sitios de confianza.5. En Agregar este sitio web a la zona de, proporcione el nombre del sitio web del servidor de certificados (http://dirección IP del servidor de entidad de
certificación/certsrvname) y, a continuación, haga clic en Agregar. 6. Haga clic en Cerrar para que se cierre el cuadro de diálogo Sitios de confianza y, a continuación, haga clic en Aceptar para cerrar Opciones de Internet.7. Vaya a la dirección:
http://dirección IP del servidor de la entidad de certificación/certsrv8. Solicite un certificado.9. Seleccione Solicitud de certificado avanzada.10. Seleccione Crear y enviar una solicitud a esta entidad.11. Complete el formulario y seleccione Certificado de autenticación de servidor en la lista desplegable Tipo. Para evitar que el cliente reciba un mensaje de error al
intentar establecer la conexión, es vital que el nombre común especificado para el certificado coincida con el nombre del servidor publicado, como se indica a continuación:
En un entorno de publicación de servidor, escriba el nombre de dominio completo (FQDN) para el servidor que está publicando en Nombre común.
Nota:
Si desea ver una explicación de las opciones disponibles en la página Solicitud de certificado avanzada, consulte el artículo sobre el uso de páginas web de Servicios de Certificate Server en Windows Server 2003 (http://www.microsoft.com).
En un entorno de publicación de web, para solicitar un certificado del equipo Forefront TMG, escriba el nombre de host que los clientes externos escribirán en su explorador web para obtener acceso al sitio web; por ejemplo, news.adatum.com.
En un entorno de publicación de web, si instala también un certificado de servidor en el servidor web, además del certificado necesario en el equipo Forefront TMG, el nombre común debe ser el nombre de host que utiliza el equipo Forefront TMG para enviar mensajes de solicitud HTTP al servidor web mediante la regla de publicación de web. Este nombre debe poder resolverse en forma de dirección IP del servidor web y debe ser el mismo que el FQDN del servidor web, por ejemplo, webserver1.adatum.com.
12. Seleccione Almacenar el certificado en el almacén de certificados del equipo local y envíe la solicitud haciendo clic en Enviar. Lea el mensaje de advertencia que aparece y haga clic en Sí.
13. Si ha instado una entidad de certificación raíz independiente, realice los pasos siguientes en el equipo de la entidad de certificación. En una entidad de certificación raíz de empresa, estos pasos están automatizados.
a. Haga clic en Inicio, Todos los programas, Herramientas administrativas y, a continuación, en Entidad de certificación para abrir el complemento
Entidad de certificación de Microsoft Management Console (MMC).b. Expanda el nodo NombreCA, donde NombreCA es el nombre de su entidad de certificación.
c. Haga clic en el nodo Solicitudes pendientes, haga clic con el botón secundario en su solicitud, seleccione Todas las tareas y, a continuación, seleccione
Emitir.14. En el equipo Forefront TMG, vuelva a la página web http://dirección IP del servidor de la entidad de certificación/certsrv y, a continuación, haga clic en Ver
estado de solicitud pendiente.15. Haga clic en su solicitud y elija Instalar este certificado.16. Siga estos pasos para comprobar que el certificado de servidor se ha instalado correctamente.
a. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y, a continuación, haga clic en Aceptar.
b. En la ventana Console1, haga clic en el menú Archivo y luego en Agregar o quitar complemento.
c. En el cuadro de diálogo Agregar o quitar complemento, seleccione Certificados y, a continuación, haga clic en Agregar.
d. En la página Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.
e. En la página Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.
f. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.
g. En el árbol de la consola, amplíe el nodo Certificados (equipo local), expanda Personal, haga clic en Certificados y, a continuación, haga doble clic en
el nuevo certificado de servidor. En la ficha General, deberá figurar la siguiente nota: Tiene una clave privada correspondiente a este certificado. En la ficha Ruta de certificado, deberá verse una relación jerárquica entre su certificado y la entidad de certificación (CA), así como la siguiente nota: Este certificado es correcto.
h. Cierra la ventana Console1.
Nota:
Este procedimiento debe realizarse en un equipo que requiera un certificado digital. En el caso de la publicación de web, este sería, como mínimo, el equipo Forefront TMG, aunque podría incluirse también el equipo del servidor web. En el caso de la publicación de servidor, se trataría únicamente del equipo del servidor que se está publicando. Si instaló una entidad de certificación raíz independiente en lugar de una entidad de certificación raíz de empresa, también se deben realizar determinadas acciones en la entidad de certificación.En un equipo Forefront TMG, el certificado de servidor de la entidad de certificación debe guardarse en el almacén personal de certificados del equipo de Forefront TMG. El certificado raíz de la entidad de certificación debe guardarse en el almacén Entidades de certificación raíz de confianza del equipo de Forefront TMG.
Para que un equipo cliente confíe en los certificados de servidor que ha instalado desde una entidad de certificación local, este equipo tiene que tener instalado el certificado raíz de la entidad de certificación. Siga este procedimiento en cualquier equipo cliente que requiera el certificado raíz. Tenga en cuenta que también puede transferir el certificado raíz en un medio como, por ejemplo, un disco, e instalarlo a continuación en el equipo cliente.Para instalar un certificado raíz
1. Abra Internet Explorer.2. En el menú, seleccione Herramientas y, a continuación, Opciones de Internet.3. Seleccione la ficha Seguridad y haga clic en Personalizar nivel para abrir el cuadro de diálogo Configuración de seguridad. En el menú desplegable Restablecer
configuración personal, establezca el valor en Media, haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de seguridad y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.
177
Nota:
No es posible instalar el certificado cuando la configuración de seguridad tiene el valor Alta.
4. Vaya a la dirección:http:// dirección IP del servidor de la entidad de certificación/certsrv
5. Haga clic en Descargar certificado de entidad de certificación, cadena de certificados o lista de revocación de certificados. En la página siguiente, haga clic en Descargar certificado de entidad de certificación. Este es el certificado raíz de la entidad de certificación que debe instalarse en el equipo Forefront TMG. En el cuadro de diálogo Descarga de archivos, haga clic en Abrir.
6. En el cuadro de diálogo Certificado, haga clic en Instalar certificado para iniciar el Asistente para importación de certificados. 7. En la página de bienvenida del Asistente para importación de certificados, haga clic en Siguiente. En la página Almacén de certificados, seleccione Colocar todos
los certificados en el siguiente almacén y haga clic en Examinar. En el cuadro de diálogo Seleccionar almacén de certificados, seleccione Mostrar almacenes físicos. Expanda Entidades de certificación raíz de confianza, seleccione Equipo local y, a continuación, haga clic en Aceptar. En la página Almacén de certificados, haga clic en Siguiente.
8. En la página Finalización del Asistente para importación de certificados, revise los detalles y haga clic en Finalizar.9. Siga estos pasos para comprobar que el certificado raíz se ha instalado correctamente.
a. Abra el complemento Certificados (equipo local) de Microsoft Management Console (MMC).b. Expanda el nodo Entidades de certificación raíz de confianza, haga clic en Certificados y compruebe que el certificado raíz está en su lugar.
Nota:
También puede instalar los certificados en un equipo desde el complemento de MMC Certificados (Equipo local). Sin embargo, esto solo proporciona acceso a las entidades de certificación del mismo dominio.
Instalar un certificado de una entidad de certificación comercialPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Este procedimiento se puede utilizar para instalar un certificado obtenido de una entidad de certificación comercial sólo en el equipo desde donde se solicitó el certificado.Para instalar un certificado de una entidad de certificación comercial
1. En el equipo que aloja el sitio web que prevé publicar, haga clic en Inicio y, a continuación, seleccione Herramientas administrativas. Haga clic en Administrador de Internet Information Services (IIS).
2. En el Administrador de Internet Information Services (IIS), expanda Sitios web.3. Haga clic con el botón secundario en el sitio web que tenga una solicitud de certificado pendiente y, a continuación, haga clic en Propiedades.4. Haga clic en la ficha Seguridad de directorios.5. En Comunicaciones seguras, haga clic en Certificado de servidor.6. En la página Bienvenido al Asistente para certificados de servidor web, haga clic en Siguiente.7. Seleccione Procesar la solicitud pendiente e instalar el certificado y haga clic en Siguiente.8. Escriba la ruta de acceso al archivo de respuesta del certificado (o examine para localizar el archivo) y, a continuación, haga clic en Siguiente.9. En la página Puerto SSL, seleccione el puerto SSL que utilizará el sitio web. De forma predeterminada, el puerto 443.10. En la página Resumen del certificado, revise la información para asegurarse de que se esté procesando el certificado correcto y, a continuación, haga clic en
Siguiente.11. En la página Finalización del Asistente para certificados de servidor web, haga clic en Finalizar.12. Compruebe que el certificado de servidor se ha instalado correctamente mediante los pasos siguientes.
a. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y haga clic en Aceptar.b. En la ventana Console1, haga clic en el menú Archivo y luego en Agregar o quitar complemento.c. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Agregar.d. En el cuadro de diálogo Agregar un complemento independiente, seleccione Certificados y haga clic en Agregar.e. En la página Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.f. En la página Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.g. En el cuadro de diálogo Agregar un complemento independiente, haga clic en Cerrar.h. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.i. En el árbol de consola, despliegue el nodo Certificados (equipo local), despliegue Personal, haga clic en Certificados y haga doble clic en el nuevo
certificado de servidor. En la ficha General, deberá figurar la siguiente nota: Tiene una clave privada correspondiente a este certificado. En la ficha Ruta de certificado, deberá verse una relación jerárquica entre su certificado y la entidad de certificación (CA), así como la siguiente nota: Este certificado es correcto.
j. Cierra la ventana Console1. Guarde la configuración de la consola con un nombre descriptivo, como, por ejemplo, CertificadosEquipoLocal.msc.
Nota:
Si desea instalar el certificado en un equipo Forefront TMG, debe instalarlo antes en el servidor web desde donde se solicitó, exportarlo a un archivo, copiar el archivo en el equipo Forefront TMG y, a continuación, importar el certificado del archivo.
Una vez haya realizado este procedimiento correctamente, puede exportar el certificado a un archivo que se puede importar a otro equipo. Para obtener instrucciones, vea Exportar un certificado de un servidor web.
Exportar un certificado de un servidor webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para exportar un certificado de un servidor web
1. En el equipo donde ha instalado el certificado del sitio web que planea publicar, haga clic en Inicio, haga clic en Ejecutar, escriba mmc en el cuadro de texto Abrir y, a continuación, en Aceptar.
2. En la ventana Console1, haga clic en el menú Archivo y luego en Agregar o quitar complemento.3. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Agregar.4. En el cuadro de diálogo Agregar un complemento independiente, seleccione Certificados y haga clic en Agregar.5. En la página Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.6. En la página Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.
178
7. En el cuadro de diálogo Agregar un complemento independiente, haga clic en Cerrar.8. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.9. En el árbol de la consola, despliegue el nodo Certificados (equipo local), despliegue Personal y haga clic en Certificados.10. Haga clic con el botón secundario en el certificado para el que aparezca el nombre del sitio web en la columna Emitido a del panel de detalles, haga clic en Todas
las tareas y, a continuación, haga clic en Exportar.11. En la página de bienvenida del Asistente para exportación de certificados, haga clic en Siguiente.12. En la página Exportar clave privada, seleccione Exportar la clave privada y haga clic en Siguiente. 13. En la página Formato de archivo de exportación, seleccione Intercambio de información personal. Conserve la configuración predeterminada de las tres casillas
de verificación y haga clic en Siguiente.14. En la página Contraseña, asigne una contraseña para proteger el archivo exportado, confírmela y haga clic en Siguiente.15. En la página Archivo que se va a exportar, especifique un nombre y ubicación para el archivo de exportación, haga clic en Guardar y, a continuación, haga clic en
Siguiente.16. En la página Finalización del Asistente para exportación de certificados, haga clic en Finalizar. Asegúrese de proteger el archivo recién creado porque la
capacidad para utilizar el protocolo SSL depende de este archivo.17. Copie el archivo que ha creado en el equipo Forefront TMG.
Nota:
La opción Exportar la clave privada no está disponible en la página Exportar clave privada del Asistente para exportación de certificados si la clave privada ya se ha exportado a otro equipo o si nunca ha existido en el servidor web. Este certificado no se puede utilizar en el equipo Forefront TMG. Debe solicitar un nuevo certificado de Forefront TMG para este sitio web.
Tras realizar correctamente este procedimiento, puede importar el certificado a un equipo Forefront TMG. Para obtener instrucciones, vea Importar un certificado a un equipo Forefront TMG.
Importar un certificado a un equipo Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Antes de realizar esta tarea, debe exportar el certificado a un archivo desde el servidor web en el que se solicitó e instaló el certificado y debe copiar el archivo en el equipo de Forefront TMG.Para importar un certificado a un equipo Forefront TMG
1. En el equipo Forefront TMG, haga clic en Inicio, haga clic en Ejecutar, escriba mmc el cuadro de texto Abrir y haga clic en Aceptar.2. En la ventana Console1, haga clic en el menú Archivo y luego en Agregar o quitar complemento.3. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Agregar.4. En el cuadro de diálogo Agregar un complemento independiente, seleccione Certificados y haga clic en Agregar.5. En la página Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.6. En la página Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.7. En el cuadro de diálogo Agregar un complemento independiente, haga clic en Cerrar.8. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.9. En el árbol de la consola, despliegue el nodo Certificados (equipo local) y haga clic con el botón secundario en Personal.10. Seleccione Todas las tareas y haga clic en Importar. 11. En la página de bienvenida del Asistente para importación de certificados, haga clic en Siguiente.12. En la página Archivo para importar, busque el archivo creado anteriormente al exportar el certificado y, a continuación, haga clic en Siguiente.13. En la página Contraseña, escriba la contraseña para el archivo y haga clic en Siguiente.
Importante:
La página Contraseña incluye la opción Marcar esta clave como exportable. No seleccione esta opción si desea impedir la exportación de la clave del equipo de Forefront TMG.
14. En la página Almacén de certificados, compruebe que Colocar todos los certificados en el siguiente almacén esté seleccionado, compruebe que Almacén de certificados esté definido en Personal (la configuración predeterminada) y haga clic en Siguiente.
15. En la página Finalización del Asistente para importación de certificados, haga clic en Finalizar.16. Compruebe que el certificado de servidor se ha instalado correctamente mediante los pasos siguientes:
a. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y haga clic en Aceptar.b. En la ventana Console1, haga clic en el menú Archivo y luego en Agregar o quitar complemento.c. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Agregar.d. En el cuadro de diálogo Agregar un complemento independiente, seleccione Certificados y haga clic en Agregar.e. En la página Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.f. En la página Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.g. En el cuadro de diálogo Agregar un complemento independiente, haga clic en Cerrar.h. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.i. En el árbol de consola, despliegue el nodo Certificados (equipo local), despliegue Personal, haga clic en Certificados y haga doble clic en el nuevo
certificado de servidor. En la ficha General, deberá figurar la siguiente nota: Tiene una clave privada correspondiente a este certificado. En la ficha Ruta de certificado, deberá verse una relación jerárquica entre su certificado y la entidad de certificación (CA), así como la siguiente nota: Este certificado es correcto.
j. Cierra la ventana Console1.
Nota:
Una vez realizado correctamente este procedimiento, puede eliminar el certificado del servidor web en que se solicitó e instaló el certificado.
Quitar un certificado de un servidor webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
179
Si desea utilizar otro certificado para el sitio web que va a publicar en el servidor web, tras exportar el certificado desde el servidor web en el que se solicitó el certificado e importar el certificado a un equipo Forefront TMG, debe desasociar el certificado exportado del sitio web en Internet Information Services (IIS). Se recomienda además eliminar el certificado del servidor web. De esta forma, reducirá la posibilidad de que se utilice el certificado en cualquier otra ubicación.Utilice los siguientes procedimientos para eliminar el certificado del servidor web. Estos procedimientos disocian el certificado del sitio web en IIS y eliminan el certificado del equipo.Para disociar el certificado del sitio web en IIS
1. En el servidor web, haga clic en Inicio y, a continuación, seleccione Herramientas administrativas. Haga clic en Administrador de Internet Information Services (IIS).
2. En el Administrador de Internet Information Services (IIS), despliegue Sitios web, haga clic con el botón secundario en el nombre del sitio web correspondiente y luego haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad de directorios. 4. En la ficha Seguridad de directorios, haga clic en el botón Certificado de servidor para iniciar el Asistente para certificados de servidor web.5. En la página Bienvenido al Asistente para certificados de servidor web, haga clic en Siguiente.6. En la página Modificar la asignación de certificados actual, seleccione Quitar el certificado actual y, a continuación, haga clic en Siguiente.7. En la página Quitar un certificado, haga clic en Siguiente.8. En la página Finalización del Asistente para certificados de servidor web, haga clic en Finalizar. 9. Cierre el Administrador de Internet Information Services (IIS).
Para eliminar el certificado del equipo
1. Abra la consola MMC que creó en Instalar un certificado de una entidad de certificación comercial. Para hacerlo, haga clic en Inicio, elija Todos los programas, elija Herramientas administrativas y seleccione LocalComputerCertificates.msc (o el nombre que haya especificado al guardar la configuración de la consola).
2. En el árbol de la consola, despliegue el nodo Certificados (equipo local), despliegue Personal, haga clic en Certificados y haga clic con el botón secundario en el certificado. Haga clic en Eliminar y, a continuación, en Aceptar en el cuadro de diálogo de advertencia.
Solicitar un certificado de una entidad de certificación comercialPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para solicitar un certificado de una entidad de certificación comercial
1. En el equipo que hospeda el sitio web que prevé publicar, haga clic en Inicio y, a continuación, seleccione Herramientas administrativas. Haga clic en Administrador de Internet Information Services (IIS).
2. En el Administrador de Internet Information Services (IIS), despliegue Sitios web, haga clic con el botón secundario en el nombre del sitio web correspondiente y luego haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad de directorios. 4. En la ficha Seguridad de directorios, haga clic en el botón Certificado de servidor para iniciar el Asistente para certificados de servidor web.5. En la página Bienvenido al Asistente para certificados de servidor web, haga clic en Siguiente.6. En la página Certificado de servidor, seleccione Crear un certificado nuevo y luego en Siguiente.7. En la página Solicitud demorada o inmediata, seleccione Preparar la solicitud ahora pero enviarla más tarde y, a continuación, haga clic en Siguiente.8. En la página Nombre y configuración de seguridad, especifique un nombre descriptivo para el sitio. Este nombre no es vital para el funcionamiento del
certificado, así que escoja un nombre fácil de utilizar y recordar.9. En la lista desplegable Longitud en bits, seleccione la longitud en bits de la clave que desea utilizar, indique si desea seleccionar un proveedor de servicios de
cifrado (CSP) para el certificado y, a continuación, haga clic en Siguiente.10. En la página Información de la organización, escriba el nombre de la organización en el cuadro de texto Organización y escriba el nombre de una unidad
organizativa en el cuadro de texto Unidad organizativa. Por ejemplo, si su empresa se llama Fabrikam, Inc. y desea configurar un servidor web para el departamento de ventas, puede escribir Fabrikam para la organización y Ventas para la unidad organizativa. Haga clic en Siguiente.
11. En la página Nombre común de su sitio web, especifique el nombre común (CN) del sitio web en el cuadro de texto Nombre común.
Importante:
En la publicación de web, si se va a exportar el certificado al equipo Forefront TMG, el nombre del certificado debe coincidir con el nombre público utilizado para publicar el sitio web en la regla de publicación de web. Si el certificado va a permanecer en el servidor web, el nombre del certificado debe coincidir con el nombre de host que utiliza Forefront TMG en los mensajes de solicitud HTTP enviados al sitio web. Este nombre es el nombre de sitio interno especificado en la ficha A de la regla de publicación de web.En la publicación de servidor, el certificado debe tener el nombre que utilizarán los usuarios para conectarse al servidor.
12. Haga clic en Siguiente.13. En la página Información geográfica, en País o región, seleccione su país o región de la lista. En Estado o provincia y en Ciudad o localidad, escriba los nombres
correspondientes sin utilizar abreviaturas y, a continuación, haga clic en Siguiente.14. En la página Nombre de archivo de solicitud de certificado, escriba un nombre para el archivo de solicitud de certificado que está a punto de crear. Este archivo
contendrá toda la información incluida en este procedimiento, así como la clave pública del sitio. Con esta opción, se crea un archivo .txt una vez completados los pasos del procedimiento. El nombre predeterminado del archivo es Certreq.txt. Haga clic en Siguiente.
15. En la página Resumen del archivo de solicitud, compruebe que toda la información sea correcta y, a continuación, haga clic en Siguiente.16. En la página Finalización del Asistente para certificados de servidor web, haga clic en Finalizar. 17. Envíe el archivo de solicitud a una entidad de certificación (CA) comercial según las instrucciones proporcionadas por ella. La entidad de certificación genera un
archivo de respuesta de certificado que contiene su clave pública y que está firmada digitalmente por la entidad de certificación comercial. El archivo de respuesta se usa para instalar el certificado.
Nota:
Para enviar el archivo de solicitud a la entidad de certificación comercial, debe obtener acceso al sitio web de la entidad. Es recomendable copiar el archivo de solicitud del servidor web en un equipo con acceso a Internet y enviarlo a continuación a la entidad de acuerdo con sus instrucciones.
También puede permitir la conectividad desde el servidor web a la entidad de certificación comercial si crea una regla acceso de Forefront TMG en los protocolos que usa la entidad de certificación. La regla de acceso debe ser lo más específica posible. Por ejemplo, si necesita acceso con el protocolo HTTP a un conjunto de direcciones URL relacionadas únicamente con el sitio web de la entidad de certificación, cree una regla de permiso de un conjunto de equipos que contenga sólo el servidor web y que permita sólo el tráfico HTTP.
Tras realizar correctamente este procedimiento, la siguiente tarea es instalar el certificado en el servidor web. Para obtener instrucciones, vea Instalar un certificado de una entidad de certificación comercial.
Utilizar certificados comodín
180
Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Al usar Forefront TMG para publicar de forma segura varios sitios web con diferentes nombres de host, puede usar varios certificados de servidor SSL con diferentes nombres en una única escucha de web para el protocolo de enlace SSL con los clientes web. No obstante, cuando se especifican varios certificados de servidor SSL en una única escucha de web, debe asignar cada certificado a una dirección web diferente del equipo de Forefront TMG. Otra forma de publicar de forma segura varios sitios web con diferentes nombres de host es utilizar una única escucha de web, si especifica un certificado comodín en la escucha de web.De forma similar, al publicar varios sitios web con diferentes nombres de host en el mismo servidor web, puede instalar un certificado comodín en el servidor web, que se puede usar para comprobar la identidad del servidor web en el equipo Forefront TMG.En los siguientes temas se proporcionan instrucciones para usar certificados comodines.
Solicitar un certificado comodín
Exportar un certificado comodín a un archivo
Importar un certificado comodín al almacén personal del equipo local
Quitar un certificado comodín de un servidor web
Obtener un certificado en un servidor webSolicitar un certificado comodínPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para solicitar un certificado comodín
1. En el equipo que hospeda uno de los sitios web que prevé publicar, haga clic en Inicio y, a continuación, seleccione Herramientas administrativas. Haga clic en Administrador de Internet Information Services (IIS).
2. En el Administrador de Internet Information Services (IIS), despliegue Sitios web, haga clic con el botón secundario en Sitio web predeterminado y luego en Propiedades.
3. En el cuadro de diálogo Propiedades del sitio web predeterminado, haga clic en la ficha Seguridad de directorios. 4. En la ficha Seguridad de directorios, haga clic en Certificado de servidor.5. En la página Bienvenido al Asistente para certificados de servidor web, haga clic en Siguiente.6. En la página Certificado de servidor, seleccione Crear un certificado nuevo y luego en Siguiente.7. En la página Solicitud demorada o inmediata, seleccione Enviar la solicitud inmediatamente a una entidad de certificación en línea y luego en Siguiente.8. En la página Nombre y configuración de seguridad, deje la configuración predeterminada en el cuadro de texto Nombre y en la lista desplegable Longitud en bits. 9. Haga clic en Siguiente.10. En la página Información de la organización, escriba el nombre de la organización en el cuadro de texto Organización y, a continuación, escriba el nombre de una
unidad organizativa en el cuadro de texto Unidad organizativa.11. Haga clic en Siguiente.12. En la página Nombre común de su sitio web, escriba el nombre que se incluirá en el certificado comodín del dominio. Por ejemplo, si todos los servidores web
que prevé publicar se encuentran en el dominio fabrikam.com, debe crear un certificado comodín para el dominio fabrikam.com. En este caso, escribiría *.fabrikam.com en el cuadro de texto Nombre común.
13. Haga clic en Siguiente.14. En la página Información geográfica, en País o región, seleccione su país o región de la lista. En Estado o provincia y en Ciudad o localidad, escriba los nombres
correspondientes.15. Haga clic en Siguiente.16. En la página Puerto SSL, utilice el valor predeterminado de 443 y haga clic en Siguiente.17. En la página Seleccionar entidad de certificación, utilice la entrada predeterminada, que corresponde a la entidad de certificación del equipo local y luego en
Siguiente.18. Repase la información de la página Envío de solicitud de certificado y luego en Siguiente.19. En la página Finalización del Asistente para certificados de servidor web, haga clic en Finalizar. 20. Deje el cuadro de diálogo Propiedades del sitio web predeterminado abierto de manera que quede listo para el siguiente procedimiento.
Nota:
Tras realizar correctamente este procedimiento, la siguiente tarea es exportar el certificado comodín a un archivo. Para obtener instrucciones, vea Exportar un certificado comodín a un archivo.
Exportar un certificado comodín a un archivoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para exportar un certificado comodín a un archivo
1. En el Administrador de Internet Information Services (IIS), en la ficha Seguridad de directorios del cuadro de diálogo Propiedades del sitio web predeterminado, haga clic en el botón Certificado de servidor.
2. En la página Bienvenido al Asistente para certificados de servidor web, haga clic en Siguiente.3. En la página Modificar la asignación de certificados actual, seleccione Exportar el certificado actual a un archivo .pfx y, a continuación, haga clic en Siguiente.4. En la página Exportar certificado, utilice la ubicación predeterminada del cuadro de texto Ruta de acceso y nombre de archivo y haga clic en Siguiente.5. En la página Contraseña de certificado, especifique una contraseña para proteger la clave privada en el cuadro de texto Contraseña y confírmela en el cuadro de
texto Confirmar contraseña.6. Revise la configuración de la página Resumen de exportación del certificado y, a continuación, haga clic en Siguiente.7. En la página Finalización del Asistente para certificados de servidor web, haga clic en Finalizar.8. En el cuadro de diálogo Propiedades del sitio web predeterminado, haga clic en Aceptar.
Nota:
En este procedimiento, el certificado se exporta a un archivo con su clave privada. Tras realizar correctamente este procedimiento, la siguiente tarea es importar el certificado comodín al equipo de Forefront TMG. Para obtener instrucciones,
vea Importar un certificado comodín al almacén personal del equipo local.
181
Importar un certificado comodín al almacén personal del equipo localPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para importar un certificado comodín al almacén personal del equipo local
1. Copie el archivo que contiene el certificado comodín exportado en el equipo Forefront TMG.2. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y, a continuación, haga clic en Aceptar.3. En la ventana Console1, haga clic en el menú Archivo y luego en Agregar o quitar complemento.4. En el cuadro de diálogo Agregar o quitar complementos, seleccione Certificados y haga clic en Agregar.5. En la página Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.6. En la página Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.7. En el cuadro de diálogo Agregar o quitar complementos, haga clic en Aceptar.8. En el árbol de la consola, despliegue el nodo Certificados (equipo local). Haga clic con el botón secundario en el nodo Personal, seleccione Todas las tareas y
haga clic en Importar.9. En la página de bienvenida del Asistente para importación de certificados, haga clic en Siguiente.10. En la página Archivo para importar, haga clic en Examinar y busque y seleccione el archivo de certificado que ha copiado en el equipo Forefront TMG local.
Haga clic en Siguiente cuando el nombre del archivo seleccionado aparezca en el cuadro de texto Nombre de archivo.11. En la página Contraseña, escriba la contraseña asignada al archivo de certificado en el cuadro de texto Contraseña y, a continuación, seleccione Marcar esta clave
como exportable. 12. En la página Almacén de certificados, compruebe que Colocar todos los certificados en el siguiente almacén esté seleccionado y haga clic en Siguiente.13. En la página Finalización del Asistente para importación de certificados, haga clic en Finalizar.14. En el cuadro de diálogo Asistente para importación de certificados que informa de que la importación ha sido correcta, haga clic en Aceptar.15. En el árbol de la consola, despliegue el nodo Personal y haga clic en Certificados.16. En el panel de detalles, haga doble clic en certificado comodín. En la ficha Ruta de certificado, el nombre de la entidad de certificación (CA) que emitió el
certificado debe aparecer al principio de la lista. Si no hace, reinicie el equipo de Forefront TMG y abra este complemento. Si el nombre de entidad de certificación no aparece en la parte superior de la lista, el certificado de la CA raíz no se instala en el almacén Entidades de certificación raíz de confianza. Como hemos instalado una entidad de certificación de empresa y el equipo de Forefront TMG es miembro del mismo dominio que la entidad de certificación de empresa, el certificado de la entidad de certificación raíz debe agregarse automáticamente al almacén Entidades de certificación raíz de confianza del equipo.
17. Expanda el almacén Entidades de certificación raíz de confianza del equipo. En el panel de detalles, debe aparecer el nombre de la entidad que ha emitido el certificado raíz.
18. Cierre la consola MMC y no guarde los cambios.
Nota:
Una vez haya realizado correctamente este procedimiento, la siguiente tarea consiste en eliminar el certificado raíz del servidor web en el que se obtuvo. Para obtener instrucciones, vea Quitar un certificado comodín de un servidor web.
Quitar un certificado comodín de un servidor webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para quitar un certificado comodín de un servidor web
1. En el servidor web donde se obtuvo el certificado comodín, haga clic en Inicio y, a continuación, seleccione Herramientas administrativas. Haga clic en Administrador de Internet Information Services (IIS).
2. En el Administrador de Internet Information Services (IIS), despliegue Sitios web, haga clic con el botón secundario en Sitio web predeterminado y luego en Propiedades.
3. En el cuadro de diálogo Propiedades del sitio web predeterminado, haga clic en la ficha Seguridad de directorios. 4. En la ficha Seguridad de directorios, haga clic en el botón Certificado de servidor.5. En la página Bienvenido al Asistente para certificados de servidor web, haga clic en Siguiente.6. En la página Modificar la asignación de certificados actual, seleccione Quitar el certificado actual y, a continuación, haga clic en Siguiente.7. En la página Quitar un certificado, haga clic en Siguiente.8. En la página Finalización del Asistente para certificados de servidor web, haga clic en Finalizar. 9. Deje el cuadro de diálogo Propiedades del sitio web predeterminado abierto de manera que quede listo para el siguiente procedimiento.
Nota:
Tras realizar correctamente este procedimiento, la siguiente tarea consiste en obtener un certificado de servidor SSL en cada uno de los servidores web que se publicarán mediante el certificado comodín. Estos certificados se usarán para autenticar los servidores web en Forefront TMG. Para obtener instrucciones, vea Obtener un certificado en un servidor web.
Obtener un certificado en un servidor webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para obtener un certificado en un servidor web
1. Si el cuadro de diálogo Propiedades del sitio web predeterminado está abierto, siga en el paso 4. 2. Haga clic en Inicio y seleccione Herramientas administrativas. Haga clic en Administrador de Internet Information Services (IIS).3. En el Administrador de Internet Information Services (IIS), despliegue Sitios web, haga clic con el botón secundario en Sitio web predeterminado y luego en
Propiedades.4. En el cuadro de diálogo Propiedades del sitio web predeterminado, haga clic en la ficha Seguridad de directorios. 5. En la ficha Seguridad de directorios, haga clic en el botón Certificado de servidor.6. En la página Bienvenido al Asistente para certificados de servidor web, haga clic en Siguiente.7. En la página Certificado de servidor, seleccione Crear un certificado nuevo y luego en Siguiente.8. En la página Solicitud demorada o inmediata, seleccione Enviar la solicitud inmediatamente a una entidad de certificación en línea y luego en Siguiente.9. En la página Nombre y configuración de seguridad, deje la configuración predeterminada en el cuadro de texto Nombre y en la lista desplegable Longitud en bits
y, a continuación, haga clic en Siguiente.
182
10. En la página Información de la organización, escriba el nombre de la organización en el cuadro de texto Organización y el nombre de una unidad organizativa en el cuadro de texto Unidad organizativa y, a continuación, haga clic en Siguiente.
11. En la página Nombre común de su sitio web , escriba el nombre de host que Forefront TMG usa para reenviar solicitudes al servidor web. Este nombre debe incluir el nombre del dominio donde residen todos los servidores web que se van a publicar con el certificado comodín. Por ejemplo, escriba news.fabrikam.com en el cuadro de texto Nombre común.
12. Haga clic en Siguiente.13. En la página Información geográfica, en País o región, seleccione el país o región en la lista. En Estado o provincia y en Ciudad o localidad, escriba los nombres
correspondientes y, a continuación, haga clic en Siguiente.14. En la página Puerto SSL, utilice el valor predeterminado de 443 y haga clic en Siguiente.15. En la página Seleccionar entidad de certificación, utilice la entrada predeterminada, que corresponde a la entidad de certificación del equipo local y luego en
Siguiente.16. Repase la información de la página Envío de solicitud de certificado y luego en Siguiente.17. En la página Finalización del Asistente para certificados de servidor web, haga clic en Finalizar. 18. En el cuadro de diálogo Propiedades del sitio web predeterminado, haga clic en Aceptar.
Nota:
Una vez haya realizado correctamente este procedimiento para cada servidor web, debe crear una escucha de web que actúe en el puerto SSL y que utilice el certificado comodín. A continuación, debe crear una regla de publicación de web que utilice esta escucha de web en cada sitio web.
Configurar la publicación de Outlook Web AccessPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede utilizar Forefront TMG para publicar un servidor Outlook Web Access para que los usuarios puedan tener acceso a sus mensajes de correo electrónico tanto desde los equipos de sus casas como desde cibercafés. Al publicar Outlook Web Access, resulta importante que no se transmitan las credenciales de usuario a través de Internet en texto sin formato, que no se dejen en los equipos cliente y que la conexión entre el equipo Forefront TMG y el servidor de Exchange sea segura, de forma que solo el propietario de un buzón de correo tenga acceso a él.En los siguientes temas se describe cómo configurar la publicación de Outlook Web Access.
Configurar acceso para clientes de Outlook Web Access
Configurar Outlook Web Access con autenticación basada en formularios
Impedir que los datos adjuntos alcancen clientes Outlook Web Access
Para configurar el período de tiempo de espera de sesión inactiva para clientes Outlook Web AccessConfigurar acceso para clientes de Outlook Web AccessPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para configurar el acceso para clientes de Outlook Web Access
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de cliente OWA.
Seguridad de conexión de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP del sitio web, haga clic en Agregar y luego en Aceptar.En una matriz con varios miembros de matriz, seleccione la misma dirección IP virtual para todos los miembro de la matriz si el equilibrio de carga de red está habilitado. De lo contrario, seleccione una dirección IP adecuada para cada miembro de la matriz.
Certificados SSL de escucha
Seleccione Usar un único certificado para esta escucha de web, haga clic en Seleccionar certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para tener acceso al sitio web publicado aparezca en el campo Emitido a.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
Para autenticación HTTP (opción predeterminada), active una o más de las casillas de verificación. Al implementar un grupo de trabajo, sólo se podrá seleccionar Básica.Si desea exigir a los clientes que proporcionen un certificado, en la lista desplegable, seleccione Autenticación de certificados SSL de cliente.Para obtener instrucciones sobre cómo usar Autenticación de formularios HTML, vea Configurar Outlook Web Access con autenticación basada en formularios.
Seleccione la forma en que Forefront TMG validará las credenciales del cliente.
Para autenticación HTTP, si selecciona autenticación básica en la implementación de un grupo de trabajo, podrá seleccionar LDAP (Active Directory) o RADIUS.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
El inicio de sesión único (SSO) sólo está disponible si se utiliza la autenticación basada en formularios.
183
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar. Si aparece un cuadro de mensaje, haga clic en Sí para habilitar la regla de directiva de sistema Permitir todo el tráfico HTTP desde el servidor Forefront TMG hacia todas las redes (para las descargas de CRL).
5. En el panel Tareas, haga clic en la ficha Tareas.6. En la ficha Tareas, haga clic en Publicar acceso de cliente web de Exchange para abrir el Asistente para nueva regla de publicación de Exchange.7. En la siguiente tabla se indica cómo finalizar el Asistente para nueva regla de publicación de Exchange.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de Exchange
Nombre de la regla de publicación de Exchange
Escriba un nombre para la regla de publicación de Exchange. Por ejemplo, escriba Clientes OWA.
Seleccionar Servicios Versión de Exchange Seleccione la versión de Exchange Server que está en ejecución en sus servidores Exchange.
Servicios de correo de cliente de web
Seleccione Outlook Web Access.
Tipo de publicación Seleccione Publicar un único sitio web o equilibrio de carga. Las otras opciones no entran en el ámbito de este procedimiento.
Seguridad de conexión de servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada. Esta opción requiere instalar en cada servidor front-end Exchange un certificado de servidor SSL en el que el nombre de host que Forefront TMG use para contactar con un servidor Exchange aparezca en el campo Emitido a.
Detalles internos de publicación
Nombre interno del sitio Escriba el nombre de host que Forefront TMG va a usar en los mensajes de solicitud HTTP enviados al servidor publicado.Si el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre del equipo la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado y escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver.
Detalles del nombre público Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el nombre de dominio completo (FQDN) o la dirección IP públicos que los usuarios externos utilizarán para obtener acceso al sitio publicado de Outlook Web Access.
Seleccionar escucha de web Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web seleccionada.
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Si ejecuta Exchange Server 2010, Exchange Server 2007 o Exchange Server 2003 en los servidores Exchange, puede seleccionar Delegación limitada de Kerberos. De lo contrario, debe seleccionar una opción diferente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
Si utiliza validación con credenciales de Windows, no cambie la opción predeterminada (Todos los usuarios autenticados). Si utiliza validación RADIUS o LDAP, deberá utilizar un conjunto de usuarios configurado para el espacio de nombres RADIUS o LDAP, respectivamente.
Finalización del Asistente para nueva regla de publicación de Exchange
Revise la configuración y haga clic en Finalizar.
8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local de cada equipo de Forefront TMG de la matriz,un certificado de servidor SSL emitido para el nombre de host público del sitio web publicado. Para obtener más información acerca de la obtención e instalación de los certificados del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.
En la página Direcciones IP de escucha de web del Asistente para nueva escucha de web, también podrá seleccionar Direcciones IP predeterminadas para los adaptadores de red de esta red. Si se ha habilitado Equilibrio de la carga en la red, esta opción seleccionará automáticamente la dirección IP virtual. De lo contrario, se seleccionará automáticamente la dirección IP predeterminada para cada adaptador de red.
Para la autenticación de certificado de cliente SSL, la regla de directiva de sistema Permitir todo el tráfico HTTP desde Forefront TMG hacia todas las redes (para descargas de CRL) debe estar habilitada. Esta regla de directiva de sistema permite a Forefront TMG recibir actualizaciones sobre las listas de revocación de certificados para validar los certificados del cliente.
Si usa validación con credenciales RADIUS, el equipo de Forefront TMG deberá estar registrado como cliente RADIUS en el servidor RADIUS y deberá habilitarse la regla de directiva de sistema RADIUS para permitir el tráfico de RADIUS desde el equipo de Forefront TMG (red host local) a la red interna. Esta regla supone que el servidor RADIUS está ubicado en la red interna.
Si selecciona validación con credenciales RADIUS, LDAP o RADIUS OTP, deberá modificar las propiedades de la escucha de web que haya creado especificando los servidores RADIUS o LDAP a los que se enviarán las consultas de autenticación.
Los usuarios se conectan con Outlook Web Access abriendo una dirección URL que suele tener el formato https://nombre_host/exchange. Es posible que tenga que modificar las asignaciones entre las rutas de acceso especificadas por los usuarios y las rutas internas en la ficha Rutas de acceso de las propiedades de su regla de publicación de web.
Para obtener más información acerca de otra configuración en las reglas de publicación web, vea Planeación de publicación.
184
Configurar Outlook Web Access con autenticación basada en formulariosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para configurar Outlook Web Access con autenticación basada en formularios
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha basada en formularios OWA.
Seguridad de conexión de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP del sitio web, haga clic en Agregar y luego en Aceptar.
Certificados SSL de escucha
Seleccione Usar un único certificado para esta escucha de web, haga clic en Seleccionar certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para tener acceso al sitio web publicado aparezca en el campo Emitido a.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
En la lista desplegable, seleccione Autenticación de formularios HTML.Para obtener instrucciones acerca de cómo utilizar la autenticación de HTTP (la opción predeterminada) o Autenticación de certificados SSL de cliente, vea Configurar acceso para clientes de Outlook Web Access.
Recopile otras credenciales de delegación en el formulario.Esta casilla de verificación aparece sólo si se ha seleccionado Autenticación de formularios HTML.
Active esta casilla solo si piensa seleccionar OTP de RADIUS o SecurID.
Seleccione la forma en que Forefront TMG validará las credenciales del cliente.
Seleccione una de las opciones disponibles. Si se trata de una implementación de grupo de trabajo, solo puede utilizar RADIUS, LDAP (Active Directory), RADIUS OTP o SecurID.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
Si habilita el inicio de sesión único (SSO), deberá hacer clic en Agregar y, a continuación, especificar un dominio dentro del cual se aplicará el inicio de sesión único.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar. Si aparece un cuadro de mensaje, haga clic en Sí para habilitar la regla de directiva de sistema Permitir todo el tráfico HTTP desde el servidor Forefront TMG hacia todas las redes (para las descargas de CRL).
5. En el panel Tareas, haga clic en la ficha Tareas.6. En la ficha Tareas, haga clic en Publicar acceso de cliente web de Exchange para abrir el Asistente para nueva regla de publicación de Exchange.7. En la siguiente tabla se indica cómo finalizar el Asistente para nueva regla de publicación de Exchange.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de Exchange
Nombre de la regla de publicación de Exchange
Escriba un nombre para la regla de publicación de Exchange. Por ejemplo, escriba Basado en formularios OWA.
Seleccionar Servicios Versión de Exchange Seleccione la versión de Exchange Server que está en ejecución en sus servidores Exchange.
Servicios de correo de cliente de web
Seleccione Outlook Web Access.
Tipo de publicación Seleccione Publicar un único sitio web o equilibrio de carga. Las otras opciones no entran en el ámbito de este procedimiento.
Seguridad de conexión de servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada. Esta opción requiere instalar en cada servidor front-end Exchange un certificado de servidor SSL en el que el nombre de host que Forefront TMG use para ponerse en contacto con un servidor Exchange aparezca en el campo Emitido a.
Detalles internos de publicación
Nombre interno del sitio Escriba el nombre de host que Forefront TMG va a usar en los mensajes de solicitud HTTP enviados al servidor publicado.Si el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre del equipo la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado y escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver.
185
Detalles del nombre público Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el FQDN o la dirección IP públicos que los usuarios externos utilizarán para obtener acceso al sitio publicado de Outlook Web Access.
Seleccionar escucha de web Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web seleccionada.
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Autenticación básica.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
Si utiliza validación con credenciales de Windows, no cambie la opción predeterminada (Todos los usuarios autenticados). Si utiliza validación RADIUS o LDAP, deberá utilizar un conjunto de usuarios configurado para el espacio de nombres RADIUS o LDAP, respectivamente.
Finalización del Asistente para nueva regla de publicación de Exchange
Revise la configuración y haga clic en Finalizar.
8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local del equipo de Forefront TMG un certificado de servidor SSL emitido para el nombre de host público del sitio web publicado. Para obtener más información acerca de la obtención e instalación de los certificados del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.
En la página Direcciones IP de escucha de web del Asistente para nueva escucha de web, también podrá seleccionar Direcciones IP predeterminadas para los adaptadores de red de esta red. Si se ha habilitado Equilibrio de la carga en la red, esta opción seleccionará automáticamente la dirección IP virtual. De lo contrario, se seleccionará automáticamente la dirección IP predeterminada para cada adaptador de red.
Si desea que los usuarios presenten un certificado de cliente SSL, habilite la regla de directiva de sistema Permitir todo el tráfico HTTP desde Forefront TMG hacia todas las redes (para las descargas de CRL). Esta regla de directiva de sistema permite a Forefront TMG recibir actualizaciones sobre las listas de revocación de certificados para validar los certificados del cliente.
La autenticación basada en formularios se puede habilitar en el equipo de Forefront TMG o en el servidor Exchange, pero no en ambos. Este procedimiento hace referencia a la autenticación basada en formularios en el equipo de Forefront TMG, no en los servidores Exchange.
En la autenticación basada en formularios, se desvía el usuario a un formulario HTML. Una vez que el usuario ha proporcionado sus credenciales en el formulario y se han validado dichas credenciales, el sistema emite una cookie que contiene un vale. En las posteriores solicitudes, el sistema primero comprueba la cookie para ver si el usuario ya estaba autenticado y, si es así, el usuario no tendrá que volver a escribir las credenciales.
Si usa la validación con credenciales RADIUS, el equipo de Forefront TMG deberá estar registrado como cliente RADIUS en el servidor RADIUS y la regla de directiva de sistema RADIUS deberá estar habilitada para permitir el tráfico de RADIUS desde el equipo de Forefront TMG (red de host local) a la red interna. Esta regla supone que el servidor RADIUS está ubicado en la red interna.
Si selecciona validación con credenciales RADIUS, LDAP o RADIUS OTP, deberá modificar las propiedades de la escucha de web que haya creado especificando los servidores RADIUS o LDAP a los que se enviarán las consultas de autenticación.
Los usuarios se conectan con Outlook Web Access abriendo una dirección URL que suele tener el formato https://nombre_host/exchange. Es posible que tenga que modificar las asignaciones entre las rutas de acceso especificadas por los usuarios y las rutas internas en la ficha Rutas de acceso de las propiedades de su regla de publicación de web.
En la autenticación basada en formularios y la autenticación básica, las credenciales enviadas al equipo de Forefront TMG se pueden delegar al servidor publicado.
Para obtener más información acerca de otra configuración en las reglas de publicación de web, vea Planeación de publicación. Después de completar esta tarea, vea Impedir que los datos adjuntos alcancen clientes Outlook Web Access.
Impedir que los datos adjuntos alcancen clientes Outlook Web AccessPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Antes de efectuar esta tarea, deberá contar con una regla de publicación de web que utilice autenticación basada en formularios para Outlook Web Access.Para impedir que los datos adjuntos alcancen a los clientes Outlook Web Access
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, seleccione la regla de publicación de web aplicable que utilice autenticación basada en formularios HTML para Outlook Web Access.3. En la ficha Tareas, haga clic en Editar regla seleccionada.4. En la ficha Configuración de la aplicación, en la sección Publicación de bloqueo de datos adjuntos de Exchange, seleccione Equipos públicos o Equipos privados
(o ambas opciones) y, a continuación, haga clic en Aceptar.5. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Dado que, en general, Outlook Web Access se utiliza desde equipos públicos, probablemente desee controlar la capacidad del usuario para ver y guardar archivos adjuntos, de manera que la información privada de la empresa no se almacene en la caché ni se guarde en ningún equipo público.
Los ajustes descritos en este procedimiento impiden a los usuarios abrir y guardar adjuntos haciendo clic en vínculos en sus exploradores web. Seguirá indicándose la presencia de datos adjuntos en mensajes de correo electrónico, y los datos adjuntos permanecerán en el buzón de correo del usuario hasta que éste elimine el mensaje.
Si usa Exchange Server 2003, Exchange Server 2007 o Exchange Server 2010, se recomienda configurar el bloqueo de datos adjuntos en el servidor Exchange en lugar de hacerlo en Forefront TMG.
Para configurar el período de tiempo de espera de sesión inactiva para clientes Outlook Web Access
186
Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Antes de efectuar esta tarea, deberá contar con una escucha de web que utilice autenticación basada en formularios para Outlook Web Access.Para configurar el período de tiempo de espera de sesión inactiva para clientes Outlook Web Access
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, expanda Escuchas de web y seleccione la escucha de web pertinente.4. En la barra de herramientas ubicada debajo de Objetos de red, haga clic en Editar.5. En la ficha Formularios, haga clic en Opciones avanzadas.6. En Configuración de seguridad del cliente, seleccione Considerar como duración máxima de la sesión.7. En Tiempo de espera para equipos públicos (minutos), establezca el tiempo máximo que los usuarios pueden permanecer inactivos en equipos públicos antes de
que se les desconecte.8. En Tiempo de espera para equipos privados (minutos), establezca el tiempo máximo que los usuarios pueden permanecer inactivos en equipos privados
confiables antes de que se les desconecte.9. Haga clic en Aceptar para cerrar Opciones de formularios avanzadas y, a continuación, haga clic en Aceptar de nuevo para cerrar las propiedades de la escucha
de web.10. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
De forma predeterminada, el período de tiempo de espera de sesión en equipos públicos es de 10 minutos, y su intervalo de valores permitidos es entre 1 y 9.999 minutos.
De forma predeterminada, el período de tiempo de espera de sesión en equipos privados confiables de 360 minutos, y su intervalo de valores permitidos es entre 1 y 9.999 minutos.
Normalmente, se suele configurar un período de tiempo de espera inactivo de sesión más breve en equipos públicos que en equipos privados, para así reducir el riesgo de que una tercera persona pueda obtener acceso al correo electrónico de un usuario, en caso de que el usuario abandone el equipo público sin cerrar sesión.
Configurar la característica Cambiar contraseñaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Configurar la característica Cambiar contraseña
La característica Cambiar contraseña se admite cuando los clientes facilitan credenciales mediante la utilización de autenticación basada en formularios e Forefront TMG autentica clientes utilizando uno de los métodos siguientes:
Autenticación con validación de las credenciales del cliente mediante Active Directory en un controlador de dominio.
Autenticación con validación de credenciales de cliente mediante un servidor LDAP.Tenga en cuenta que tanto Active Directory como un servidor LDAP utilizan el protocolo LDAP para la comunicación. Antes de configurar esta característica, compruebe lo siguiente:
La conexión al servidor LDAP o Active Directory del controlador de dominio debe efectuarse a través de LDAP seguro (LDAPS). Para utilizar una conexión LDAP segura, es necesario que se encuentre instalado en el controlador de dominio un certificado de servidor. El nombre común del certificado debe coincidir con el nombre de dominio completo (FQDN) que especifica para el servidor de autenticación.
El equipo de Forefront TMG debe tener el certificado raíz de la entidad de certificación (CA) que emite el certificado de servidor en el almacén de entidades de certificación raíz de confianza para el equipo local.
Si utiliza autenticación LDAP, debe crear un servidor LDAP que contenga los servidores LDAP que se utilizarán para autenticar usuarios. Configure los siguientes ajustes para el conjunto de servidores LDAP:
Habilite la conexión al servidor LDAP a través de una conexión segura.
Indique un FQDN para el nombre del servidor LDAP. Asegúrese de que el FQDN coincide con el nombre común especificado en el certificado de servidor instalado en el servidor LDAP (controlador de dominio).
Deshabilite la realización de consultas del catálogo global (GC).
Indique el dominio en el que pueden identificarse cuentas de usuario e indique los detalles de una cuenta que se utilizará para enlazar al servidor LDAP y para realizar consultas sobre las credenciales de los usuarios conectados.
Para enlazar al servidor de autenticación y comprobar el nombre de usuario y el estado de la contraseña es necesaria una cuenta. En el caso de autenticación de dominio, debe ser una cuenta con los privilegios necesarios para realizar modificaciones en Active Directory.
Para crear un conjunto de servidores LDAP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En la ficha Tareas, haga clic en Configurar servidor de autenticación. 3. En la ficha Servidores LDAP, haga clic en Agregar para abrir el cuadro de diálogo Agregar conjunto de servidores LDAP. 4. Indique un nombre para el conjunto de servidores LDAP. 5. Haga clic en Agregar para agregar cada nombre de servidor LDAP, descripción y período de tiempo de espera. El período de tiempo de espera es el tiempo, en
segundos, durante el que Forefront TMG intentará obtener respuestas desde un servidor LDAP antes de intentarlo con el siguiente servidor LDAP de la lista. Tenga en cuenta que es posible modificar el orden en el que se tiene acceso a los servidores utilizando las teclas FLECHA ARRIBA y FLECHA ABAJO.
6. En Dominio, indique el nombre de dominio completo (FQDN) para Active Directory. Tenga en cuenta que éste es el dominio en el que se definen las cuentas de usuario y no el dominio al que Forefront TMG está unido.
7. Seleccionar Utilizar catálogo global provoca que sea necesario consultar el catálogo global del servidor LDAP. 8. Seleccione Conectar los servidores LDAP a través de una conexión segura si desea cifrar la comunicación LDAP (utilizar el protocolo LDAPS). 9. Es posible indicar las credenciales utilizadas para conectar a Active Directory para la comprobación del estado de la cuenta de usuario y la modificación de
contraseñas de cuenta. De esta forma dispondrá de funciones de administración de contraseñas, para la autenticación de formularios HTML. 10. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar conjunto de servidores LDAP. 11. En Expresión de inicio de sesión, haga clic en Nuevo para agregar una expresión de inicio de sesión. Una expresión de inicio de sesión permite asignar un
conjunto de servidores LDAP a un grupo de usuarios concreto. Por ejemplo, es posible asignar un conjunto de servidores LDAP a los usuarios FABRIKAM\*, y
187
otro conjunto de servidores LDAP a los usuarios CONTOSO\*. Forefront TMG intenta coincidir con las expresiones de inicio de sesión en el orden mostrado. Es posible cambiar el orden utilizando las teclas FLECHA ARRIBA y FLECHA ABAJO.
12. Haga clic en Cerrar.13. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Para obtener información acerca de la autenticación en el Forefront TMG, vea Información general de autenticación en Forefront TMG. Al configurar Forefront TMG para autenticación LDAP, la configuración de los servidores LDAP se aplica a todas las reglas u objetos de red que usan la
autenticación LDAP.
Configuración de escucha de web para cambio de contraseña
Para la escucha de web asociada con una regla de publicación Outlook Web Access que utilice autenticación basada en formularios, utilice el siguiente procedimiento para permitir a los usuarios cambiar su contraseña. Para configurar una escucha de web para cambio de contraseña
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla de publicación Outlook Web Access correspondiente. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Escucha, haga clic en Propiedades. O, si lo desea, puede seleccionar primero una escucha de web diferente en la lista desplegable, o hacer clic en
Nuevo para crear una escucha de web nueva para esta regla.5. En la ficha Autenticación, compruebe que está seleccionado Autenticación de formularios HTML.6. En la ficha Formularios, realice una de las acciones siguientes.
a. Seleccione Usar formularios HTML personalizados en lugar del predeterminado.b. En Escriba el directorio del conjunto de formularios HTML personalizados, escriba únicamente el nombre del directorio, como por ejemplo
MisFormularios, en lugar de la ruta completa. c. En la lista desplegable Mostrar el formulario HTML en este idioma, seleccione el idioma que desee. Por ejemplo, para asegurarse de que se muestran
los formularios sólo en inglés, seleccione English [en].d. Seleccione Permitir a los usuarios cambiar sus contraseñas.e. Seleccione Recordar a los usuarios que su contraseña expirará en este número de días: y, a continuación, seleccione el número de días pertinente.
7. Haga clic en Aceptar y, a continuación, en Aceptar de nuevo para cerrar los cuadros de diálogo.8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Tras configurar correctamente la escucha de web para la regla de publicación Outlook Web Access, se avisará a los usuarios conectados mediante la autenticación basada en formularios si su contraseña está a punto de expirar, y tendrán la posibilidad de cambiar su contraseña antes y después de que caduque.Configurar publicación de Outlook Mobile AccessPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Outlook Mobile Access es una característica de Microsoft Exchange 2003 que permite a los usuarios tener acceso a los buzones de los servidores Exchange desde dispositivos móviles.Para configurar la publicación de Outlook Mobile Access
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de Exchange
Nombre de la regla de publicación de Exchange
Escriba un nombre para la regla de publicación de Exchange. Por ejemplo, escriba Clientes OMA.
Seleccionar Servicios Versión de Exchange Seleccione Exchange Server 2003.
Servicios de correo de cliente de web
Seleccione Outlook Mobile Access.
Tipo de publicación Seleccione Publicar un único sitio web o equilibrio de carga. Las otras opciones no entran en el ámbito de este procedimiento.
Seguridad de conexión de servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada. Esta opción requiere la instalación en todos los servidores Exchange cliente de un certificado de servidor SSL para el que el nombre de host especificado como nombre interno del sitio se muestra en el campo Emitido a.
Detalles internos de publicación
Nombre interno del sitio Escriba el nombre de host que Forefront TMG va a usar en los mensajes de solicitud HTTP enviados al servidor publicado.Si el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre del equipo la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado y escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver.
Detalles del nombre público Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el nombre de dominio completo (FQDN) o la dirección IP públicos que los usuarios externos utilizarán para obtener acceso al sitio publicado de Outlook Mobile Access.
Seleccionar escucha de web Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web seleccionada.
188
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Autenticación básica.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
Si utiliza validación con credenciales de Windows, no cambie la opción predeterminada (Todos los usuarios autenticados). Si selecciona validación con RADIUS, LDAP o SecurID, deberá utilizar un conjunto de usuarios configurado para el espacio de nombres correspondiente.
Finalización del Asistente para nueva regla de publicación de Exchange
Revise la configuración y haga clic en Finalizar.
1. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha OMA.
Seguridad de conexión de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP del sitio web, haga clic en Agregar y luego en Aceptar.
Certificados SSL de escucha
Seleccione Usar un único certificado para esta escucha de web, haga clic en Seleccionar certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para tener acceso al sitio web publicado aparezca en el campo Emitido a.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
En la lista desplegable, seleccione Autenticación de formularios HTML.
Recopile otras credenciales de delegación en el formulario.
Deje esta casilla de verificación desactivada.
Seleccione la forma en que Forefront TMG validará las credenciales del cliente.
Si Forefront TMG se implementa en un dominio, seleccione Windows (Active Directory). Si se trata de una implementación de grupo de trabajo, puede seleccionar LDAP (Active Directory), RADIUS, RADIUS OTP o SecurID.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
Deje esta casilla de verificación desactivada.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
2. En el panel de tareas, haga clic en la ficha Tareas.3. En la ficha Tareas, haga clic en Publicar acceso de cliente web de Exchange para abrir el Asistente para nueva regla de publicación de Exchange.4. En la siguiente tabla se indica cómo finalizar el Asistente para nueva regla de publicación de Exchange.5. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local del equipo de Forefront TMG un certificado de servidor SSL emitido para el nombre de host del sitio web publicado. Para obtener más información acerca de la obtención e instalación de un certificado del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.
En la página Direcciones IP de escucha de web del Asistente para nueva escucha de web, también podrá seleccionar Direcciones IP predeterminadas para los adaptadores de red de esta red. Si se ha habilitado Equilibrio de la carga en la red, esta opción seleccionará automáticamente la dirección IP virtual. De lo contrario, se seleccionará automáticamente la dirección IP predeterminada para cada adaptador de red.
Si usa la validación con credenciales RADIUS, el equipo de Forefront TMG deberá estar registrado como cliente RADIUS en el servidor RADIUS, y la regla de directiva de sistema RADIUS deberá estar habilitada para permitir el tráfico de RADIUS desde el equipo de Forefront TMG (red de host local) a la red interna. Esta regla supone que el servidor RADIUS está ubicado en la red interna.
Si selecciona validación con credenciales RADIUS, LDAP o RADIUS OTP, deberá modificar las propiedades de la escucha de web que haya creado especificando los servidores RADIUS o LDAP a los que se enviarán las consultas de autenticación.
Outlook Mobile Access sólo es compatible con Exchange Server 2003. Para Exchange Server 2007, configure Exchange ActiveSync. Outlook Mobile Access se puede utilizar con cualquier dispositivo que tenga acceso a Internet. Forefront TMG usa el encabezado User-Agent en las solicitudes de clientes para determinar el formulario HTML que se usará en la respuesta devuelta al
explorador web. Se admiten los tipos de formularios HTML 4.01, XHTML-MP y cHTML. Si el encabezado User-Agent de la solicitud no está asignado a un formato, Forefront TMG volverá a la autenticación básica.
Los usuarios se conectan con Outlook Mobile Access abriendo una dirección URL que suele tener el formato https://nombre_host/oma. Es posible que tenga que modificar las asignaciones entre las rutas de acceso especificadas por los usuarios y las rutas internas en la ficha Rutas de acceso de las propiedades de su regla de publicación de web.
Para obtener más información acerca de otra configuración en las reglas de publicación web, vea Planeación de publicación.
Configurar la publicación de ActiveSyncPublicada: noviembre de 2009
189
Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Exchange ActiveSync permite a los usuarios obtener acceso a sus buzones de Exchange desde dispositivos basados en Microsoft Windows Mobile®, como Windows Mobile 2003 Software for Pocket PC, incluido Pocket PC Phone Edition, y Windows Mobile 2003 Software for Smartphone de forma muy segura. Los usuarios pueden sincronizar los mensajes de correo electrónico, las citas, la información de contacto y las tareas en sus buzones, y utilizar esta información cuando el dispositivo móvil no tiene conexión. Al usar Exchange Server 2007 o Exchange Server 2010, puede autenticar una conexión de ActiveSync mediante la autenticación basada en certificados de cliente. Forefront TMG admite la delegación limitada de Kerberos, que permite a Forefront TMG autenticar una conexión de cliente con un certificado de cliente y obtener un vale Kerberos. Este vale se puede presentar al servidor web publicado, que acepta el vale Kerberos en lugar de credenciales de cliente. Para configurar la publicación de ActiveSync
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de ActiveSync.
Seguridad de conexión de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP del sitio web, haga clic en Agregar y luego en Aceptar.
Certificados SSL de escucha Seleccione Usar un único certificado para esta escucha de web, haga clic en Seleccionar certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para tener acceso al sitio web publicado aparezca en el campo Emitido a.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
En la lista desplegable, seleccione Autenticación de formularios HTML. Si desea utilizar la delegación limitada de Kerberos, seleccione Autenticación de certificados SSL de cliente.
Recopile otras credenciales de delegación en el formulario.
Deje esta casilla de verificación desactivada.
Seleccione la forma en que Forefront TMG validará las credenciales del cliente.
Si Forefront TMG se implementa en un dominio, seleccione Windows (Active Directory). Si se trata de una implementación de grupo de trabajo, puede seleccionar LDAP (Active Directory), RADIUS, RADIUS OTP o SecurID.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
Deje esta casilla de verificación desactivada.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
5. En el panel Tareas, haga clic en la ficha Tareas.6. En la ficha Tareas, haga clic en Publicar acceso de cliente web de Exchange para abrir el Asistente para nueva regla de publicación de Exchange.7. En la siguiente tabla se indica cómo finalizar el Asistente para nueva regla de publicación de Exchange.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de Exchange
Nombre de la regla de publicación de Exchange
Escriba un nombre para la regla de publicación de Exchange. Por ejemplo, escriba Clientes de ActiveSync.
Seleccionar Servicios Versión de Exchange Seleccione Exchange Server 2003, Exchange Server 2007 o Exchange Server 2010.
Servicios de correo de cliente de web
Seleccione Exchange ActiveSync.
Tipo de publicación Seleccione Publicar un único sitio web o equilibrio de carga. Las otras opciones no entran en el ámbito de este procedimiento.
Seguridad de conexión de servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada. Esta opción requiere la instalación en todos los servidores Exchange cliente de un certificado de servidor SSL para el que el nombre de host especificado como nombre interno del sitio se muestra en el campo Emitido a.
Detalles internos de publicación
Nombre interno del sitio Escriba el nombre de host que Forefront TMG va a usar en los mensajes de solicitud HTTP enviados al servidor publicado.Si el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre del equipo la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado y escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver.
190
Detalles del nombre público Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el nombre de dominio completo (FQDN) o la dirección IP públicos que los usuarios externos utilizarán para obtener acceso al sitio publicado de Exchange ActiveSync.
Seleccionar escucha de web Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web seleccionada.
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Para la autenticación basada en formularios, seleccione Autenticación básica. Para la autenticación basada en certificado de cliente SSL, seleccione Delegación limitada de Kerberos.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
Si utiliza validación con credenciales de Windows, no cambie la opción predeterminada (Todos los usuarios autenticados). Si selecciona validación con RADIUS, LDAP o SecurID, deberá utilizar un conjunto de usuarios configurado para el espacio de nombres correspondiente.
Finalización del Asistente para nueva regla de publicación de Exchange
Revise la configuración y haga clic en Finalizar.
8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Al publicar a través de SSL, deberá instalarse en el almacén personal correspondiente al equipo local del equipo de Forefront TMG un certificado de servidor SSL emitido para el nombre de host del sitio web publicado. Para obtener más información acerca de la obtención e instalación de un certificado del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.
En la página Direcciones IP de escucha de web del Asistente para nueva escucha de web, también podrá seleccionar Direcciones IP predeterminadas para los adaptadores de red de esta red. Si se ha habilitado Equilibrio de la carga en la red, esta opción seleccionará automáticamente la dirección IP virtual. De lo contrario, se seleccionará automáticamente la dirección IP predeterminada para cada adaptador de red.
Si usa la validación con credenciales RADIUS, el equipo de Forefront TMG deberá estar registrado como cliente RADIUS en el servidor RADIUS, y la regla de directiva de sistema RADIUS deberá estar habilitada para permitir el tráfico de RADIUS desde el equipo de Forefront TMG (red de host local) a la red interna. Esta regla supone que el servidor RADIUS está ubicado en la red interna.
Si selecciona validación con credenciales RADIUS, LDAP o RADIUS OTP, deberá modificar las propiedades de la escucha de web que haya creado especificando los servidores RADIUS o LDAP a los que se enviarán las consultas de autenticación.
Exchange ActiveSync sólo es compatible con Exchange Server 2003 y Exchange Server 2007. Exchange ActiveSync permite a los usuarios sincronizar de forma muy segura sus buzones de Exchange desde dispositivos basados en Microsoft Windows
Mobile, como Windows Mobile 2003 Software for Pocket PC, incluido Pocket PC Phone Edition, y Windows Mobile 2003 Software for Smartphone. Forefront TMG usa el encabezado User-Agent en las solicitudes de clientes para determinar el formulario HTML que se usará en la respuesta devuelta al
explorador web. Se admiten los tipos de formularios HTML 4.01, XHTML-MP y cHTML. Si el encabezado User-Agent de la solicitud no está asignado a un formato, Forefront TMG volverá a la autenticación básica.
Para conectarse con Exchange ActiveSync, los usuarios abren una dirección URL que suele tener el formato https://nombre_host/Microsoft-Server-ActiveSync. Es posible que tenga que modificar las asignaciones entre las rutas de acceso especificadas por los usuarios y las rutas internas en la ficha Rutas de acceso de las propiedades de su regla de publicación de web.
Para obtener más información acerca de otra configuración en las reglas de publicación web, vea Planeación de publicación.
Configurar publicación de SharePointPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Cuando los sitios de Microsoft Office SharePoint Server se exponen a los usuarios de Internet, Forefront TMG puede ayudar a que estos sitios estén disponibles a los usuarios externos sin sacrificar la seguridad de la red de su organización. Forefront TMG protege el contenido interno al interceptar las solicitudes entrantes para servidores web y al responder en su nombre.Para configurar la publicación de SharePoint
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, haga clic en la ficha Herramientas.3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.4. En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de SharePoint.
Seguridad de conexión de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP del sitio de SharePoint, haga clic en Agregar y luego en Aceptar.
Certificados SSL de escucha Seleccione Usar un único certificado para esta escucha de web, haga clic en Seleccionar certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para tener acceso al sitio publicado de SharePoint aparezca en el campo
191
Emitido a.
Valores de autenticación Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.
Seleccione Autenticación HTTP (la opción predeterminada)Seleccione Básica.Si Forefront TMG está implementado en un dominio, también puede seleccionar Integrada. Al implementar un grupo de trabajo, sólo se podrá seleccionar Básica.
Seleccione la forma en que Forefront TMG validará las credenciales del cliente.
Si ha seleccionado la autenticación básica e Forefront TMG está implementado en un dominio, seleccione Windows (Active Directory).Si ha seleccionado la autenticación básica en una implementación de grupo de trabajo, podrá seleccionar LDAP (Active Directory) o RADIUS.
Configuración de inicio de sesión único
Habilitar SSO para sitios web publicados con esta escucha
El inicio de sesión único (SSO) sólo está disponible si se utiliza la autenticación basada en formularios.
Finalización del Asistente para nueva escucha de web
Revise la configuración y haga clic en Finalizar.
5. En el panel Tareas, haga clic en la ficha Tareas.6. En la ficha Tareas, haga clic en Publicar sitios de SharePoint para abrir el Asistente para nueva regla de publicación de SharePoint.7. En la siguiente tabla se indica cómo completar el Asistente para nueva regla de publicación de SharePoint.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de SharePoint
Nombre de regla de publicación de SharePoint
Escriba un nombre para la regla de publicación de SharePoint. Por ejemplo, escriba SharePoint.
Seleccionar acción de regla Acción Permitir
Tipo de publicación Seleccione Publicar un único sitio web o equilibrio de carga. Si desea seleccionar Publicar una granja de servidores web con equilibrio de carga, debe crear una granja de servidores SharePoint.
Seguridad de conexión de servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada. Esta opción requiere la instalación en cada servidor SharePoint de un certificado de servidor SSL en el que el nombre de host indicado en el encabezado de host que utiliza el Forefront TMG para ponerse en contacto con un servidor SharePoint aparezca en el campo Emitido a.
Detalles internos de publicación Nombre interno del sitio Escriba el nombre de host que utilizan los usuarios internos en una dirección URL para tener acceso al sitio de SharePoint.Si va a publicar un solo servidor SharePoint y el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre del equipo o la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado; a continuación, escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver.
Detalles del nombre público Aceptar solicitudes para Seleccione Este nombre de dominio (escríbalo a continuación).
Nombre público Escriba el nombre de dominio completo (FQDN) o la dirección IP públicos que los usuarios externos utilizarán para obtener acceso al sitio publicado de SharePoint.
Seleccionar escucha de web Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A continuación, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web seleccionada.
Delegación de autenticación Seleccione el método utilizado por Forefront TMG para autenticar el servidor web publicado.
Seleccione Autenticación básica.
Configuración de asignación de acceso alternativa
Seleccione la opción correspondiente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios
No cambie el valor predeterminado Todos los usuarios autenticados.
Finalización del Asistente para nueva regla de publicación de SharePoint
Revise la configuración y haga clic en Finalizar.
8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Para las conexiones SSL entre los usuarios e Forefront TMG, en el almacén Personal del equipo local en cada equipo de Forefront TMG de la matriz se debe instalar un certificado de servidor SSL que se ha emitido para el nombre de host del sitio SharePoint publicado. Para obtener más información acerca de la obtención e instalación de un certificado del servidor SSL, vea Configurar certificados de servidor para la publicación de web segura.
192
En la página Direcciones IP de escucha de web del Asistente para nueva escucha de web, también podrá seleccionar Direcciones IP predeterminadas para los adaptadores de red de esta red. Si se ha habilitado Equilibrio de la carga en la red, esta opción seleccionará automáticamente la dirección IP virtual. De lo contrario, se seleccionará automáticamente la dirección IP predeterminada para cada adaptador de red.
Si configura la autenticación integrada en el Forefront TMG, no podrá tener la autenticación integrada en el servidor SharePoint. Con la autenticación básica, puede disponer de autenticación en el equipo de Forefront TMG y en el servidor SharePoint.
Si usa la validación con credenciales RADIUS, el equipo de Forefront TMG deberá estar registrado como cliente RADIUS en el servidor RADIUS, y la regla de directiva de sistema RADIUS deberá estar habilitada para permitir el tráfico de RADIUS desde el equipo de Forefront TMG (red de host local) a la red interna. Esta regla supone que el servidor RADIUS está ubicado en la red interna.
Si selecciona la validación con credenciales RADIUS o LDAP, deberá editar las propiedades de la escucha de web que haya creado especificando los servidores RADIUS o LDAP a los que se enviarán las consultas de autenticación.
Forefront TMG trata las granjas de servidores de un dispositivo de equilibrio de carga como un solo servidor. Aunque esta opción se admite para la publicación de una granja de equilibrio de carga, se recomienda usar la compatibilidad de equilibrio de carga integrada mediante una granja de servidores creada en Forefront TMG, en lugar de un dispositivo equilibrio de carga. La publicación de Forefront TMG para las granjas de servidores proporciona una mejor afinidad de clientes, que se puede configurar para funcionar con una cookie, en vez de depender de la dirección IP de cliente. Esto supone una clara ventaja en situaciones donde un dispositivo situado entre el dispositivo de equilibrio de carga e Forefront TMG (por ejemplo, un dispositivo NAT) oculta la dirección IP de cliente.
El Asistente para nueva regla de publicación de SharePoint configura la nueva regla de publicación de web para que envíe el encabezado de host original en lugar del encabezado de host correspondiente al nombre o la dirección IP especificados en el campo Nombre interno del sitio.
Para obtener información acerca de cómo configurar la asignación de acceso alternativa, vea Configurar asignaciones de acceso alternativas en un servidor de SharePoint.
Para obtener más información acerca de otra configuración en las reglas de publicación de web, vea Planeación de publicación.
Configurar asignaciones de acceso alternativas en un servidor de SharePointPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En Microsoft Office SharePoint Server 2007, cada aplicación web puede asociarse a una colección de asignaciones entre direcciones URL públicas e internas. Las direcciones URL internas y públicas consisten en el protocolo y la porción de dominio de la dirección URL completa (por ejemplo, https://www.fabrikam.com). Una dirección URL pública es lo que los usuarios escriben para obtener el sitio de SharePoint y dicha dirección URL es lo que aparece en los vínculos de las páginas. Las direcciones URL internas se encuentran en las solicitudes de direcciones URL que se envían al sitio de SharePoint. Es posible asociar varias direcciones URL internas a una única dirección URL pública en granjas de varios servidores (por ejemplo, cuando un equilibrio de carga enruta solicitudes a direcciones IP concretas a diversos servidores del clúster de equilibrio de carga).Cada aplicación web admite cinco colecciones de asignaciones por dirección URL; las cinco colecciones corresponden a cinco zonas (predeterminada, intranet, extranet, Internet y personalizada). Cuando la aplicación web recibe una solicitud de dirección URL interna en una zona determinada, los vínculos de las páginas devueltos al usuario tendrán la dirección URL pública de dicha zona.Las siguientes tareas se efectúan en el servidor de SharePoint para configurar la asignación de acceso alternativoPara administrar las asignaciones de acceso alternativo
1. Haga clic en Inicio, elija Todos los programas, Microsoft Office Server y, a continuación, haga clic en Administración central de SharePoint 3.0.2. En la página principal de Administración central, en la barra de navegación superior, haga clic en Operaciones. 3. En la página Operaciones, sección Configuración global, haga clic en Asignaciones de acceso alternativas.
Para agregar una dirección URL interna
1. En la página Asignaciones de acceso alternativas, haga clic en Agregar direcciones URL internas. 2. Si no se especifica la colección de asignaciones que desea modificar, seleccione una. En la sección Colección de asignaciones de acceso alternativas, haga clic en
Cambiar colección de asignaciones de acceso alternativas, en el menú Colección de asignaciones de acceso alternativas. 3. En la página Seleccionar una colección de asignaciones de acceso alternativas, haga clic en una colección de asignaciones. 4. En la sección Agregar dirección URL interna, escriba en el cuadro Protocolo, host y puerto URL la nueva dirección URL interna (por ejemplo,
https://www.fabrikam.com). 5. En la lista Zone, haga clic en la zona de la dirección URL interna. 6. Haga clic en Guardar.
Para modificar o eliminar una dirección URL interna
1. En la página Asignaciones de acceso alternativas, haga clic en la dirección URL interna que desea editar o eliminar. 2. En la sección Editar dirección URL interna, modifique la dirección URL en el cuadro Protocolo, host y puerto URL. 3. En la lista Zone, haga clic en la zona de la dirección URL interna. 4. Realice una de las acciones siguientes:
Haga clic en Guardar para guardar los cambios.
Haga clic en Cancelar para descartar los cambios y volver a la página Asignaciones de acceso alternativas. 5. Haga clic en Eliminar para eliminar la dirección URL interna.
Nota:
No es posible eliminar la última dirección URL interna de la zona predeterminada.
Para modificar direcciones URL públicas
1. En la página Asignaciones de acceso alternativas, haga clic en Editar direcciones URL públicas. 2. Si no se especifica la colección de asignaciones que desea modificar, seleccione una. En la sección Colección de asignaciones de acceso alternativas, haga clic en
Cambiar colección de asignaciones de acceso alternativas, en el menú Colección de asignaciones de acceso alternativas. 3. En la página Seleccionar una colección de asignaciones de acceso alternativas, haga clic en una colección de asignaciones. 4. En la sección Direcciones URL públicas, podría agregar nuevas direcciones URL o editar las existentes en cualquiera de los siguientes cuadros de texto:
Valor predeterminado
Intranet
Extranet
Internet
Personalizado5. Haga clic en Guardar.
193
Nota:
Debe haber siempre una dirección URL pública para la zona predeterminada.
Asignación a un recurso externo
También es posible definir asignaciones para recursos que se encuentran fuera de las aplicaciones web internas. Para hacerlo deberá indicar un nombre exclusivo, una dirección URL inicial y una zona para dicha dirección URL. (La dirección URL debe ser exclusiva de la granja.)Para asignar a un recurso externo
1. En la página Asignaciones de acceso alternativas, haga clic en Asignar a recurso externo. 2. En la página Crear asignación a recurso externo, escriba un nombre exclusivo en el cuadro Nombre del recurso. 3. En el cuadro Protocolo, host y puerto URL, escriba la dirección URL inicial. 4. Haga clic en Guardar.
Configurar las reglas de publicación de webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La publicación de web de Forefront TMG permite que el contenido web esté disponible de forma segura para los grupos de usuarios o todos los usuarios que envíen solicitudes a su organización desde Internet. El contenido web solicitado suele almacenarse en servidores web en la red interna o en una red perimetral (también conocida como subred protegida o zona desmilitarizada (DMZ)).El contenido web se publica mediante reglas de publicación de web, reglas que se crean ejecutando un asistente. Después de crear una regla de publicación de web, es posible que necesite modificar algunas de sus propiedades o establecer propiedades avanzadas que no configura el asistente. En los siguientes temas se proporcionan instrucciones detalladas para realizar estas tareas:
Crear una regla de publicación en web
Configurar el nombre del servidor web que se desea publicar
Configurar un nombre público para una regla de publicación en web
Configurar la asignación de rutas de acceso
Configurar cómo redirigir solicitudes HTTP para la publicación en web
Configurar una escucha de web para una regla de publicación de web
Reemplazar vínculos absolutos en páginas webCrear una regla de publicación en webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En Forefront TMG, los sitios web se publican mediante reglas de publicación web, reglas que se crean ejecutando un asistente. Cada asistente que crea una regla de publicación de web establece propiedades concretas para la situación en cuestión que no puede configurarse en la Administración de Forefront TMG.Para obtener información detallada acerca de la creación de reglas de publicación de web para situaciones concretas, consulte el procedimiento pertinente en uno de los temas que aparecen en la lista siguiente:
Publicar servidores web a través de HTTP
Publicar servidores web a través de HTTPS
Configurar la publicación de Outlook Web Access
Configurar la publicación de ActiveSync
Configurar publicación de SharePointEl siguiente procedimiento general incluye los pasos necesarios para la creación de una regla de publicación de web.Para crear una regla de publicación de web
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En la ficha Tareas, haga clic en Publicar sitios web. 3. En el Asistente para nueva regla de publicación de Web, siga las instrucciones que aparecen en pantalla.4. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Para obtener más información sobre la publicación de web, vea Planeación de publicación. Para un único sitio web publicado en un único servidor web, en la página Detalles internos de publicación del asistente, para el nombre de sitio interno,
escriba el nombre de host que usará Forefront TMG en mensajes de solicitud HTTP enviados al servidor publicado. Si el nombre interno del sitio especificado en este campo no puede resolverse o no es el nombre del equipo la dirección IP del servidor publicado, seleccione Usar un nombre de equipo o dirección IP para conectar al servidor publicado y, a continuación, escriba un nombre de equipo o dirección IP del servidor publicado que se pueda resolver. Para obtener información acerca de la configuración del nombre del sitio interno en otras situaciones, consulte el procedimiento detallado pertinente.
Las reglas de publicación de web comparan las solicitudes de clientes entrantes con el sitio web correspondiente del servidor web. Puede crear reglas de publicación de web que deniegan el tráfico para bloquear el tráfico entrante que coincide con las condiciones de la regla. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si, por ejemplo, su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en
una de esas dos carpetas, deberá publicar ambas.
Configurar el nombre del servidor web que se desea publicarPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Después de crear una regla de publicación de web en Forefront TMG, puede cambiar el nombre de sitio interno o configurar el nombre o la dirección IP del servidor web publicado. Para configurar el nombre del servidor web que se desea publicar
194
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla de publicación de web correspondiente. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Para, realice una o ambas de las acciones siguientes:
Si desea cambiar el nombre de sitio interno especificado en la regla, en Esta regla se aplica a este sitio publicado:, escriba el nuevo nombre del sitio interno.
Si no es posible resolver el nombre del sitio interno en la dirección IP del servidor publicado, en Dirección IP o nombre del equipo, escriba un nombre que se pueda resolver o la dirección IP del servidor web publicado.
5. Seleccione Reenviar el encabezado de host original en lugar del real si el servidor publicado hospeda varios sitios web e Forefront TMG debe transferir el encabezado de host original al servidor publicado. Cuando Forefront TMG transfiere el encabezado de host original, el nombre de dominio completo (FQDN) especificado en el encabezado de host puede usarse para enrutar las solicitudes de cliente a un sitio web concreto en el servidor publicado.
6. Haga clic en Aceptar.7. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Los cambios realizados en las propiedades de una regla de publicación en web o el escucha de web asociado se aplican únicamente a las conexiones nuevas.
Configurar un nombre público para una regla de publicación en webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Después de crear una regla de publicación de web en Forefront TMG, puede modificar el nombre público del sitio web publicado o agregar otro nombre público.Para configurar un nombre público para una regla de publicación de web
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de firewall.2. En el panel de detalles, haga clic en la regla correspondiente. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Nombre público, en Esta regla se aplica a, seleccione una de las opciones siguientes:
Todas las solicitudes. Seleccione esta opción cuando la regla se aplique a cualquier solicitud de una dirección URL que contenga cualquier nombre de host que se resuelva en una dirección IP especificada para escuchar en la escucha de web asociada a la regla.
Solicitudes para los sitios web siguientes. Seleccione esta opción cuando la regla se aplicará únicamente a solicitudes de direcciones URL que contengan un nombre de host especificado como nombre público en la regla.
5. Si seleccionó Solicitudes para los sitios web siguientes, para cada nombre público de un sitio web al que se pueda tener acceso, haga clic en Agregar, escriba el nombre público y haga clic en Aceptar.
6. Haga clic en Aceptar.7. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Es recomendable que publique sólo un sitio web por regla. Esto se debe a que los datos personales que pertenecen a un sitio web pueden ser visibles al tener acceso a otro sitio web publicado utilizando el mismo nombre público.
Los nombres de sitios web públicos deben registrarse con el Sistema de nombres de dominio (DNS). Los cambios realizados en las propiedades de una regla de publicación en web o el escucha de web asociado se aplican únicamente a las conexiones nuevas.
Configurar la asignación de rutas de accesoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Después de crear una regla de publicación de web Forefront TMG, es posible que desee modificar las asignaciones de rutas que podrían especificarse en solicitudes para el sitio web publicado a las rutas del servidor web publicado.Para configurar las asignaciones de ruta de acceso
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla correspondiente. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Rutas de acceso, haga clic en Agregar. 5. En el cuadro de texto, escriba una ruta de acceso en el servidor web publicado (la ruta interna). 6. Seleccione una de las siguientes opciones:
Igual que la carpeta publicada. Seleccione esta opción si la ruta que se especificará en las solicitudes (la ruta externa) es idéntica a la ruta interna.
La siguiente carpeta. Seleccione esta opción si se va a asignar una ruta externa diferente a la ruta interna que especificó en el paso 5. Escriba la ruta externa que se asignará a la ruta del servidor web publicado.
7. Haga clic en Aceptar.8. Repita los pasos desde el 4 hasta el 7 para cada asignación que desee crear.9. Haga clic en Aceptar.10. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Para obtener más información sobre la publicación de web, vea Planeación de publicación. Cuando un cliente efectúa una solicitud web, puede que en la misma se especifique una ruta. Esta ruta se conoce como ruta externa. Forefront TMG cambia
todas las rutas externas especificadas en una asignación de ruta a la ruta interna correspondiente del servidor web. Cuando especifique la ruta de acceso interna a la que debe asignarse una ruta externa, utilice este formato: /miruta/*. No es posible utilizar un carácter comodín dentro de un nombre de carpeta. Por ejemplo, no especifique miruta*/ ni /miruta*. Evite especificar un nombre de archivo cuando configure la asignación de ruta de acceso. Si especifica un nombre de archivo, sólo se atenderá una solicitud
195
para la ruta de acceso completa. Las rutas de acceso deben ser distintas. Una ruta no puede ser prefijo de otra. Esto se aplica a rutas tanto internas como externas. Por ejemplo, /rutaA/* y
/rutaB/* son rutas distintas. Sin embargo, /rutaA/* es un prefijo de la /rutaA/a/, e Forefront TMG no permitirá que se escriban estas dos rutas. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en una de esas
dos carpetas, deberá publicar ambas. Los cambios realizados en las propiedades de una regla de publicación en web o el escucha de web asociado se aplican únicamente a las conexiones nuevas.
Configurar la asignación de rutas de accesoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Después de crear una regla de publicación de web Forefront TMG, es posible que desee modificar las asignaciones de rutas que podrían especificarse en solicitudes para el sitio web publicado a las rutas del servidor web publicado.Para configurar las asignaciones de ruta de acceso
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla correspondiente. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Rutas de acceso, haga clic en Agregar. 5. En el cuadro de texto, escriba una ruta de acceso en el servidor web publicado (la ruta interna). 6. Seleccione una de las siguientes opciones:
Igual que la carpeta publicada. Seleccione esta opción si la ruta que se especificará en las solicitudes (la ruta externa) es idéntica a la ruta interna.
La siguiente carpeta. Seleccione esta opción si se va a asignar una ruta externa diferente a la ruta interna que especificó en el paso 5. Escriba la ruta externa que se asignará a la ruta del servidor web publicado.
7. Haga clic en Aceptar.8. Repita los pasos desde el 4 hasta el 7 para cada asignación que desee crear.9. Haga clic en Aceptar.10. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Para obtener más información sobre la publicación de web, vea Planeación de publicación. Cuando un cliente efectúa una solicitud web, puede que en la misma se especifique una ruta. Esta ruta se conoce como ruta externa. Forefront TMG cambia
todas las rutas externas especificadas en una asignación de ruta a la ruta interna correspondiente del servidor web. Cuando especifique la ruta de acceso interna a la que debe asignarse una ruta externa, utilice este formato: /miruta/*. No es posible utilizar un carácter comodín dentro de un nombre de carpeta. Por ejemplo, no especifique miruta*/ ni /miruta*. Evite especificar un nombre de archivo cuando configure la asignación de ruta de acceso. Si especifica un nombre de archivo, sólo se atenderá una solicitud
para la ruta de acceso completa. Las rutas de acceso deben ser distintas. Una ruta no puede ser prefijo de otra. Esto se aplica a rutas tanto internas como externas. Por ejemplo, /rutaA/* y
/rutaB/* son rutas distintas. Sin embargo, /rutaA/* es un prefijo de la /rutaA/a/, e Forefront TMG no permitirá que se escriban estas dos rutas. Forefront TMG no distingue mayúsculas y minúsculas en las rutas. Si su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en una de esas
dos carpetas, deberá publicar ambas. Los cambios realizados en las propiedades de una regla de publicación en web o el escucha de web asociado se aplican únicamente a las conexiones nuevas.
Configurar cómo redirigir solicitudes HTTP para la publicación en webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Después de crear una regla de publicación de web en Forefront TMG, puede que desee modificar la forma en la que se redirigen las solicitudes HTTP al servidor publicado.Para configurar el sistema de redireccionamiento de solicitudes HTTP para la regla de publicación de web
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla correspondiente. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Protocolo de puente, especifique si las solicitudes se van a redirigir a un servidor FTP o a un servidor web seleccionando una de las siguientes
opciones: Servidor FTP. Si selecciona esta opción, escriba en el cuadro de texto el puerto del servidor FTP al que se redirigirá la solicitud.
Servidor web. 5. Si seleccionó Servidor web, efectúe las siguientes acciones:
Si las solicitudes HTTP se van a transferir al servidor web con el protocolo HTTP, haga clic en Redirigir solicitudes al puerto HTTP.
Si las solicitudes HTTP se van a transferir al servidor web a través de conexiones SSL, haga clic en Redirigir solicitudes al puerto SSL. 6. (Opcional) Si seleccionó Redirigir solicitudes al puerto SSL, haga clic en Utilizar un certificado para autenticar el servidor web SSL y en Seleccionar para
seleccionar el certificado que se debe usar.7. Haga clic en Aceptar.8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Si seleccionó Redirigir solicitudes al puerto SSL, el equipo Forefront TMG abrirá un nuevo canal de control seguro hacia el servidor web publicado. Al seleccionar redirigir solicitudes del servidor web tanto a los puertos HTTP como a los SSL, el tráfico entrante se enruta a través del protocolo y puerto
pertinente. Al seleccionar sólo una opción, se enruta todo el tráfico a través de dicho puerto. Si selecciona Servidor FTP en el paso 4, Forefront TMG no efectuará la traducción de vínculos. Los cambios realizados en las propiedades de una regla de publicación en web o el escucha de web asociado se aplican únicamente a las conexiones nuevas.
196
Configurar una escucha de web para una regla de publicación de webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Después de crear una regla de publicación de web en Forefront TMG, es posible que desee modificar las propiedades de la escucha de web asociada a ella, asociarla a una escucha de web diferente o crear una nueva escucha de web para ella.Para configurar la escucha para una regla de publicación de web
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla correspondiente. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Escucha, seleccione la escucha de web correspondiente en la lista desplegable. Como alternativa, haga clic en Nueva para crear una escucha de web
nueva para esta regla.5. Haga clic en Propiedades.6. Si la escucha de web está configurada para utilizar la autenticación basada en formularios y desea utilizar formularios personalizados, en la ficha Formularios,
haga lo siguiente:a. Seleccione Usar formularios HTML personalizados en lugar del predeterminado.b. Escriba el nombre de la carpeta en la que se encuentran almacenados los formularios personalizados.c. En Mostrar el formulario HTML en este idioma, seleccione el idioma en el que se mostrarán los formularios personalizados.
7. Si la escucha de web está configurada para utilizar la autenticación basada en formularios y desea configurar las opciones avanzadas de formularios, en la ficha Formularios, haga clic en Avanzadas, cambie la configuración según sus preferencias y haga clic en Aceptar.
8. Si desea configurar los valores de puerto, configure los puertos HTTP y SSL en la ficha Conexiones.9. Haga clic en Aceptar.10. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
En un escenario en el que desea crear una escucha de web que usa autenticación basada en formularios y RSA SecurID, al habilitar Recopilar credenciales de delegación adicionales en el formulario en el formulario, Forefront TMG no comprueba si el usuario escribe el mismo nombre o un nombre diferente en las credenciales adicionales.
Una regla de publicación de web con una escucha de web que utiliza un método determinado de validación de credenciales debe utilizar un conjunto de usuarios coherente con el método de validación en cuestión. Por ejemplo, una regla de publicación con un escucha de web que utilice la validación de credenciales LDAP también debe utilizar un conjunto de usuarios formado por usuarios LDAP. No puede incluir usuarios de Active Directory.
Los cambios realizados en las propiedades de una regla de publicación en web o el escucha de web asociado se aplican únicamente a las conexiones nuevas.
Reemplazar vínculos absolutos en páginas webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Después de crear una regla de publicación de web en Forefront TMG, puede que desee habilitar la traducción de vínculos de la regla y definir asignaciones para la sustitución de vínculos absolutos en las páginas web que publica la regla.Para reemplazar vínculos absolutos en páginas web
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de detalles, haga clic en la regla correspondiente. 3. En la ficha Tareas, haga clic en Editar regla seleccionada. 4. En la ficha Traducción de vínculos, compruebe que está seleccionada la opción Aplicar traducción de vínculos a esta regla.5. Si desea que se traduzcan los vínculos de páginas web que contengan otros juegos de caracteres, seleccione Aplicar también traducción de vínculos a contenido
web que use este juego de caracteres y seleccione un juego de caracteres de la lista desplegable. 6. Para configurar asignaciones locales (agregar vínculos al diccionario de traducción de vínculos local), haga clic en Configurar. Para cada nueva asignación,
efectúe las siguientes acciones:a. Haga clic en Agregar.b. En Reemplazar este texto, escriba una cadena que se traducirá. Normalmente, esta cadena contiene el nombre de un sitio o servidor interno al que no
tienen acceso los clientes externos.c. En Con este texto, escriba el texto que sustituirá la cadena. Normalmente, este texto contiene el nombre de un host al que tienen acceso clientes
externos como, por ejemplo, los nombres de dominio completos (FQDN) del equipo Forefront TMG.d. Haga clic en Aceptar.
7. Haga clic en Aceptar y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.8. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Al seleccionar Aplicar traducción de vínculos a esta regla, se crea automáticamente un diccionario de traducción de vínculos. En la mayoría de los casos, no es necesario agregar más entradas al diccionario predeterminado.
Forefront TMG solo realiza la traducción de vínculos en las cadenas de los documentos HTML, como nombres de equipos internos, que están especificados en formato UTF-8 (UCS Transformation Format 8).
Al agregar una asignación local, no incluya una barra al final de la cadena que desee reemplazar. Al seleccionar Aplicar traducción de vínculos a esta regla, los nombres de servidores internos de los vínculos se traducen al nombre público. A esta regla de
publicación se aplican asignaciones de traducción locales y globales. La traducción de vínculos no se aplican a las reglas que publican servidores FTP. Cuando se habilita la traducción de vínculos, la regla debe especificar un nombre de dominio público explícito. El dominio no puede incluir un asterisco (*). Al agregar compatibilidad para una página de códigos que usa el Kit de desarrollo de software (SDK) de Forefront TMG, asegúrese de que sea un código
compatible e instalado en todos los miembros de la matriz. En caso de agregar o cambiar compatibilidad con una página de código a través de un equipo de administración remota, asegúrese de que la compatibilidad con página de código esté instalada en todos los miembros de la matriz y en los equipos de administración remota.
197
Los cambios realizados en las propiedades de una regla de publicación en web o el escucha de web asociado se aplican únicamente a las conexiones nuevas.
Personalizar los formularios HTMLPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG proporciona varios métodos de autenticación que se pueden aplicar a las reglas de publicación web para los clientes que tengan acceso a los servidores web publicados. Cuando se selecciona la autenticación basada en formularios, se conduce a los usuarios a un formulario HTML para que proporcionen las credenciales de autenticación. Forefront TMG incluye conjuntos de formularios predeterminados que se usan para la autenticación basada en formularios. Es posible personalizar estos conjuntos de formularios para dar un aspecto diferente a los formularios de inicio de sesión en función del sitio web publicado. En este tema se proporciona información general sobre los conjuntos de formularios de Forefront TMG y se explica cómo personalizarlos.
Información general sobre los formularios HTMLEn las siguientes secciones se describen los conjuntos de formularios HTML que se incluyen con Forefront TMG y la estructura de los directorios de los conjuntos de formularios de Forefront TMG:
Conjuntos de formularios de Forefront TMG
Directorios de conjuntos de formulariosConjuntos de formularios de Forefront TMGForefront TMG incluye conjuntos de formularios preconfigurados en las siguientes carpetas:
ISA: incluye todos los formularios HTML que pueden ser necesarios para la autenticación basada en formularios, tal y como se especifica en la escucha de web o en la regla de publicación web de Forefront TMG.
Exchange: incluye todos los formularios HTML que pueden ser necesarios para la autenticación basada en formularios de acceso al cliente web de Microsoft Exchange.
Forefront TMG admite tres clases de formularios HTML, que se organizan en conjuntos de formularios:
HTML, dirigido a los exploradores estándar.
cHTML, dirigido a los exploradores que admiten cHTML, como los dispositivos móviles i-mode.
xHTML, dirigido a los exploradores que admiten xhtml-mp, como Microsoft Windows Mobile® y otros dispositivos móviles.
Nota:
Forefront TMG determina el tipo de formulario que proporcionará a partir del encabezado User-Agent que proporciona el cliente móvil.
Cada conjunto de formularios incluye todos los formularios HTML que los clientes pueden necesitar para la autenticación basada en formularios, como un formulario de inicio de sesión, un formulario del cierre de sesión y formularios SecurID. De forma predeterminada, al crear una nueva escucha de web con la autenticación basada en los formularios HTML como método de autenticación, se selecciona automáticamente un conjunto de formularios. Dependiendo del método de validación de autenticación especificado para la escucha de web, Forefront TMG presenta uno de los siguientes tipos de formularios de inicio de sesión:
Formulario de contraseñas: el usuario escribe un nombre de usuario y una contraseña en el formulario. Estas credenciales son necesarias para la validación de credenciales de Active Directory, Protocolo ligero de acceso a directorios (LDAP) y Servicio de autenticación remota telefónica de usuario (RADIUS).
Formulario de código de acceso: el usuario escribe un nombre de usuario y un código de acceso en el formulario. Estas credenciales son necesarias para la validación de contraseña única para SecurID y RADIUS.
Formulario de código de acceso/contraseña: el usuario escribe un nombre de usuario y un código de acceso, y un nombre de usuario y una contraseña. El nombre de usuario y código de acceso se utilizan para la autenticación para Forefront TMG mediante métodos de autenticación de contraseñas de un solo uso SecurID o RADIUS y el nombre de usuario y contraseña se utilizan para la delegación. Este formulario se utiliza cuando el administrador decide recopilar credenciales adicionales en el formulario.
Después de crear la escucha de web y la regla de la publicación web, puede especificar el uso de un conjunto de formularios diferente. Además, las propiedades de formulario HTML de una regla de publicación web pueden invalidar el conjunto de formularios de su escucha de web. Un conjunto de formularios se determina de una de estas dos formas:
Conjunto de formularios especificado en la escucha de web.
Conjunto de formularios especificado en la regla de publicación web. Para obtener información sobre cómo crear conjuntos de formularios, vea Crear conjuntos de formularios personalizados. Directorios de conjuntos de formulariosEl directorio \%Directorio de instalación de Forefront TMG%\Templates\CookieAuthTemplates contiene los directorios de formularios de ISA y Exchange que se incluyen con Forefront TMG. Sus subdirectorios inmediatos contienen los directorios de los distintos conjuntos de formularios.Cada directorio de conjunto de formularios contiene el conjunto de formularios HTML (archivos .htm) completo. Cuando Forefront TMG muestra un formulario HTML, reemplaza los marcadores de posición de los archivos .htm con las cadenas del archivo strings.txt correspondiente a la configuración de idioma del explorador del usuario, que se encuentra en la carpeta de idioma del directorio de idiomas (nls), como se indica a continuación.
Directorio ISACuando se crea una regla de publicación web o una regla de publicación de Microsoft SharePoint, se utiliza automáticamente un conjunto de formularios del directorio ISA.
Directorio ExchangeCuando se crea una regla de publicación de acceso a correo de cliente web mediante el Asistente para nueva regla de publicación de Exchange, se selecciona automáticamente para esa regla el conjunto de formularios HTML de Exchange. La carpeta de Exchange contiene únicamente el conjunto de formularios HTML. Para usar los conjuntos de formularios cHTML o XHTML para el acceso al cliente web de Exchange, se deben crear los directorios Exchange\cHTML o Exchange\xHTML y, a continuación, copiar el contenido de Exchange\HTML en ellos.
198
Nota:
Para usar el Asistente de publicación de reglas de Exchange, en el árbol de consola de Administración del servidor, haga clic en Directiva de firewall y, a continuación, en la pestaña Tareas, haga clic en Publicar acceso de cliente web de Exchange.
Directorio de idiomaEl directorio de idioma, nls, contiene un único subdirectorio con un archivo strings.txt para cada idioma admitido. Cuando Forefront TMG muestra un formulario HTML, reemplaza los marcadores de posición de los archivos .htm con las cadenas del archivo strings.txt del idioma correspondiente al encabezado Accept-Language enviado por el explorador del cliente. Cuando Forefront TMG no encuentra ninguna coincidencia con el encabezado Accept-Language enviado por el explorador del cliente, Forefront TMG utiliza el archivo strings.txt del directorio del conjunto de formularios predeterminado. Tenga en cuenta que strings.txt es la versión inglesa del archivo.
Permisos de los directorios de conjuntos de formulariosCuando se instala Forefront TMG, se establecen automáticamente los permisos de los directorios de formularios. Nunca se debería cambiar estos permisos:
Control total: se aplica a los miembros del grupo Administradores local.
Solo lectura: se aplica a la cuenta Servicio de red de modo que Forefront TMG pueda leer el contenido de este directorio cuando se ejecuta bajo la cuenta Servicio de red.
Para conservar la herencia de permisos de la carpeta primaria, se recomienda que copie los archivos en el directorio del conjunto de formularios en lugar de moverlos.
Personalizar los conjuntos de formulariosEn algunos casos, puede que desee proporcionar una apariencia diferente a los formularios de algunos sitios web publicados. Cada estilo se define mediante un conjunto de formularios. Puede modificar un conjunto de formularios existente o crear el suyo propio.En las secciones siguientes se describe:
Personalizar las cadenas de texto
Usar gráficos personalizados
Crear conjuntos de formularios personalizados
Nota:
Al personalizar los formularios, debe mantener todos los campos de formulario originales y todos los marcadores de posición que Forefront TMG reemplaza con campos ocultos. Todas las etiquetas de entrada <input …> y etiquetas de formulario <form…> deben mantenerse sin cambios en los archivos .htm para que los formularios funcionen. Tampoco puede cambiar el formato del archivo strings.txt.
Las carpetas Exchange e ISA se sobrescriben durante la actualización. Si personaliza los formularios HTML, asegúrese de realizar una copia de seguridad de los archivos actualizados antes de aplicar cualquier revisión, Service Pack o actualización.
Si ejecuta Forefront TMG Enterprise Edition, debería realizar los cambios de los conjuntos de formularios de Forefront TMG en cada miembro de matriz de Forefront TMG.
Para que los cambios surtan efecto, debe reiniciar el servicio de Firewall. Todos los archivos situados en el directorio de personalización de formularios están accesibles a usuarios anónimos, por lo que no deberían contener
información confidencial.
Personalizar las cadenas de textoCuando Forefront TMG muestra un formulario HTML, reemplaza los marcadores de posición de los archivos .htm con las cadenas del archivo strings.txt del idioma especificado en la configuración de idioma del explorador del cliente o tal y como se especifique en la escucha de web. La personalización de cadenas de texto se realiza mediante la modificación de las cadenas del archivo strings.txt que corresponden a los marcadores de posición de los archivos .htm.
Nota:
Antes de personalizar el contenido del archivo strings.txt, se recomienda que realice una copia de seguridad del archivo strings.txt que está modificando. Debe codificar correctamente cualquier cadena que modifique o agregue de modo que cumpla la sintaxis HTML. El carácter < no puede estar incluido en la
cadena y se debe reemplazar con <. Además, para incluir una comilla, debe utilizar la comilla sencilla en lugar de la comilla doble.
En el siguiente ejemplo se muestra cómo cambiar la cadena de texto correspondiente a la entrada de nombre de usuario de la página de inicio de sesión estándar de "Domain\user name:" a "Alias:".Para cambiar el texto de la entrada del nombre de usuario en la página de inicio de sesión estándar
1. Abra el archivo strings.txt de la carpeta de idioma correspondiente del directorio nls.2. Encuentre la cadena que coincide con el marcador de posición @@L_username_ text. La cadena aparece en el archivo strings.txt de este modo:
L_UserName_Text="Domain\User name:".3. Cambie la cadena de texto a L_UserName_Text="Alias:".4. Guarde el archivo strings.txt. Cuando se genere el formulario HTML, el nuevo valor de @@L_username_text se mostrará en el formulario. 5. Para que los cambios surtan efecto, reinicie el servicio Microsoft Firewall.
Además de modificar cadenas de texto, puede agregar nuevas cadenas a un formulario. En el siguiente ejemplo se muestra cómo agregar una cadena a un formulario. Para agregar una cadena a un formulario
1. Abra el archivo .htm. 2. Agregue un marcador de posición para la cadena y guarde el archivo. El marcador de posición debe tener el formato @@L_stringname. El marcador de posición
no puede contener espacios. 3. Guarde el archivo .htm.4. Agregue la cadena correspondiente al archivo strings.txt. La cadena se debe escribir con el formato L_stringname="string text".5. Guarde el archivo strings.txt. 6. Para que los cambios surtan efecto, reinicie el servicio Firewall. Cuando se genere el formulario HTML, el valor de @@L_stringname se mostrará en el
formulario.
199
Consideraciones acerca de la seguridadSi proporciona el archivo strings.txt a un tercero para su modificación, compruebe que no se haya agregado nada que no sea texto al archivo, ya que las redes podrían ser vulnerables a ataques.
Usar gráficos personalizadosPuede reemplazar un gráfico en un formulario concreto o reemplazar globalmente un gráfico en todos los formularios para que el cambio aparezca en todos los archivos .htm que hagan referencia a ese gráfico. Todos los gráficos que Forefront TMG utiliza en los formularios HTML están situados en los directorios de formularios predeterminados (ISA y Exchange). La dirección URL utilizada para hacer referencia a los gráficos se escribe del modo que se indica a continuación, siendo <nombre de archivo> el nombre del archivo con su extensión: /cookieauth.dll?GetPic?formdir=@@FORMDIR&image=<nombre de archivo>.En el siguiente ejemplo se muestra cómo reemplazar el gráfico del logotipo <lgntop.gif> con el logotipo de su compañía <logo.gif>; en el ejemplo se muestra cómo modificar un formulario del directorio HTML.
Para reemplazar el gráfico del logotipo1. Copie logo.gif al directorio del conjunto de formularios \%Directorio de instalación de Forefront TMG%\Templates\CookieAuthTemplates\ISA\HTML. 2. Abra el archivo .htm que incluye el gráfico que desea reemplazar. 3. Modifique la dirección URL del gráfico, reemplazando el nombre de archivo existente <lgntop.gif>. La dirección URL modificada es: /cookieauth.dll?GetPic?
formdir=@@FORMDIR&image=logo.gif.4. Guarde el archivo. 5. Para que los cambios surtan efecto, reinicie el servicio Firewall. Cuando se genere el formulario, logo.gif se mostrará en el formulario.
Como alternativa, para reemplazar un gráfico en todos los formularios globalmente, copie su gráfico en el directorio de formularios utilizando el nombre de archivo del gráfico que va a reemplazar.
Crear conjuntos de formularios personalizadosPuede proporcionar formularios personalizados con el fin de especificar un directorio para los formularios que no sea el directorio ISA o Exchange que proporciona Forefront TMG. Por ejemplo, considere un escenario en el que vaya a publicar el acceso de cliente web para dos compañías diferentes y desea que cada compañía tenga su propio logotipo en la página, así como otras cadenas de texto personalizadas. En el siguiente procedimiento se describe cómo proporcionar formularios personalizados para este ejemplo.
Para proporcionar formularios personalizados1. Cree una nueva carpeta en el directorio \CookieAuthTemplates\; por ejemplo, \%Directorio de instalación de Forefront TMG%\Templates\
CookieAuthTemplates\Company1. 2. Copie el contenido de la carpeta ISA o Exchange en la nueva carpeta que creó. Si tiene únicamente exploradores estándar, solo necesita copiar la carpeta HTML.3. Personalice el formulario en el directorio copiado. Realice cambios de texto en el archivo strings.txt de la carpeta de idioma correspondiente o reemplace los
archivos gráficos. No cambie ninguno de los elementos de formulario HTML, como <FORM> e <INPUT>. 4. Para que los cambios surtan efecto, reinicie el servicio Firewall.5. Para aplicar el nuevo conjunto de formularios a una escucha de web, especifique el nombre de directorio en la pestaña Formularios de la escucha de web.
Proporcione únicamente el nombre del directorio, como Company1, no la ruta de acceso completa. Como alternativa, para aplicar el nuevo conjunto de formularios a una regla de publicación web, en la pestaña Configuración de la aplicación de la regla, habilite la casilla Usar formularios HTML personalizados y proporcione el nombre del directorio.
6. Para asegurarse de que los formularios solo se muestran en un idioma concreto, en la pestaña Formularios de la escucha de web, bajo Mostrar el formulario HTML en este idioma, seleccione el idioma. Por ejemplo, para asegurarse de que un formulario sólo se muestra en inglés, sin tener en cuenta la configuración del explorador cliente, seleccione Inglés [en].
7. Repita el procedimiento para la segunda compañía (Company2).8. Haga clic en Aplicar de la barra Aplicar cambios para actualizar la configuración.
Nota:
Si ejecuta Forefront TMG Enterprise Edition, el directorio de formularios debe aparecer en todos los miembros de matriz de Forefront TMG.
Configuración de idiomaDe forma predeterminada, Forefront TMG genera los formularios HTML utilizando el archivo strings.txt de la carpeta de idioma especificada en la opción Idiomas de las opciones de Internet del explorador cliente. Puede invalidar la configuración de idioma del cliente especificando un idioma en la escucha de web. Además, si Forefront TMG no encuentra el archivo strings.txt que corresponde a la configuración de idioma, utilizará el archivo strings.txt predeterminado.
Nota:
El idioma del archivo strings.txt del directorio predeterminado es el inglés. Para cambiar el idioma del archivo strings.txt predeterminado, reemplácelo con el archivo strings.txt de cualquiera de las carpetas de idioma.
Configuración de la priorización del ancho bandaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar DiffServ para el tráfico web. Forefront TMG admite el control de ancho de banda para el tráfico HTTP y HTTPS al proporcionar la prioridad de paquetes mediante el protocolo Servicios diferenciados (DiffServ). La configuración de DiffServ consta de los siguientes pasos:
1. Habilitar la prioridad de tráfico mediante DiffServ.2. Crear prioridades.3. Configurar las prioridades de direcciones URL y dominios.4. Configurar una red para que utilice DiffServ. Debe configurarse al menos una red.
Dónde empezar: Para modificar las propiedades de DiffServ, en el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. A continuación, en Tareas relacionadas, haga clic en Configurar preferencias de DiffServ.
200
Habilitar la prioridad de tráfico mediante DiffServ
En la ficha General, seleccione Habilitar la aplicación de prioridades de tráfico de red de acuerdo con los bits DiffServ (Calidad de servicio).
Configurar prioridades
1. En la ficha Prioridades, haga clic en Agregar.2. En el cuadro de diálogo Agregar prioridad, haga lo siguiente:
En Nombre de prioridad, escriba un nombre para esta prioridad.
En Bits DiffServ, escriba la cadena binaria de seis dígitos correspondiente que represente el valor DiffServ (también denominado Punto de código de servicios diferenciados, DSCP). La cadena binaria debe coincidir con la cadena binaria utilizada por el enrutador para una configuración de Calidad de servicio (QoS) específica.
3. En la ficha Prioridades, seleccione Aplicar un límite de tamaño a esta prioridad si la prioridad debe aplicarse sólo a solicitudes o respuestas de un tamaño máximo. A continuación, en Límite de tamaño, especifique el tamaño máximo en bytes.
4. Seleccione Permitir el tratamiento especial de encabezados de solicitud y respuesta si Forefront TMG debe controlar los encabezados con una prioridad diferente (superior) a otras partes de las solicitudes y respuestas. Esta opción se aplica al primer bloque de tráfico, no al primer paquete.
5. A continuación, en Usar esta prioridad, seleccione la prioridad que se aplicará a los encabezados.
Asignar la prioridad DiffServ a una dirección URL
1. En la ficha Direcciones URL, haga clic en Agregar. 2. En el cuadro de diálogo Agregar prioridad de dirección URL, haga lo siguiente:
En Dirección URL, escriba una dirección URL para la que establecer la prioridad. Para especificar un grupo de direcciones URL, utilice un asterisco (carácter comodín) al final de la dirección URL.
En Prioridad, seleccione la prioridad que va a asignar a la dirección URL especificada. 3. En la ficha Direcciones URL, utilice las teclas FLECHA ARRIBA y FLECHA ABAJO para colocar las direcciones URL en orden de prioridad. Si una dirección
URL más general precede a otra específica, no se establecerá la coincidencia de la dirección URL específica. Forefront TMG usa las prioridades enumeradas en la ficha Direcciones URL para aplicar DiffServ al contenido que Forefront TMG puede inspeccionar. El contenido enviado por túnel a través de HTTPS no se puede inspeccionar y no debe utilizarse una prioridad de dirección URL. Como alternativa, utilice un nombre de dominio.
Asignar la prioridad DiffServ a un dominio
1. En la ficha Dominios, haga clic en Agregar. 2. En el cuadro de diálogo Agregar prioridad de dominio, haga lo siguiente: 3. En Dominio, escriba un dominio para el que establecer la prioridad. Para especificar un dominio completo, utilice un asterisco (carácter comodín).4. En Prioridad, seleccione la prioridad que va a asignar al dominio especificado. 5. En la ficha Direcciones URL, utilice las teclas FLECHA ARRIBA y FLECHA ABAJO para ordenas las prioridades de dominios.
Configurar una red para que utilice DiffServ
En la ficha Redes, seleccione las redes en las que se debe aplicar DiffServ. Tenga en cuenta que la prioridad de paquetes con DiffServ sólo funciona en redes cuyos enrutadores sean compatibles con la funcionalidad Calidad de servicio (QoS).
Configurar la compresión HTTP
Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se proporcionan instrucciones acerca de la configuración de la compresión de contenido HTTP. La compresión HTTP utiliza el algoritmo estándar del sector GZIP para eliminar datos redundantes y reducir el tamaño de los archivos de datos HTTP. La configuración de la compresión HTTP consta de los siguientes pasos:
Habilitar la compresión
Especifique los objetos de red desde los cuales se permitirá a los clientes solicitar respuestas HTTP comprimidas.
Especifique los objetos de red desde los cuales Forefront TMG solicitará respuestas HTTP comprimidas.
Habilitar la inspección de contenido
Especifique los tipos de contenido que se van a comprimirDónde empezar. Configure la función de compresión en Administración de Forefront TMG, en el nodo Directiva de acceso web de la ficha Directiva de acceso web. En el panel Tareas, en Tareas relacionadas, haga clic en Configurar compresión HTTP para abrir y configurar las propiedades de compresión HTTP. Para habilitar la compresión
En la ficha General de las propiedades de compresión HTTP, compruebe que Habilitar compresión HTTP esté seleccionado.Para especificar los objetos de red desde los cuales los clientes pueden solicitar respuestas HTTP comprimidas
1. En la ficha Devolver datos comprimidos, haga clic en Agregar para agregar los objetos de red desde los cuales se permitirá a los clientes solicitar respuestas HTTP comprimidas.
2. Opcionalmente, en Excepciones, puede hacer clic en Agregar para agregar los objetos de red que constituirán excepciones para el cliente al que se permitirá solicitar respuestas HTTP comprimidas.
Para especificar los objetos de red desde los cuales Forefront TMG puede solicitar respuestas HTTP comprimidas
1. En la ficha Solicitar datos comprimidos, haga clic en Agregar para agregar los elementos de red que constituirán excepciones de los elementos de red desde los cuales Forefront TMG solicitará respuestas HTTP comprimidas.
2. Opcionalmente, en Excepciones, puede hacer clic en Agregar para agregar los elementos de red que constituirán excepciones para el cliente al que se permitirá solicitar respuestas HTTP comprimidas.
Para habilitar la inspección de contenido
201
En la ficha Inspección de contenido, seleccione Descomprimir los paquetes entrantes para permitir que los filtros web de Forefront TMG inspeccionen el contenido.
Para seleccionar los tipos de contenido que se van a comprimir
1. En la ficha Tipos de contenido, seleccione una de las siguientes opciones: Comprimir todos los tipos de contenido excepto los seleccionados para especificar los tipos de contenido que se excluirán (todos los demás se
incluirán). Comprimir sólo los tipos de contenido seleccionados para especificar los tipos de contenido que se incluirán (todos los demás se excluirán). Si
selecciona esta opción y después no selecciona ningún tipo de contenido, se comprimirá todo el tráfico.2. En Tipos de contenido, seleccione los tipos de contenido específicos que se excluirán o incluirán. 3. Si selecciona Comprimir todos, puede agregar nuevos tipos de contenido y aplicarles después la compresión HTTP. Para obtener instrucciones acerca de cómo
crear los nuevos tipos de contenido, vea Configuring content types. Hay algunos tipos de contenido que no se pueden comprimir.
Configurar la publicación de otros protocolosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Con Forefront TMG puede publicar servidores que ejecutan protocolos distintos de HTTP. Forefront TMG emplea reglas de publicación de servidor para reenviar las solicitudes de clientes entrantes de servidores que no son HTTP situados en una red protegida por Forefront TMG. Las reglas de publicación de servidor asignan un número de puerto y una o más direcciones IP en las que el equipo de Forefront TMG escucha solicitudes de cliente a un número de puerto y una dirección IP del servidor publicado. En los temas siguientes se describe cómo crear las reglas de publicación de servidor:
Crear y utilizar un protocolo de servidor
Configurar la publicación de un servidor FTP
Configurar la publicación de un servidor SQL Server
Configurar la publicación de RDP
Crear y utilizar un protocolo de servidorPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para crear y utilizar un protocolo de servidor
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel de Tareas, en la ficha Herramientas, haga clic en Protocolos . 3. En la barra de herramientas que hay debajo de Protocolos, haga clic en Nuevo y, después, en Protocolo. 4. En la siguiente tabla se indica cómo completar el Asistente para nueva definición de protocolos.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva definición de protocolos
Nombre de definición de protocolo
Escriba un nombre para definir el protocolo. Por ejemplo, escriba Servidor MiProtocolo.
Información acerca de la conexión principal
En una definición de protocolo de servidor típica, para configurar la conexión principal, haga clic en Nuevo. A continuación, en Tipo de protocolo, seleccione TCP, en Dirección, seleccione Entrante, en De y A, escriba el mismo número de puerto aplicable y, finalmente, haga clic en Aceptar.
Información acerca de la conexión secundaria
¿Desea utilizar conexiones secundarias?
Seleccione No.
Finalización del Asistente para nueva definición de protocolos
Revise la configuración y haga clic en Finalizar.
5. En el panel de tareas, en la ficha Tareas, haga clic en Publicar protocolos de servidor no web para abrir el Asistente para nueva regla de publicación de servidor. 6. En la siguiente tabla se indica cómo finalizar el Asistente para nueva regla de publicación de servidor.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de servidor
Nombre de la regla de publicación de servidor
Escriba un nombre para definir el protocolo. Por ejemplo, escriba Publicar servidor MiProtocolo.
Seleccionar servidor Dirección IP del servidor
Escriba la dirección IP del servidor que desea publicar.
Seleccionar protocolo Protocolo seleccionado En la lista desplegable, seleccione el protocolo definido en el Paso 4. A continuación, haga clic en Puertos si desea sobrescribir los puertos predeterminados en la definición de protocolo.
Puertos (aparece sólo si hace clic en Puertos en la página Seleccionar protocolo)
Puertos del firewall Seleccione una de las siguientes opciones:
Publicar a través del puerto predeterminado en la definición de protocolo. Con esta opción, Forefront TMG acepta solicitudes de cliente entrantes en el puerto predeterminado.
Publicar en este puerto en lugar del puerto predeterminado. Con esta opción, Forefront TMG acepta solicitudes de cliente entrantes en el puerto no estándar que se especifique y, a continuación, las reenvía al puerto designado en el servidor publicado.
202
Puertos del servidor publicado
Seleccione una de las siguientes opciones:
Enviar solicitudes al puerto predeterminado en el servidor publicado. Con esta opción, Forefront TMG acepta solicitudes para el servicio publicado en el puerto predeterminado especificado en la definición de protocolo.
Enviar solicitudes a este puerto en el servidor publicado. Con esta opción, Forefront TMG acepta solicitudes para el servicio publicado en un puerto diferente al predeterminado.
Puertos de origen Seleccione una de las siguientes opciones:
Permitir tráfico de cualquier puerto de origen permitido. Con esta opción, Forefront TMG acepta solicitudes de cualquier puerto en los equipos cliente permitidos.
Limitar acceso al trafico de este intervalo de puertos de origen. Con esta opción, Forefront TMG acepta solicitudes solo de los puertos especificados.
Direcciones IP de escucha de red Escuchar solicitudes de estas redes
Seleccione la red Externa. Para seleccionar en qué direcciones IP específicas se desea que escuche Forefront TMG, haga clic en Direcciones y seleccione Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la dirección IP correspondiente, haga clic en Agregar y luego en Aceptar.En una matriz con varios miembros de matriz, seleccione la misma dirección IP virtual para cada miembro de matriz si se habilita el equilibrio de carga de red. De lo contrario, seleccione una dirección IP adecuada para cada miembro de la matriz.
Finalización del Asistente para nueva regla de publicación de servidor
Revise la configuración y haga clic en Finalizar.
7. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
La dirección de la conexión principal, en la publicación de servidores, para un protocolo TCP debe ser entrante. En una implementación de empresa de varias matrices, los protocolos también se pueden definir en el nivel de empresa desde el nodo Directivas de empresa.
Los protocolos que se definen o se modifican en el nivel de la empresa se pueden usar en reglas en el nivel de matriz. Sin embargo, estos protocolos de nivel de empresa no se pueden modificar en el nivel de matriz.
Si el protocolo requiere una función de filtrado que no proporciona el servicio Firewall de Microsoft, como un canal de datos secundario, asocie el protocolo con un filtro de aplicación que ofrezca la función necesaria.
Si desea ver una lista completa de los protocolos que utilizan los productos y los subcomponentes de Microsoft Windows, consulte "Introducción al servicio y requisitos del puerto de red para el sistema Windows Server" en Ayuda y soporte técnico de Microsoft (http://www.microsoft.com/).
De forma predeterminada, las solicitudes de clientes reenviadas por Forefront TMG al servidor publicado parecen provenir de la dirección IP del cliente original. En este caso, la puerta de enlace predeterminada del servidor publicado debe establecerse en la dirección IP del adaptador de red del equipo Forefront TMG a través del que se conecta el servidor publicado. Como alternativa, puede configurar su regla de publicación de servidor de manera que las solicitudes de clientes reenviadas parezcan provenir del equipo Forefront TMG en la ficha A de las propiedades de la regla de publicación de servidor.
Las reglas de publicación de servidor suelen utilizarse cuando hay una relación NAT (traducción de direcciones de red) definida por una regla de red entre la red donde se encuentran los clientes que envían solicitudes al servidor publicado y la red en la que se encuentra el servidor publicado. Las reglas de publicación de servidor también pueden utilizarse cuando la regla de red entre la red del cliente y la red donde se encuentra el servidor define una relación de enrutamiento. Sin embargo, en este caso, los clientes deben enviar solicitudes directamente a la dirección IP del servidor publicado.
Las reglas de publicación de servidor no se admiten en una configuración del adaptador de red único.
Configurar la publicación de un servidor FTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para publicar un servidor FTP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, en la pestaña Tareas, haga clic en Publicar protocolos de servidor no web para abrir el Asistente para nueva regla de publicación de servidor. 3. Complete el Asistente para nueva regla de publicación de servidor como se indica en la tabla siguiente.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de servidor
Nombre de la regla de publicación de servidor
Escriba un nombre para definir el protocolo. Por ejemplo, escriba:Publicar servidor FTP
Seleccionar servidor Dirección IP del servidor
Escriba la dirección IP del servidor FTP que desea publicar.
Seleccionar protocolo Protocolo seleccionado
En la lista desplegable, seleccione Servidor FTP. A continuación, haga clic en Puertos si desea reemplazar los puertos predeterminados en la definición del protocolo.
Puertos (aparece sólo si hace clic en Puertos en la página Seleccionar protocolo)
Puertos del firewall Seleccione una de las siguientes opciones:
Publicar a través del puerto predeterminado en la definición de protocolo. Con esta opción, Forefront TMG acepta solicitudes de cliente entrantes en el puerto 21.
Publicar en este puerto en lugar del puerto predeterminado. Con esta opción, Forefront TMG acepta
203
solicitudes de clientes entrantes en el puerto no estándar que se especifique y, a continuación, las reenvía al puerto designado en el servidor publicado.
Puertos del servidor publicado
Seleccione una de las siguientes opciones:
Enviar solicitudes al puerto predeterminado en el servidor publicado. Con esta opción, Forefront TMG acepta solicitudes para el servicio publicado en el puerto 21.
Enviar solicitudes a este puerto en el servidor publicado. Con esta opción, Forefront TMG acepta solicitudes para el servicio publicado en un puerto diferente al puerto 21.
Puertos de origen Seleccione una de las siguientes opciones:
Permitir tráfico de cualquier puerto de origen permitido. Con esta opción, Forefront TMG acepta solicitudes de cualquier puerto en los equipos cliente permitidos.
Limitar acceso al trafico de este intervalo de puertos de origen. Con esta opción, Forefront TMG acepta solicitudes sólo de los puertos especificados.
Direcciones IP de escucha de red
Escuchar solicitudes de estas redes
Seleccione la red Externa. Para seleccionar a qué direcciones IP específicas se desea que escuche Forefront TMG, haga clic en Direcciones y, a continuación, seleccione Direcciones IP especificadas del equipo Forefront TMG de la red seleccionada. En la lista Direcciones IP disponibles, seleccione la dirección IP apropiada, haga clic en Agregar y, a continuación, en Aceptar.En una matriz con varios miembros de matriz, seleccione la misma dirección IP virtual para cada miembro de matriz si se habilita el equilibrio de carga de red. De lo contrario, seleccione una dirección IP adecuada para cada miembro de la matriz.
Finalización del Asistente para nueva regla de publicación de servidor
Revise la configuración y haga clic en Finalizar.
4. Si desea habilitar las descargas FTP, siga estos pasos.
a. En el panel de detalles, haga clic con el botón secundario sobre el nombre de la regla que acaba de crear.
b. Haga clic en Configurar FTP.
c. En la página Configurar directiva de protocolo FTP, desactive Solo lectura.
d. Haga clic en Aceptar.
5. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Para obtener más información sobre la publicación en el servidor, vea Acerca de cómo publicar servidores no web. Cuando se crea una regla de publicación de servidor FTP, el filtro de acceso a FTP se configura para que bloquee las descargas de FTP. De forma predeterminada, las solicitudes de clientes reenviadas por Forefront TMG al servidor publicado parecen provenir de la dirección IP del cliente
original. En este caso, la puerta de enlace predeterminada del servidor FTP debe establecerse en la dirección IP del adaptador de red del equipo Forefront TMG a través del que se conecta el servidor FTP. Como alternativa, puede configurar su regla de publicación de servidor de manera que las solicitudes de clientes reenviadas parezcan provenir del equipo Forefront TMG en la ficha A de las propiedades de la regla de publicación de servidor.
Las reglas de publicación de servidor suelen utilizarse cuando hay una relación NAT (traducción de direcciones de red) definida por una regla de red entre la red donde se encuentran los clientes que envían solicitudes al servidor publicado y la red en la que se encuentra el servidor publicado. Las reglas de publicación de servidor también pueden utilizarse cuando la regla de red entre la red del cliente y la red donde se encuentra el servidor define una relación de enrutamiento. Sin embargo, en este caso, los clientes deben enviar solicitudes directamente a la dirección IP del servidor publicado.
Si va a publicar un servidor FTP en el equipo Forefront TMG, la dirección IP del servidor publicado puede ser la dirección IP del adaptador de red del equipo Forefront TMG en la red externa o la dirección IP del adaptador de red del equipo Forefront TMG en la red protegida.
Las reglas de publicación de servidor no se admiten en una configuración del adaptador de red único.
Configurar la publicación de un servidor SQL ServerPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para publicar un equipo SQL Server
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, en la ficha Tareas, haga clic en Publicar protocolos de servidor no web para abrir el Asistente para nueva regla de publicación de servidor. 3. Complete el Asistente para nueva regla de publicación de servidor como se indica en la siguiente tabla.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de servidor
Nombre de la regla de publicación de servidor
Escriba un nombre para definir el protocolo. Por ejemplo, escriba:Publicar SQL Server
Seleccionar servidor Dirección IP del servidor
Escriba la dirección IP del equipo SQL Server que desea publicar.
Seleccionar protocolo Protocolo seleccionado
En la lista desplegable, seleccione Microsoft SQL Server. A continuación, haga clic en Puertos si desea reemplazar los puertos predeterminados en la definición del protocolo.
204
Puertos (aparece sólo si hace clic en Puertos en la página Seleccionar protocolo)
Puertos del firewall Seleccione una de las siguientes opciones:
Publicar a través del puerto predeterminado en la definición de protocolo. Con esta opción, Forefront TMG acepta solicitudes de cliente entrantes en el puerto 1433.
Publicar en este puerto en lugar del puerto predeterminado. Con esta opción, Forefront TMG acepta solicitudes de clientes entrantes en el puerto no estándar que se especifique y, a continuación, las reenvía al puerto designado en el servidor publicado.
Puertos del servidor publicado
Seleccione una de las siguientes opciones:
Enviar solicitudes al puerto predeterminado en el servidor publicado. Con esta opción, Forefront TMG acepta solicitudes para el servicio publicado en el puerto 1433.
Enviar solicitudes a este puerto en el servidor publicado. Con esta opción, Forefront TMG acepta solicitudes para el servicio publicado en un puerto diferente al puerto 1433.
Puertos de origen Seleccione una de las siguientes opciones:
Permitir tráfico de cualquier puerto de origen permitido. Con esta opción, Forefront TMG acepta solicitudes de cualquier puerto en los equipos cliente permitidos.
Limitar acceso al trafico de este intervalo de puertos de origen. Con esta opción, Forefront TMG acepta solicitudes sólo de los puertos especificados.
Direcciones IP de escucha de red
Escuchar solicitudes de estas redes
Seleccione la red Externa. Para seleccionar a qué direcciones IP específicas se desea que escuche Forefront TMG, haga clic en Direcciones y, a continuación, seleccione Direcciones IP especificadas del equipo Forefront TMG de la red seleccionada. En la lista Direcciones IP disponibles, seleccione la dirección IP apropiada, haga clic en Agregar y, a continuación, en Aceptar.En una matriz con varios miembros de matriz, seleccione la misma dirección IP virtual para cada miembro de matriz si se habilita el equilibrio de carga de red. De lo contrario, seleccione una dirección IP adecuada para cada miembro de la matriz.
Finalización del Asistente para nueva regla de publicación de servidor
Revise la configuración y haga clic en Finalizar.
4. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Para obtener más información sobre la publicación en el servidor, vea Acerca de cómo publicar servidores no web. De forma predeterminada, las solicitudes de clientes reenviadas por Forefront TMG al servidor publicado parecen provenir de la dirección IP del cliente
original. En este caso, la puerta de enlace predeterminada en el equipo SQL Server debe estar establecida en la dirección IP del adaptador de red del equipo Forefront TMG a través del cual el equipo SQL Server conecta con ella. Como alternativa, puede configurar su regla de publicación de servidor de manera que las solicitudes de clientes reenviadas parezcan provenir del equipo Forefront TMG en la ficha A de las propiedades de la regla de publicación de servidor.
Las reglas de publicación de servidor suelen utilizarse cuando hay una relación NAT (traducción de direcciones de red) definida por una regla de red entre la red donde se encuentran los clientes que envían solicitudes al servidor publicado y la red en la que se encuentra el servidor publicado. Las reglas de publicación de servidor también pueden utilizarse cuando la regla de red entre la red del cliente y la red donde se encuentra el servidor define una relación de enrutamiento. Sin embargo, en este caso, los clientes deben enviar solicitudes directamente a la dirección IP del servidor publicado.
Las reglas de publicación de servidor no se admiten en una configuración del adaptador de red único. Tras publicar el equipo SQL Server en el firewall, configure los equipos cliente para que utilicen el protocolo TCP en el puerto 1433. Para configurar los
equipos cliente, puede utilizar la Herramienta de red de cliente SQL. También puede especificarlo en la cadena de conexión SQL.
Configurar la publicación de RDPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para publicar un servidor RDP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.2. En el panel Tareas, en la ficha Tareas, haga clic en Publicar protocolos de servidor no web para abrir el Asistente para nueva regla de publicación de servidor. 3. Complete el Asistente para nueva regla de publicación de servidor como se indica en la siguiente tabla.
Página Campo o propiedad Valor o acción
Bienvenido al Asistente para nueva regla de publicación de servidor
Nombre de la regla de publicación de servidor
Escriba un nombre para definir el protocolo. Por ejemplo, escriba:Publicar servidor RDP
Seleccionar servidor Dirección IP del servidor
Escriba la dirección IP del servidor RDP que desea publicar.
Seleccionar protocolo Protocolo seleccionado
En la lista desplegable, seleccione Servidor RDP (Servicios de Terminal Server). A continuación, haga clic en Puertos si desea reemplazar los puertos predeterminados en la definición del protocolo.
Puertos (aparece sólo si hace clic en Puertos en la página Seleccionar protocolo)
Puertos del firewall Seleccione una de las siguientes opciones:
205
Publicar a través del puerto predeterminado en la definición de protocolo. Con esta opción, Forefront TMG acepta solicitudes de cliente entrantes en el puerto 3389.
Publicar en este puerto en lugar del puerto predeterminado. Con esta opción, Forefront TMG acepta solicitudes de clientes entrantes en el puerto no estándar que se especifique y, a continuación, las reenvía al puerto designado en el servidor publicado.
Puertos del servidor publicado
Seleccione una de las siguientes opciones:
Enviar solicitudes al puerto predeterminado en el servidor publicado. Con esta opción, Forefront TMG acepta solicitudes para el servicio publicado en el puerto 3389.
Enviar solicitudes a este puerto en el servidor publicado. Con esta opción, Forefront TMG acepta solicitudes para el servicio publicado en un puerto diferente al puerto 3389.
Puertos de origen Seleccione una de las siguientes opciones:
Permitir tráfico de cualquier puerto de origen permitido. Con esta opción, Forefront TMG acepta solicitudes de cualquier puerto en los equipos cliente permitidos.
Limitar acceso al trafico de este intervalo de puertos de origen. Con esta opción, Forefront TMG acepta solicitudes sólo de los puertos especificados.
Direcciones IP de escucha de red
Escuchar solicitudes de estas redes
Seleccione la red Externa. Para seleccionar a qué direcciones IP específicas se desea que escuche Forefront TMG, haga clic en Direcciones y, a continuación, seleccione Direcciones IP especificadas del equipo Forefront TMG de la red seleccionada. En la lista Direcciones IP disponibles, seleccione la dirección IP apropiada, haga clic en Agregar y, a continuación, en Aceptar.En una matriz con varios miembros de matriz, seleccione la misma dirección IP virtual para cada miembro de matriz si se habilita el equilibrio de carga de red. De lo contrario, seleccione una dirección IP adecuada para cada miembro de la matriz.
Finalización del Asistente para nueva regla de publicación de servidor
Revise la configuración y haga clic en Finalizar.
4. Si desea que el Forefront TMG sólo permita a equipos específicos de Internet conectarse al servidor RDP publicado, siga estos pasos.
a. En el panel de detalles, seleccione la regla que acaba de crear.
b. En la ficha Tareas, haga clic en Editar regla seleccionada.
c. En la ficha De, haga clic en En cualquier lugar y, a continuación, en Quitar.
d. Haga clic en Agregar, en Nuevo y, a continuación, en Conjunto de equipos.
e. Escriba un nombre para el nuevo conjunto de equipos y agregue al conjunto de equipos los equipos que podrán conectarse al servidor RDP.
f. Haga clic en Aceptar.
g. En la página Agregar entidades de red, seleccione el conjunto de equipos que ha creado, haga clic en Agregar y, a continuación, en Cerrar.
h. Haga clic en Aceptar.
5. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
Para obtener más información sobre la publicación en el servidor, vea Acerca de cómo publicar servidores no web. De forma predeterminada, las solicitudes de clientes reenviadas por Forefront TMG al servidor publicado parecen provenir de la dirección IP del cliente
original. En este caso, la puerta de enlace predeterminada del servidor RDP debe establecerse en la dirección IP del adaptador de red del equipo Forefront TMG a través del que se conecta el servidor RDP. Como alternativa, puede configurar su regla de publicación de servidor de manera que las solicitudes de clientes reenviadas parezcan provenir del equipo Forefront TMG en la ficha A de las propiedades de la regla de publicación de servidor.
Las reglas de publicación de servidor suelen utilizarse cuando hay una relación NAT (traducción de direcciones de red) definida por una regla de red entre la red donde se encuentran los clientes que envían solicitudes al servidor publicado y la red en la que se encuentra el servidor publicado. Las reglas de publicación de servidor también pueden utilizarse cuando la regla de red entre la red del cliente y la red donde se encuentra el servidor define una relación de enrutamiento. Sin embargo, en este caso, los clientes deben enviar solicitudes directamente a la dirección IP del servidor publicado.
Las reglas de publicación de servidor no se admiten en una configuración del adaptador de red único.
Proteger sus redesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG tiene varias tecnologías de protección que le permiten proteger los equipos y servidores en su red extendida. En los siguientes temas se describe cómo habilitar, configurar y conservar actualizadas estas protecciones:
Nota:
Para obtener más información sobre estas protecciones, vea Guía de diseño de protección para Forefront TMG.
206
Configurar la protección de las vulnerabilidades conocidas: describe cómo proteger sus redes de los intentos de aprovecharse de las vulnerabilidades conocidas en aplicaciones y sistemas operativos.
Configurar la protección de los ataques a la red: describe cómo proteger sus redes del desbordamiento, DNS y otros tipos de ataques.
Configurar la protección de las amenazas basadas en web: describe cómo proteger su organización del malware y otras amenazas basadas en web:
Configurar la protección de las amenazas basadas en correo electrónico: describe cómo proteger sus servidores de correo SMTP (y, por consiguiente, los destinatarios de correo electrónico) de correo no deseado, virus y otro malware.
Administrar actualizaciones de definición para Forefront TMG: describe cómo configurar los mecanismos de actualización para estas protecciones.Configurar la protección de las vulnerabilidades conocidasPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se describe cómo proteger su organización de los ataques que aprovechan las vulnerabilidades conocidas en los sistemas operativos y aplicaciones de Microsoft:
Habilitar y configurar el sistema de inspección de red: describe cómo habilitar y configurar el sistema de inspección de red (NIS), que es la parte basada en firmas del sistema de prevención de intrusiones de Forefront TMG.
Administrar las descargas de firmas de NIS: describe cómo configurar las actualizaciones de firmas automáticas para el sistema de inspección de red.
Activar un conjunto de firmas diferente: describe cómo cambiar la versión del conjunto de firmas activo, lo que resulta útil para solucionar problemas.
Definir excepciones del sistema de inspección de red: describe cómo excluir las entidades de red de las detecciones del sistema de inspección de red (NIS).
Administrar firmas de NIS individuales: describe cómo modificar la directiva de respuesta de NIS para una firma individual.
Probar la funcionalidad del NIS: describe cómo comprobar que el NIS funciona correctamente.Habilitar y configurar el sistema de inspección de redPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar y configurar el Sistema de inspección de red (NIS), que es la parte basada en firmas del Sistema de prevención de intrusiones de Forefront TMG. NIS usa las firmas de vulnerabilidades conocidas del Centro de protección contra malware de Microsoft (http://go.microsoft.com/fwlink/?LinkId=160624) para ayudar a detectar y bloquear tráfico malintencionado. El NIS, que se habilita de forma predeterminada, se puede configurar desde el Asistente de introducción. En los siguientes procedimientos se describe:
Habilitar el NIS
Configurar la respuesta en anomalías de protocolo
Nota:
Para que Forefront TMG pueda empezar a bloquear ataques a vulnerabilidades conocidas, debe descargar el conjunto de firmas de NIS más reciente. Para obtener instrucciones, vea Administrar las descargas de firmas de NIS.
Habilitar el NIS
Para habilitar el NIS1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo nombre de servidor.2. En la ficha Tareas, haga clic en el asistente para Iniciar Introducción y, a continuación, haga clic en Definir las opciones de implementación.3. Realice una selección en la página Configuración de Microsoft Update y haga clic en Siguiente.4. En la página Configuración de características de protección de Forefront TMG, compruebe que la licencia para NIS está establecida en Activar licencia
complementaria y habilitar NIS. 5. En la página Configuración de actualización de firmas de NIS, tenga en cuenta lo siguiente:
a. Si desea instalar automáticamente nuevos conjuntos de firmas, asegúrese de que la opción Comprobar e instalar actualizaciones (recomendado) está seleccionada.
b. La configuración Frecuencia de sondeo automático solo se aplica al NIS. La configuración de la frecuencia de sondeo para otras protecciones actualizables se encuentra en el Centro de actualización.
c. La opción Seleccione la directiva de respuesta de las nuevas firmas solo se aplica a las firmas descargadas e instaladas recientemente. La configuración se aplica a todos los conjuntos de firmas que se descargan. Todas las firma que no estén establecida en la respuesta predeterminada de Microsoft se marcan como que requieren atención en la ficha Sistema de inspección de red, que se encuentra en el panel de detalles Sistema de prevención de intrusiones.
Configurar la respuesta en anomalías de protocolo
Para configurar la respuesta del NIS en anomalías de protocolo1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En la ficha Tareas, haga clic en Definir excepciones del sistema de inspección de red.3. En la ficha Directiva de anomalías de protocolo, configure la respuesta del NIS en anomalías de protocolo.4. Cuando haya finalizado, en la barra Aplicar cambios, haga clic en Aplicar.
Administrar las descargas de firmas de NISPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar las actualizaciones de firmas automáticas para el sistema de inspección de red (NIS), que es la parte basada en firmas del sistema de prevención de intrusiones de Forefront TMG. NIS utiliza firmas desarrolladas por el Centro de protección contra malware de Microsoft (http://go.microsoft.com/fwlink/?LinkId=160624) para proteger sistemas que no se hayan actualizado con las últimas actualizaciones de software de los ataques que aprovechan vulnerabilidades conocidas de los sistemas operativos y aplicaciones de Microsoft. Para mantener los sistemas protegidos de las amenazas de malware más recientes, se recomienda que compruebe que tiene conectividad con el origen de actualización adecuado y que habilita la instalación automática de las firmas más recientes.Para obtener más información sobre cómo configurar la conectividad a Microsoft Update o Windows Server Update Services (WSUS), vea Administrar actualizaciones de definición para Forefront TMG. Para poder utilizar Forefront TMG para bloquear los ataques que aprovechan las vulnerabilidades conocidas, debe descargar el último conjunto de firmas de NIS. En los siguientes procedimientos se proporcionan instrucciones acerca de cómo configurar las actualizaciones de los conjuntos de firmas de NIS y cómo comprobar que NIS está recibiendo las actualizaciones.
207
Nota:
Las firmas descargadas recientemente solo se aplican a las nuevas conexiones. Sin embargo, NIS inspecciona el contenido almacenado en memoria caché con el conjunto de firmas activo cada vez que un cliente lo solicita.
Para configurar las descargas de conjuntos de firmas de NIS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En la ficha Tareas, haga clic en Configurar propiedades. 3. En la ficha Actualizaciones de definiciones, en Acción automática de actualización de definiciones, seleccione una de las siguientes opciones:
Buscar e instalar actualizaciones (recomendado): seleccione esta configuración para descargar e instalar automáticamente las actualizaciones de definición de firmas más recientes.
Solo buscar definiciones: seleccione esta configuración para recibir notificación de la disponibilidad de las nuevas firmas para descargarlas.
Ninguna acción automática: seleccione esta configuración para deshabilitar las actualizaciones automáticas.4. En Directiva de respuesta para nuevas firmas, seleccione una de las siguientes opciones:
Directiva predeterminada de Microsoft (recomendado): seleccione esta configuración para aceptar la respuesta predeterminada a la firma.
Detectar solo respuesta: seleccione esta configuración para guardar un registro solo cuando se detecte tráfico que coincida con esta firma.
Sin respuesta (deshabilitar firma): seleccione esta configuración para no realizar ninguna acción y no se guardará un registro si detecta tráfico que coincida con esta firma.
Para comprobar que NIS está recibiendo las actualizaciones
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Centro de actualizaciones.2. En el panel de detalles, compruebe si la última actualización de NIS se realizó correctamente. 3. Si no es así, haga clic en Sistema de inspección de red (NIS) y, a continuación, en el panel Tareas, haga clic en Buscar definiciones. 4. Si el sistema no puede descargar una actualización de NIS, compruebe la configuración de la red.
Activar un conjunto de firmas diferentePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo cambiar la versión del conjunto de firmas activo, lo que resulta útil para solucionar problemas. El sistema de inspección de red (NIS) actualiza periódicamente la base de datos de vulnerabilidades conocidas mediante la descarga de un nuevo conjunto de firmas desde Microsoft Update. Puede usar el control de versiones para deshacer hasta un conjunto de firmas anterior o activar la versión más reciente.
Nota:
Al activar un conjunto de firmas del sistema de inspección de red anterior puede exponer la red a amenazas recién descubiertas.
Para activar otro conjunto de firmas
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En la ficha Tareas, haga clic en Configurar opciones.3. En la ficha Actualizar configuración, haga clic en Control de versiones.4. Haga clic en Seleccione el conjunto de firmas de NIS que desee activar; a continuación, en la lista, seleccione el conjunto de firmas requerido y haga clic en
Activar.5. En la barra Aplicar cambios, haga clic en Aplicar.
Definir excepciones del sistema de inspección de redPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo excluir las entidades de red de las detecciones del Sistema de inspección de red (NIS). Una entidad típica que podría desear excluir es una dirección IP de detección, que es una dirección IP aislada y desprotegida que usa un administrador del firewall para obtener información sobre varios ataques a la red.Para que las entidades de red queden exentas de las detecciones del Sistema de inspección de red
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. Haga clic en la ficha Sistema de inspección de red (NIS) y en la ficha Tareas, haga clic en Definir excepciones.3. En la ficha Excepciones, haga clic en Agregar y, a continuación, seleccione las entidades de red que desea excluir de la inspección.
Sugerencia:
Si desea quitar una entidad de red de la lista, selecciónela y haga clic en Quitar.
4. Cuando haya finalizado, en la barra Aplicar cambios, haga clic en Aplicar. Administrar firmas de NIS individualesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar la directiva de respuesta del sistema de inspección de red (NIS). NIS usa las firmas de vulnerabilidades conocidas del Centro de protección contra malware de Microsoft (http://go.microsoft.com/fwlink/?LinkId=160624) para ayudar a detectar y a bloquear potencialmente el tráfico malintencionado. Puede configurar cada firma, habilitar o deshabilitar las firmas y establecer firmas para bloquear o solo detectar los ataques. Puede cambiar la directiva de respuesta de NIS para una firma individual, para grupos de firmas o para el sistema completo, tal y como se describe en los siguientes procedimientos.Para modificar la directiva de respuesta de NIS para una firma individual
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En el panel de detalles de la ficha Sistema de inspección de red (NIS), haga clic en la firma que desea modificar y, a continuación, en la ficha Tareas, haga clic en
Configurar propiedades. 3. En la ficha General, puede cambiar la configuración efectiva de la firma. Para invalidar la configuración predeterminada de Microsoft, haga clic en
Personalizada, haga clic en Habilitar y, a continuación, seleccione Bloquear en la lista.
208
Nota:
Para obtener más información acerca de esta firma, haga clic en Más información sobre esta firma de NIS en línea.
4. Haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.Para modificar la directiva de respuesta de NIS para un grupo de firmas
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En el panel de detalles de la ficha Sistema de inspección de red (NIS), en la lista Agrupar por, seleccione la categoría según la que desea agrupar las firmas
pertinentes. 3. Haga clic con el botón secundario en el título de grupo de la sección que desea modificar y haga clic en Habilitar firma o Deshabilitar. (Por ejemplo, si ha
agrupado las firmas por Gravedad, haga clic con el botón secundario en Moderada).4. En la barra Aplicar cambios, haga clic en Aplicar.
Para modificar la directiva de respuesta de NIS para todo el sistema
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En la ficha Sistema de inspección de red (NIS), seleccione una de las siguientes opciones del panel Tareas:
Establecer todas las respuestas a los valores predeterminados de Microsoft.
Establecer todas las respuestas a Solo detectar.3. En la ventana Configuración de la directiva de respuesta global, seleccione Aplicar la configuración seleccionada a los conjuntos de firmas recién descargados si
desea que esta configuración se aplique también a las nuevas firmas. 4. Haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Probar la funcionalidad del NISPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo comprobar que el Sistema de inspección de red (NIS) está configurado correctamente y protegiendo activamente sus redes del ataque. En todos los conjuntos de firmas de NIS se incluyen varias firmas de pruebas que puede usar para probar que el NIS está funcionando de manera correcta. En el siguiente procedimiento se describe cómo confirmar que el NIS está configurado correctamente, y de no ser así, cómo diagnosticar y resolver el problema.Requisitos previos
Para probar que el NIS está funcionando de la manera esperada, debe tener un cliente interno que pueda tener acceso a Internet a través de Forefront TMG.Para probar la funcionalidad del NIS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En el panel de detalles de la ficha Sistema de inspección de red (NIS), haga doble clic en la firma Plcy:Win32/NIS.Signature.Test!0000-0000. 3. En la ficha General, compruebe que la configuración efectiva de la firma está establecida en Personalizada, Habilitar y Bloquear. Anote o copie la ruta de acceso
completa del nombre de dominio que se muestra en el cuadro de descripción de firma. 4. En el explorador del cliente interno, escriba o pegue la ruta de acceso completa del nombre de dominio e intente tener acceso al sitio web. Si el NIS está
funcionando correctamente, recibirá un mensaje de error del explorador: Mensaje de acceso a redes: no se puede mostrar la página. Nota en la sección Información técnica (para personal de soporte técnico), el código de error es 502 Error de proxy. IPS bloqueó el tráfico.
5. Si no recibe una página de error, puede deberse a una de las siguientes razones: El NIS no está habilitado. Para obtener instrucciones acerca de cómo habilitar el NIS, vea Habilitar y configurar el sistema de inspección de red.
La solicitud HTTP no se envía a través de este servidor de Forefront TMG. Compruebe la configuración del proxy del explorador y los registros de Forefront TMG para ver si el tráfico web del equipo cliente está alcanzando este servidor.
El equipo cliente se excluye de la inspección del NIS. Para obtener instrucciones acerca de cómo agregar y quitar entidades de red de la lista de exclusión de NIS, vea Definir excepciones del sistema de inspección de red.
La dirección URL especificada en la barra de direcciones del explorador es incompleta. Compruebe que coincide exactamente con la dirección URL de la descripción de la firma.
Configurar la protección de los ataques a la redPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG proporciona protección frente a los ataques a las redes con características de detección de ataques sofisticados, como, por ejemplo, la detección de intrusiones, la mitigación de los ataques "flood" de congestión del servidor y la detección de suplantación de identidad.En los temas siguientes se describe cómo proteger su organización de los ataques de DNS y de otro tipo, y cómo definir la configuración para la mitigación de los ataques "flood" de congestión del servidor:
Proteger frente a DNS y otros ataques: describe cómo configurar el filtro DNS como ayuda para mitigar los ataques de DNS.
Establecer los límites de conexión de mitigación de los ataques "flood": describe cómo proteger el sistema de los ataques "flood" de congestión del servidor.Proteger frente a DNS y otros ataquesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En Forefront TMG, el Filtro DNS intercepta y analiza todo el tráfico DNS destinado para los servidores DNS publicados (es decir, servidores DNS a los que se tiene acceso a través de reglas de publicación). Cuando la detección de ataques DNS está habilitada, puede especificar los tipos de actividades sospechosas que desea que compruebe el Filtro DNS. Para obtener más información acerca de la detección de los ataque DNS, vea Planeación de la protección frente a ataques comunes y ataques DNS.Para habilitar la detección y el filtrado de ataques de DNS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones.2. En el panel de detalles de la ficha Detección de intrusiones por comportamiento, haga clic en Configurar la detección de ataques de red habituales.3. En la ficha Ataques de DNS, seleccione Habilitar la detección y filtrado de ataques de DNS.4. Seleccione uno o más de los tipos siguientes de actividad sospechosa:
Desbordamiento de nombres de host DNS: seleccione esta opción si desea que Forefront TMG compruebe los intentos de desbordamiento del nombre de host DNS. El filtro DNS intercepta y analiza el tráfico DNS destinado a la red interna. Se produce un desbordamiento de nombres de host DNS cuando una respuesta DNS para un nombre de host sobrepasa una longitud fija especificada (255 bytes).
209
Desbordamiento de longitud DNS: seleccione esta opción si desea que Forefront TMG compruebe los intentos de desbordamiento de longitud DNS. Se produce un desbordamiento de longitud DNS cuando la respuesta DNS para una dirección IP sobrepasa una longitud especificada de 4 bytes.
Transferencia de zona DNS: seleccione esta opción si desea que Forefront TMG compruebe los intentos de transferencia de zona DNS. Se produce un intento de transferencia de zona DNS cuando un sistema cliente utiliza una aplicación cliente DNS para transferir zonas desde un servidor DNS interno.
5. Haga clic en Aceptar.6. En el panel de detalles, haga clic en Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Nota:
De manera predeterminada, la detección de ataques de DNS está habilitada para detectar intentos del desbordamiento de longitud DNS y nombre de host DNS.
Cuando la detección de ataques de DNS está habilitada y se detectan paquetes malintencionados, éstos se eliminan y se genera un evento que activa una alerta de intrusión DNS.
Establecer los límites de conexión de mitigación de los ataques "flood"Publicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo proteger su sistema de los ataques "flood" de congestión del servidor. Los ataques "flood" de congestión del servidor son intentos por parte de usuarios malintencionados de atacar a una red mediante un ataque de denegación de servicio HTTP, un ataque de SYN, propagación de gusanos u otros medios que puedan agotar los recursos de la víctima o deshabilitar sus servicios. Aunque las opciones de configuración predeterminada para la mitigación de los ataques "flood" de congestión del servidor ayudan a garantizar que Forefront TMG puede seguir funcionando en un ataque de este tipo, hay algunas acciones que se pueden realizar durante dicho ataque para mitigar más su efecto. Para obtener más información acerca de la detección y mitigación de los ataques "flood" de congestión del servidor, así como otra configuración que pueda resultar adecuada para su implementación, vea Planeación para protegerse contra los ataques de tipo “flood” de denegación de servicio.Forefront TMG proporciona un mecanismo de mitigación de ataque "flood" de congestión del servidor que usan los siguientes elementos:
Límites de conexión que se utilizan para identificar y bloquear tráfico malintencionado.
Registro de eventos de mitigación de ataques "flood" de congestión del servidor.
Alertas que se desencadenan cuando se supera un límite de conexiones.Para configurar la mitigación del desbordamiento
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Sistema de prevención de intrusiones y, a continuación, haga clic en la ficha Detección de intrusiones por comportamiento.
2. En el panel de detalles, haga clic en Configurar mitigación de ataques ''flood'' de congestión del servidor.3. En la ficha Mitigación de ataques "flood" de congestión del servidor, compruebe que está seleccionado Habilitar prevención para ataques de tipo "flood" y
propagación de gusanos. Esta opción está seleccionada de forma predeterminada. 4. Para modificar la configuración de cada límite de conexión, haga clic en Editar. En la tabla siguiente se muestra una lista de los posibles predeterminados.
Ajuste del límite de conexiones Valores predeterminados
Máximo de solicitudes de conexión TCP por minuto y dirección IP 600 (personalizado: 6,000)
Máximo de conexiones TCP simultáneas por dirección IP 160 (personalizado: 400)
Máximo de conexiones TCP semiabiertas (no configurable) 80
Máximo de solicitudes HTTP por minuto y dirección IP 600 (personalizado: 6,000)
Máximo de nuevas sesiones no TCP por minuto por regla 1,000
Máximo de sesiones UDP simultáneas por dirección IP 160 (personalizado: 400)
Especificar cuántos paquetes denegados desencadenarán una alerta 600
5. Para registrar el tráfico bloqueado, asegúrese de que Registrar tráfico bloqueado por la configuración de mitigación de ataques "flood" de congestión del servidor se ha seleccionado. Esta opción está seleccionada de forma predeterminada.
6. En la ficha Excepciones IP, haga clic en Agregar para agregar los objetos de red a los que desea aplicar los límites personalizados.Configurar la protección de las amenazas basadas en webPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se describe cómo proteger su organización del malware y otras amenazas procedentes de Internet:
Configurar la inspección de código malintencionado: describe cómo habilitar y configurar la inspección de los archivos y las páginas web solicitadas por el usuario para ver el contenido perjudicial.
Configurar la inspección de HTTPS: describe cómo habilitar la inspección de tráfico HTTPS de salida, para proteger su organización ante los riesgos de seguridad inherentes a los túneles de capa de sockets seguros (SSL).
Configurar filtrado HTTP: describe cómo configurar el filtro HTTP de capa de aplicación para permitir únicamente el tráfico HTTP que cumple la directiva corporativa y las necesidades de seguridad.
Configurar la inspección de código malintencionadoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Con Forefront TMG puede inspeccionar el tráfico HTTP saliente en busca de malware (como gusanos, virus y spyware). Al habilitar la inspección de malware en las reglas de acceso web, el filtro de inspección de malware analiza las páginas web y los archivos que han solicitado los equipos cliente, y limpia el contenido HTTP perjudicial o impide que tenga acceso a la red corporativa.
210
Nota:
La inspección de salida hace referencia a las solicitudes HTTP que se originan en los clientes en redes protegidas por Forefront TMG.
El filtro de inspección de malware se puede configurar tanto en el nivel global para todos los miembros de la matriz como en el nivel de regla de acceso. Para obtener información general acerca del filtro de inspección de malware, vea Planeación para proteger frente a contenido web malintencionado.
Configurar los valores globales de malwareEn los temas siguientes se describe cómo configurar los valores globales del filtro de inspección de malware:
Habilitar la inspección de malware: describe cómo habilitar la protección contra malware en Forefront TMG.
Configurar las opciones de inspección de malware: describe cómo configurar los niveles de umbral y otras opciones de detección.
Definir las exenciones a la inspección de malware: describe cómo especificar los orígenes o los destinos que se desean excluir de la inspección de malware.
Configurar la entrega del contenido de inspección de malware: describe cómo establecer el método por el que se debe informar a los clientes del progreso de las descargas de archivo y otro contenido, a medida que se inspeccionan.
Configurar las actualizaciones de definición de malware: describe cómo configurar la actualización automática de las definiciones de malware y el motor de malware.
Configurar la ubicación de almacenamiento de la inspección de malware: describe cómo especificar una ubicación para almacenar archivos durante el proceso de inspección.
Configurar los valores de malware por reglaPara obtener instrucciones acerca de cómo configurar malware para reglas de acceso individuales, vea el tema Configurar las propiedades de la regla de acceso web. En concreto, vea:
Modificar la configuración de inspección de malware para una regla: describe cómo habilitar la inspección de malware y configurar los valores de malware personalizados para una regla específica.
Modificar la notificación de denegación: describe cómo crear un mensaje personalizado para los usuarios cuando Forefront TMG deniega el acceso a contenido web infectado por malware.
Habilitar la inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar la inspección de código malintencionado en el tráfico HTTP de las solicitudes salientes. En Forefront TMG, la inspección de malware se habilita globalmente y, a continuación, por reglas. Para habilitar la inspección de malware en Forefront TMG, debe:
1. Activar la licencia de protección web.2. Habilitar la inspección de malware en reglas de acceso web.
En los siguientes procedimientos se describe cómo completar los pasos anteriores habilitando la inspección de malware:
Habilitar la inspección global de código malintencionado
Habilitar inspección de malware en reglas de directiva de acceso webHabilitar la inspección global de código malintencionado
Para habilitar la inspección global de malware1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo nombre de servidor.2. En la ficha Tareas, haga clic en el asistente para Iniciar Introducción y, a continuación, haga clic en Definir las opciones de implementación.3. Realice una selección en la página Configuración de Microsoft Update y haga clic en Siguiente.4. En la página Configuración de características de protección de Forefront TMG, haga lo siguiente:
a. Seleccione una de las licencias para habilitar la protección web.b. Si ha seleccionado la opción Activar la licencia de pago y habilitar la protección web, escriba el código de activación de la licencia junto a la Clave.c. Compruebe que la opción Habilitar inspección de malware está seleccionada.
5. Siga avanzando a través del asistente y, a continuación, haga clic en Finalizar.
Nota:
Al habilitar la inspección de malware, Forefront TMG descarga automáticamente el motor de inspección de malware y las firmas más recientes. Esta descarga inicial puede tardar varios minutos, tiempo durante el cual el tráfico de HTTP no se inspecciona en busca de malware. De forma predeterminada, el tráfico se permite en las reglas de acceso en las que se aplica la inspección de malware. Sin embargo, puede bloquear el tráfico en dichas reglas. Para ello, en el nodo de Directiva de acceso web, haga clic en Configurar inspección de malware y, a continuación, en la ficha General, haga clic en Bloquear el tráfico en las reglas pertinentes hasta que se complete la descarga.
Habilitar inspección de malware en reglas de directiva de acceso web
Después de habilitar la inspección de malware globalmente en Forefront TMG, debe habilitarlo en reglas de acceso concretas, de la siguiente manera:
Si está creando nuevas reglas de acceso, puede habilitar la inspección mediante el Asistente para directivas de acceso web o el Asistente para nueva regla de acceso.
Si ya dispone de una regla en la que desea aplicar inspección de malware, puede modificar las propiedades de la regla.Para habilitar la inspección de malware mediante el Asistente para directivas de acceso web
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, en el recuadro Tareas, haga clic en Configurar directiva de acceso web.
2. Siga las instrucciones en pantalla para crear reglas de directiva de acceso web.
211
3. En la página Configuración de la inspección de malware, haga clic en Inspeccionar el contenido web solicitado desde Internet. Si es necesario, seleccione Bloquear archivos cifrados (por ejemplo, archivos zip).
4. Siga avanzando a través del asistente. Después de hacer clic en Finalizar, haga clic en Aplicar en la barra Aplicar cambios.Para habilitar la inspección de malware con el Asistente para nueva regla de acceso
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, en el recuadro Tareas, haga clic en Crear regla de acceso.
2. Siga las instrucciones en pantalla para crear una regla de acceso. Para obtener más información, vea Crear una regla de acceso.3. En la página Inspección de código malintencionado, seleccione Habilitar la inspección de código malintencionado para esta regla.
Para habilitar la inspección de malware en reglas existentes1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web. 2. En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Propiedades.3. En la ficha Inspección de malware, seleccione Inspeccionar contenido descargado de servidores web a clientes.4. Aunque se recomienda que conserve la configuración predeterminada, puede establecer las opciones de inspección de malware para esta regla que son diferentes
de las establecidas globalmente. Para ello, haga clic en Usar la configuración específica de la regla para la inspección de malware. A continuación, haga clic en Configuración de reglas para ajustar con precisión los umbrales de bloque de inspección de malware y otras opciones para esta regla. Para obtener más información acerca de la configuración de inspección de malware, vea Configurar las opciones de inspección de malware.
Configurar las opciones de inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Al crear una regla de acceso web y habilitar la inspección de malware en dicha regla, se aplica un conjunto predeterminado de opciones de inspección de malware y umbrales a dicha regla. Puede ajustar estas opciones y umbrales de dos maneras diferentes:
Modificando la configuración de la inspección del malware global: la configuración se aplica de manera predeterminada a todas las reglas de acceso en la que la inspección de malware está habilitada.
Modificando la configuración para las reglas de acceso web individuales: la configuración por regla invalida la configuración de inspección de malware global. Para obtener más información, vea Crear una regla de acceso.
Para obtener una descripción de tipos de archivos de inspección de malware, vea Planeación para proteger frente a contenido web malintencionado.En el siguiente procedimiento se describe cómo configurar las opciones de inspección de malware globales.Para configurar las opciones de inspección de malware globales
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware.3. Haga clic en la ficha Configuración de inspección y especifique si el motor de inspección de malware debe intentar limpiar los archivos y qué tipo de contenido
se debe bloquear. Se recomienda conservar la configuración predeterminada. Tenga en cuenta las consideraciones siguientes: Si Intentar limpiar archivos infectados está habilitado, los archivos que no se pueden limpiar se purgan. Al usar la generación, Forefront TMG cierra la
conexión TCP y graba el motivo en el registro. Al usar la notificación de progreso, Forefront TMG emite una página HTML para notificar al usuario que se ha bloqueado el archivo.
Nota:
Para obtener más información acerca de la generación y la notificación del progreso, vea Configurar la entrega del contenido de inspección de malware.
La configuración Bloquear archivos sospechosos está diseñada para bloquear archivos que parecen estar infectados con malware desconocido.
De manera predeterminada, la opción Bloquear archivos dañados está desactivada. Activar esta opción puede provocar un falso positivo y bloquear archivos que en realidad no son dañinos.
La opción Bloquear archivos si el nivel de profundidad del archivo supera está diseñada para bloquear malware que llega en archivos con anidamiento profundo para evitar la detección.
La configuración Bloquear archivos de almacenamiento si el tamaño del contenido desempaquetado es superior a (MB) está diseñada para evitar la descompresión de archivos de almacenamiento pequeños en un tamaño grande cuando se desempaquetan
Nota:
Para detectar malware en el tráfico HTTPS, debe habilitar la inspección de HTTPS. Para obtener más información, vea Configurar la inspección de HTTPS.
Definir las exenciones a la inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo excluir las entidades de red de las detecciones de inspección de malware. Puede excluir orígenes y destinos, de la siguiente manera:
Excluyendo orígenes: la razón principal para la exclusión de orígenes de la inspección de malware es evitar examinar contenido más de una vez, lo cual afecta al rendimiento y resulta problemático en algunos escenarios. Un escenario típico es cuando se examina el contenido en busca de malware por parte de un proxy que sigue en la cadena. En ese caso, debería configurar el proxy que precede en la cadena para excluir de la detección a todas las solicitudes que proceden del proxy posterior.
Excluyendo destinos: las dos razones principales para excluir destinos de la inspección de malware son mejorar el rendimiento mediante la exclusión de sitios de confianza y resolver los problemas de compatibilidad.
En el siguiente procedimiento se describe cómo excluir destinos y orígenes de la inspección de malware. Para especificar orígenes y destinos exentos de la inspección de malware
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware.3. Haga clic en la pestaña Excepciones de destino o en la pestaña Excepciones de origen y, a continuación, haga clic en Agregar.
212
4. En el cuadro de diálogo Agregar entidades de red, haga clic en Nueva y, a continuación, seleccione los objetos de red excluidos. Puede especificar una red completa, equipos o direcciones IP, o conjuntos de nombres de dominio y conjuntos de direcciones URL. Si selecciona nombres de dominio, asegúrese de que puedan resolverse por el Sistema de nombres de dominio (DNS).
5. Para modificar el conjunto de dominios predeterminado (solo excepciones de destino) u otros objetos de red excluidos, seleccione la entrada correspondiente y haga clic en Editar.
6. Para quitar sitios de la lista de excepciones, seleccione la entrada correspondiente y, a continuación, haga clic en Quitar.7. Cuando haya finalizado, haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Configuración de la inspección de malware con el encadenamiento de proxy web
En una implementación de encadenamiento de proxy web, no está admitido habilitar la inspección de malware a la vez en el servidor de Forefront TMG que precede y que sigue en la cadena. Si tiene dicha implementación, debe asegurarse de que la inspección de malware seguro solo está habilitada en servidor precedente o en uno que sigue en la cadena, de la siguiente manera:
Configuración requerida cuando la inspección de malware está habilitada en el servidor precedente:
Realice los dos pasos siguientes:1. Al usar el encadenamiento de proxy web, la identidad de cada cliente se conoce en el servidor que sigue en la cadena pero no se propaga al servidor
precedente. Como resultado, todas las solicitudes de los usuarios que se encuentran detrás del servidor posterior comparten el mismo límite de almacenamiento temporal en el servidor que precede en la cadena. Para evitar que los usuarios que siguen en la cadena consuman todo este límite de almacenamiento temporal relativamente pequeño, agregue el servidor que sigue en la cadena al conjunto de equipos del servidor que precede en la cadena. Para ello, abra la consola de administración de Forefront TMG en el servidor que precede en la cadena. En el árbol, haga clic en el nodo Sistema de prevención de intrusiones, y en la ficha Detección de intrusiones por comportamiento, haga clic en Configurar mitigación de ataques ''flood'' de congestión del servidor. En la pestaña Excepciones IP, haga clic en Agregar y agregue el servidor que sigue en la cadena a la lista.
2. Deshabilite la inspección de malware que sigue en la cadena o en la regla de encadenamiento de web. Configuración requerida cuando la inspección de malware está habilitada en el servidor que sigue en la cadena:
Realice una de las acciones siguientes:
Deshabilite la inspección de malware en el servidor que precede en la cadena. Excluya el tráfico procedente de detrás del servidor que sigue en la cadena de la inspección por el servidor que precede en la cadena. Para ello, abra la
consola de administración de Forefront TMG en el servidor que precede en la cadena. En el árbol, haga clic en el nodo Directiva de acceso web, y en la ficha Tareas, haga clic en Configurar inspección de malware. En la ficha Excepciones de origen, haga clic en Agregar y excluya el servidor que sigue en la cadena del filtro de inspección de malware.
Configurar la entrega del contenido de inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo puede dar forma a la experiencia de usuario mientras se examina el contenido web en busca de malware. La inspección de malware puede causar retrasos en la entrega de contenido del servidor al cliente, por lo que Forefront TMG envía parte del contenido conforme se inspeccionan los archivos. Este proceso, denominado generación, evita que la aplicación cliente alcance el límite de tiempo de espera antes de que todo el contenido se descargue e inspeccione. Un método de entrega de contenido alternativo se denomina notificación de progreso. En lugar de enviar partes del contenido solicitado durante la inspección de malware, Forefront TMG envía una página HTML al cliente, en la que se informa al usuario de que se está inspeccionando contenido solicitado y en la que se muestra un indicador del progreso de descarga e inspección. Una vez que han finalizado la descarga y la inspección del contenido, se informa al usuario de que el contenido está listo y se muestra un botón para descargarlo.
Nota:
Al aplicar el método de entrega con notificación de progreso, después de que un usuario descarga un archivo, al hacer clic en Atrás en la ventana del explorador, puede que el archivo se muestre como una página en formato binario.
En el siguiente procedimiento se describe cómo configurar la entrega de contenido de inspección de malware.Para configurar la entrega del contenido de inspección de malware
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware y, a continuación, haga clic en la ficha Entrega de contenido.3. En Método de entrega de contenido predeterminado para el contenido examinado, seleccione uno de los siguientes:
Generación estándar: Forefront TMG mantiene la mayor parte del archivo en el servidor pero envía pequeñas cantidades de datos a la aplicación cliente para conservar la conexión. Se examina todo el archivo antes de enviarse al usuario.
Nota:
Si ha seleccionado la generación estándar como su método de entrega de contenido predeterminado, puede configurar tipos de contenido concretos que se van a procesar para la notificación de progreso y otros para la generación rápida.
Generación rápida: Forefront TMG envía los datos de la manera más rápida posible al usuario pero retiene la última parte para completar el examen antes de completar la transferencia. Este método requiere más recursos del servidor de Forefront TMG pero también ofrece una mejor experiencia al usuario.
Nota:
Si ha seleccionado la generación rápida como su método de entrega de contenido predeterminado, puede configurar determinados tipos de contenido que se van a procesar para la notificación de progreso.
4. Para especificar tipos de contenido que deberían desencadenar una página HTML de notificación de progreso, haga lo siguiente:
a. Haga clic en Usar notificación de progreso en lugar del método de entrega de contenido predeterminado para los tipos de contenido seleccionados.
213
b. Haga clic en Tipos de contenido para notificación de progreso y, a continuación, en la ventana de propiedades de Tipos de contenido que muestran
notificaciones de progreso, haga clic en la ficha Tipos de contenido.c. En Tipos disponibles, escriba un tipo de contenido en el cuadro o seleccione los tipos de contenido para agregarlos a la lista predeterminada y, a
continuación, haga clic en Agregar. Para quitar un tipo de contenido, selecciónelo en la lista Tipos seleccionados y, a continuación, haga clic en Quitar.
d. Cuando haya terminado de especificar los tipos de contenido, haga clic en Aceptar.
5. Para especificar tipos de contenido que usan el método de entrega de generación rápida, haga lo siguiente:a. Haga clic en Usar generación rápida para los tipos de contenido seleccionados.
b. Haga clic en Tipos de contenido para generación rápida y, a continuación, en la ventana de propiedades Tipos de contenido para generación rápida,
haga clic en la ficha Tipos de contenido.c. En Tipos disponibles, escriba un tipo de contenido en el cuadro o seleccione los tipos de contenido para agregarlos a la lista predeterminada y, a
continuación, haga clic en Agregar. Para quitar un tipo de contenido, selecciónelo en la lista Tipos seleccionados y, a continuación, haga clic en Quitar.
d. Cuando haya terminado de especificar los tipos de contenido, haga clic en Aceptar.
6. Haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.Configurar las actualizaciones de definición de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar actualizaciones automáticas de definiciones de malware. La inspección del malware usa definiciones, desarrolladas por el Centro de protección contra malware de Microsoft, para proteger los equipos cliente del contenido malintencionado en la web.Para proteger sus sistemas de las amenazas de malware más recientes, se recomienda que compruebe que tiene conectividad con el origen de actualización adecuado y que habilita la instalación automática de las definiciones más recientes.Para obtener más información sobre cómo configurar la conectividad a Microsoft Update o Windows Server Update Services (WSUS), vea Administrar actualizaciones de definición para Forefront TMG.Para que Forefront TMG pueda inspeccionar el tráfico en busca de malware, debe descargar las definiciones y el motor de inspección de malware más recientes. En los siguientes procedimientos se describe cómo configurar las actualizaciones de definición de malware y cómo comprobar que el mecanismo de actualización de inspección de malware está funcionando.Para configurar las actualizaciones de definición de malware
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware.3. Haga clic en la ficha Actualizaciones de definiciones y, a continuación, en Seleccione la acción automática de actualización de definiciones, elija una de las
configuraciones siguientes: Buscar e instalar definiciones (recomendado): seleccione esta configuración para descargar e instalar automáticamente las actualizaciones de
definición de malware más recientes. Sólo buscar definiciones: seleccione esta configuración si desea que se le notifique sobre las nuevas definiciones para la descarga.
Ninguna acción automática: seleccione esta configuración para deshabilitar las acciones de actualización automática.4. En Frecuencia de sondeo automático, seleccione la frecuencia de sondeo adecuada para su organización. La frecuencia predeterminada es Cada 15 minutos.
Para comprobar que el mecanismo de actualización de inspección de malware está funcionando
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Centro de actualización.2. En el panel de detalles, compruebe si la última actualización de Inspección de malware fue correcta. 3. Si se produjera un error en la actualización, haga clic en Inspección de malware, y a continuación en el panel Tareas, haga clic en Buscar definiciones. 4. Si el sistema no puede descargar una actualización para la inspección de malware, compruebe su configuración de la red.
Configurar la ubicación de almacenamiento de la inspección de malwarePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo cambiar la ubicación de archivo predeterminada de los archivos que se inspeccionan en busca de malware. Forefront TMG crea una carpeta denominada ScanStorage en la que almacenar archivos para inspección de malware. La ubicación predeterminada es %SystemRoot%\Temp\ScanStorage.
Nota:
Al descargar un gran número de archivos mayores de 64 KB, el rendimiento puede verse afectado. Si tiene estos problemas, se recomienda que mueva la carpeta ScanStorage a un disco físico independiente.
En el siguiente procedimiento se describe cómo puede modificar la ruta de acceso a la carpeta ScanStorage de su sistema.Para especificar una ubicación en la que almacenar archivos temporalmente para inspección
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En la ficha Tareas, haga clic en Configurar inspección de malware.3. En la ficha Almacenamiento, especifique la carpeta donde se deben conservar temporalmente los archivos para su inspección.
Importante:
La ruta de acceso especificada debe existir en todos los servidores de Forefront TMG de la matriz. Por consiguiente, se recomienda usar una variable de entorno (como %SystemRoot%) dentro del nombre de ruta para permitir el ajuste por servidor de la ruta de acceso.
Asegúrese de excluir esta carpeta de la inspección por cualquier otra aplicación de protección contra malware que se ejecute en el servidor de Forefront TMG.
Configurar la inspección de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Con Forefront TMG, puede inspeccionar el tráfico HTTPS saliente para proteger su organización de los riesgos para la seguridad inherentes a los túneles de la capa de sockets seguros (SSL), como:
214
Los virus y otro contenido malintencionado que podrían infiltrarse en la organización sin detectarse.
Los usuarios que omiten la directiva de acceso de la organización con aplicaciones de túnel a través de un canal seguro (por ejemplo, aplicaciones punto a punto).Para obtener información general acerca de la inspección de HTTPS, incluida la información con respecto a los certificados necesaria para la implementación, vea Planeación para la inspección de HTTPS.En los siguientes temas se describe cómo configurar e implementar la inspección de HTTPS.
Habilitar la inspección de HTTPS: describe cómo habilitar y configurar la inspección de HTTPS.
Generar el certificado de inspección de HTTPS: describe cómo generar el certificado de inspección de HTTPS o importar un certificado de una entidad de certificación (CA) existente a Forefront TMG.
Implementar el certificado de CA raíz de confianza de inspección HTTPS en los equipos cliente: describe cómo implementar el certificado de la entidad de certificación raíz de confianza de inspección de HTTPS en equipos cliente, a través de los Servicios de dominio de Active Directory o mediante importación manual.
Configurar la directiva de validación de certificado : describe cómo revisar la directiva de validación de certificado predeterminada y ajustarla si es necesario.
Excluir orígenes y destinos de la inspección de HTTPS: describe cómo excluir sitios de la directiva de inspección de HTTPS.
Notificar a los usuarios que se está inspeccionando el tráfico HTTPS: describe cómo configurar la notificación del cliente de que el tráfico de HTTPS se está inspeccionando.
Habilitar la inspección de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se proporcionan instrucciones acerca de cómo habilitar el certificado de inspección de HTTPS en las reglas de directiva de acceso web. Para ello, primero configure Forefront TMG para permitir a los usuarios que establezcan conexiones HTTPS a los sitios web y, a continuación, seleccione el tipo de inspección que desea habilitar. Puede configurar Forefront TMG para:
Inspeccionar el tráfico HTTPS saliente y validar los certificados de sitio HTTPS Validar los certificados de sitio HTTPS solamente Permitir el acceso a todos los sitios HTTPS, sin inspección
Para obtener información general acerca de la inspección de HTTPS, incluida la información con respecto a los certificados necesaria para la implementación, vea Planeación para la inspección de HTTPS1.Utilizar el Asistente para directivas de acceso web
Puede habilitar y configurar el acceso a los sitios HTTPS con el Asistente para directivas de acceso web o si edita las propiedades de Inspección de HTTPS. El Asistente para directivas de acceso web le ayuda a configurar la mayoría de los aspectos de la inspección de HTTPS; sin embargo, otras opciones solo están disponibles en las propiedades de Inspección de HTTPS. Las instrucciones del siguiente procedimiento se aplican al Asistente para directivas de acceso web. Habilitar la inspección de HTTPS
Para habilitar la inspección de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar directiva de acceso web. 3. En la página Configuración de la inspección de HTTPS del Asistente para directivas de acceso web, seleccione Permitir a los usuarios establecer conexiones
HTTPS con sitios web y, a continuación, seleccione uno de los siguientes tipos de protección: Para habilitar el certificado de inspección de HTTPS, seleccione Inspeccionar el tráfico HTTPS y validar los certificados de los sitios HTTPS y, a
continuación, haga clic en Siguiente. Para habilitar solamente la validación del certificado, seleccione No inspeccionar el tráfico HTTPS, pero validar los certificados de los sitios HTTPS.
Nota:
Si solo habilita la validación del certificado, no son pertinentes los restantes pasos de este procedimiento. Siga avanzando a través del asistente y, al final de este, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar. El próximo paso es configurar la directiva de validación de certificados. Para obtener información acerca de la configuración, vea Configurar la directiva de validación de certificado2.
4. En la página Preferencias de inspección de HTTPS del asistente, seleccione si desea notificar a los usuarios que se está inspeccionando el tráfico HTTPS. Si decide habilitar la notificación, realice lo siguiente:
a. Asegúrese de que cada equipo cliente está ejecutando el cliente de Forefront TMG.
b. Asegúrese de que cada equipo cliente tiene el certificado de la entidad de certificación raíz de confianza de la inspección de HTTPS instalado en el almacén de certificados de entidades de certificación raíz de confianza. Para obtener más información, vea Implementar el certificado de CA raíz de confianza de inspección HTTPS en los equipos cliente3.
5. En la página Preferencias de inspección de HTTPS, seleccione si desea crear el certificado de inspección de HTTPS con Forefront TMG, personalizar ciertos aspectos del certificado (como su nombre) o importar un certificado existente. Para obtener más información, vea Generar el certificado de inspección de HTTPS4.
6. En la página Preferencias de implementación de certificados, seleccione si se implementará el certificado de la entidad de certificación raíz de confianza de la inspección de HTTPS mediante los Servicios de dominio de Active Directory (AD DS) o mediante la exportación e importación del certificado (implementación manual).
215
Nota:
Al utilizar AD DS para implementar el certificado de la entidad de certificación raíz de confianza de la inspección de HTTPS en los equipos cliente, en el cuadro Nombre del administrador del dominio, escriba el nombre con el formato Dominio\Nombre de usuario. Tenga en cuenta que el dominio en el que se definen las cuentas de usuario debe ser el mismo dominio al que está unido Forefront TMG. Para obtener más información, vea Implementar el certificado de CA raíz de confianza de inspección HTTPS en los equipos cliente3.
7. Siga avanzando a través del asistente y, al final de este, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar.
Generar el certificado de inspección de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo generar el certificado de inspección de HTTPS que Forefront TMG usa para inspeccionar el tráfico para sitios web seguros. Cuando se habilita la inspección de HTTPS, Forefront TMG intercepta cualquier solicitud para tener acceso a un sitio HTTPS por un equipo cliente y suplanta dicho sitio web generando un certificado de Capa de sockets seguros (SSL) de ese sitio como y cuando sea necesario. Forefront TMG usa el certificado de inspección de HTTPS para firmar el certificado del sitio web creado recientemente.Hay dos métodos por los que puede generar un certificado de inspección de HTTPS:
Usando Forefront TMG Usando una entidad de certificación local (CA)
En el siguiente procedimiento se describe cómo generar el certificado con Forefront TMG. Para obtener información respecto a la generación del certificado de inspección de HTTPS mediante una CA local, vea Solicitar un certificado de una entidad de certificación local1.
Nota:
Al usar un certificado generado por una CA local, el certificado debe ser de confianza en el equipo de Forefront TMG.
Para obtener información general acerca de la inspección de HTTPS, incluida la información con respecto a los certificados necesaria para la implementación, vea Planeación para la inspección de HTTPS2.Para generar el certificado de inspección de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar directiva de acceso web y, a continuación, siga las instrucciones del Asistente para directivas de acceso web.3. En la página Configuración de la inspección de HTTPS del asistente, seleccione Permitir a los usuarios establecer conexiones HTTPS con sitios web y, a
continuación, seleccione Inspeccionar el tráfico HTTPS y validar los certificados de los sitios HTTPS. Haga clic en Siguiente.4. En la página Preferencias de inspección de HTTPS del asistente, seleccione una de las siguientes opciones:
Usar un certificado generado automáticamente por Forefront TMG: es la opción predeterminada, adecuada para la mayoría de las implementaciones. Usar un certificado personalizado: al elegir esta opción podrá realizar una de las siguientes opciones:
Escribir un nombre personalizado para el certificado de inspección de HTTPS y proporcionar otros detalles, como una fecha de expiración. Importar un certificado existente, lo que puede desear hacer si tiene una CA local. Si usa esta opción, asegúrese de que el certificado que
importa es un archivo de Intercambio de información personal (.pfx) y de que el uso de claves del certificado está definido para Firma de certificados.
Nota:
Esta opción se encuentra en la página Seleccionar entidad de certificación a la que se tiene acceso seleccionando primero Usar un certificado personalizado.
5. Haga clic en Finalizar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Nota:
El certificado de inspección de HTTPS se almacena en el almacenamiento de configuración y los miembros de la matriz pueden empezar a usar el certificado de inspección de HTTPS después de la sincronización con el almacenamiento de configuración.
Pasos siguientes
Implementar el certificado de CA raíz de confianza de inspección HTTPS en los equipos cliente3
Implementar el certificado de CA raíz de confianza de inspección HTTPS en los equipos clientePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)
216
En este tema se describe cómo importar el certificado de la entidad de certificación (CA) de raíz de confianza de inspección HTTPS a los equipos clientes. Al implementar la inspección HTTPS en su organización, este certificado se debe instalar en todos los equipos cliente. Hay dos métodos con los que se puede importar el certificado de CA raíz de confianza de inspección HTTPS en equipos clientes:
Automáticamente a través de los Servicios de dominio de Active Directory (AD DS): la implementación automática con AD DS es el método recomendado porque el certificado se almacena en una ubicación segura y ahorra a los administradores la sobrecarga de la implementación manual.
Nota:
La implementación automática de certificados requiere que Forefront TMG se implemente en un entorno de dominio.
Manualmente en cada equipo cliente: si no está usando AD DS, el certificado se debe instalar manualmente en todos los equipos cliente y se debe colocar en el almacén de certificados del equipo local.
Nota:
En este tema se describe cómo implementar o importar el certificado de CA de raíz de confianza de inspección HTTPS en los equipos cliente que usan Internet Explorer para tener acceso a los sitios HTTPS. Para configurar los demás exploradores web para que confíen en el certificado, consulte la documentación del explorador web.
En los siguientes procedimientos se describe:
Implementar el certificado automáticamente Quitar un certificado implementado automáticamente Implementar el certificado de la entidad emisora de certificados (CA) manualmente
Implementar el certificado automáticamente
Para implementar el certificado mediante AD DS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar directiva de acceso web. 3. En la página Preferencias de implementación de certificados, en el cuadro Nombre del administrador del dominio, escriba el nombre con el formato Dominio\
Nombre de usuario.
Nota:
Las credenciales que escriba deben tener privilegios suficientes para actualizar AD DS y permitir ejecutar los procesos en Forefront TMG.
4. Siga avanzando a través del asistente y haga clic en Finalizar al final En la barra Aplicar cambios, haga clic en Aplicar. No se necesita ninguna configuración adicional; el certificado se reenvía a Active Directory y se implementa automáticamente a los equipos cliente.
Importante:
La implementación en los equipos clientes se produce una vez aplicada la directiva de grupo y puede tardar hasta ocho horas. Hasta que los equipos cliente reciben el certificado, el acceso a los sitios web HTTPS generará un mensaje de advertencia en Internet Explorer. Para
evitarlo, se recomienda que deshabilite la inspección de HTTPS temporalmente. Para ello haga clic en Configurar inspección de HTTPS en el panel Tareas del nodo Directiva de acceso web y desactive la casilla Habilitar inspección de HTTPS. Cuando la implementación haya finalizado, vuelva a habilitar la inspección de HTTPS.
Quitar un certificado implementado automáticamente
Si es necesario quitar un certificado que se implementó automáticamente en los equipos cliente, puede hacerlo mediante la ejecución del siguiente comando: certutil.exe –dc <Domain Controller> -dsdel <Subject_Name><Subject_Name> hace referencia al nombre de asunto del certificado de inspección de HTTPS.
Nota:
Las credenciales que escriba deben tener privilegios suficientes para actualizar AD DS y permitir ejecutar los procesos en Forefront TMG. La implementación en los equipos clientes se produce una vez aplicada la directiva de grupo y puede tardar hasta ocho horas.
Implementar el certificado de la entidad emisora de certificados (CA) manualmente
La implementación manual del certificado de CA raíz de confianza de inspección HTTPS requiere dos acciones:
1. Exportar el certificado desde Forefront TMG.
217
2. Importar el certificado a todos los equipos cliente.
Para exportar el certificado
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar directiva de acceso web y, a continuación, siga las instrucciones del asistente.3. En la página Preferencias de implementación de certificados, seleccione Exportaré e implementaré manualmente el certificado, escriba un nombre de archivo y
ubicación y, a continuación, haga clic en Siguiente.4. Siga avanzando a través del asistente y, a continuación, haga clic en Finalizar.
La operación siguiente requiere derechos administrativos en el equipo cliente.
Para importar el certificado manualmente a un equipo cliente
1. En el equipo cliente, haga clic en Inicio, Todos los programas, Accesorios y, a continuación, haga clic en Ejecutar.2. Escriba MMC y, a continuación, presione ENTRAR.3. En Microsoft Management Console, haga clic en el menú Archivo, en Agregar o quitar complemento, haga clic en Certificados y, a continuación, haga clic en
Agregar.4. En el cuadro de diálogo Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente. En la ventana Agregar o quitar complementos, haga
clic en Aceptar. Se cerrará la ventana Agregar o quitar complementos.5. En la ventana Seleccionar equipo, asegúrese de que Equipo local está seleccionado y, a continuación, haga clic en Finalizar.6. En Microsoft Management Console, en el panel Nombre de almacén lógico, haga clic con el botón secundario en Entidades de certificación raíz de confianza,
haga clic en Todas las tareas y, a continuación, haga clic en Importar.7. En el Asistente para importación de certificados, busque el archivo creado anteriormente al exportar el certificado y, a continuación, haga clic en Siguiente.8. En la página Almacén de certificados, asegúrese de que todos los certificados se colocan en el almacén de certificados Entidades de certificación raíz de
confianza, haga clic en Siguiente y, a continuación, haga clic en Finalizar.Pasos siguientes
Configurar la directiva de validación de certificado1
Configurar la directiva de validación de certificadoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar una directiva de validación de certificado de sitio HTTPS. Después de haber habilitado el certificado de inspección de HTTPS, Forefront TMG examina el certificado por cada sitio web seguro al que tiene acceso un equipo cliente. Puede configurar si se tiene en cuenta la validación de certificado cada vez que se tiene acceso a cualquier sitio o a sitios HTTPS concretos, así como los parámetros que definen cuándo un certificado se considera no válido. Para obtener más información acerca de la validación de certificado, vea Planeación para la inspección de HTTPS1. Configurar la directiva de validación de certificado
Para configurar la directiva de validación de certificado
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar inspección de HTTPS. 3. En la ficha General, asegúrese de que Habilitar inspección de HTTPS está seleccionado y, a continuación, seleccione una de las siguientes opciones:
a. Inspeccionar el tráfico y validar los certificados de sitio: es la configuración predeterminada. b. No inspeccionar el tráfico, sino validar los certificados de sitio: seleccione esta opción para comprobar solo la validez de los certificados de sitio web
seguro. 4. En la ficha Validación de certificados, ajuste la configuración de validación de certificado según sea necesario.5. En la ficha Excepciones de destino, revise la lista de sitios HTTPS que no están sujetos a inspección. De forma predeterminada, Forefront TMG comprueba la
validez de los certificados para estos sitios. Si no desea que Forefront TMG valide el certificado de un sitio excluido de la inspección de HTTPS, haga clic en el sitio y, a continuación, en Sin validación.
Nota:
Para obtener información acerca de cómo excluir categorías de URL, conjuntos de categorías URL y nombres de dominio de la inspección de HTTPS, vea Excluir orígenes y destinos de la inspección de HTTPS2.
6. Haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Nota:
Para que Forefront TMG compruebe si se ha revocado un certificado, la regla de la directiva del sistema "Permitir todo el tráfico HTTP desde el Forefront TMG hacia todas las redes (para las descargas de CRL)". Si no se habilita esta regla, Forefront TMG permite el acceso a los sitios HTTPS sin validar el estado de revocación de certificados.
Pasos siguientes
Excluir orígenes y destinos de la inspección de HTTPS2
218
Excluir orígenes y destinos de la inspección de HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo excluir dominios, sitios web y categorías de sitios web, así como clientes internos, de la inspección de HTTPS.
Nota:
La inspección de HTTPS es incompatible con las conexiones a los servidores SSTP externos y servidores que requieran autenticación del cliente. Si es consciente de dicho servidor, se recomienda que lo agregue a la lista Excepciones de destino.
Excluir los sitios de la inspección de HTTPS
Por motivos legales y de privacidad, puede que desee excluir direcciones URL concretas o categorías de direcciones URL, como sitios financieros y de mantenimiento, de la inspección. Use las siguientes instrucciones para excluir destinos de la inspección.
Para excluir sitios de la inspección de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar inspección de HTTPS. 3. En la ficha Excepciones de destino, haga clic en Agregar.4. En el cuadro de diálogo Agregar entidades de red, haga lo siguiente:
a. Si es necesario, haga clic en Nueva y cree una Conjunto de categorías de URL o Conjunto de nombres de dominio para excluir de la inspección.b. Seleccione las categorías de direcciones URL, conjuntos de categorías de dirección URL y los nombres de dominio que desea excluir de las
detecciones HTTPS.c. Haga clic en Agregar después de cada selección y cuando finalice, haga clic en Cerrar.
5. De forma predeterminada, Forefront TMG inspecciona la validez del certificado HTTPS para cada uno de los sitios web excluidos de la inspección de HTTPS, proporcionando así algo de seguridad mínima. Si no desea lleve a cabo esta comprobación de seguridad para un sitio determinado, haga clic en el sitio y, a continuación, haga clic en Sin validación.
Exclusión de los clientes de la inspección de HTTPS
Para excluir los clientes de la inspección de HTTPS
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar inspección de HTTPS. 3. En la ficha Excepciones de origen, haga clic en Agregar.4. En el cuadro de diálogo Agregar entidades de red, haga lo siguiente:
a. Si es necesario, haga clic en Nuevo y cree un Conjunto de equipos o Equipo para excluirlo de la inspección.b. Seleccione los equipos y los conjuntos de equipos que desea excluir de las detecciones HTTPS.c. Haga clic en Agregar después de cada selección y cuando finalice, haga clic en Cerrar.
Pasos siguientes
Notificar a los usuarios que se está inspeccionando el tráfico HTTPS1
Notificar a los usuarios que se está inspeccionando el tráfico HTTPSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar la notificación de la inspección de HTTPS a los clientes que ejecutan el cliente de Forefront TMG. Puede ser necesario habilitar la notificación de cliente para cumplir las directivas de privacidad corporativas.Requisitos previos
Para recibir notificaciones de certificado de inspección de HTTPS, los equipos cliente deben tener el certificado de la entidad de certificación (CA) raíz de confianza instalado en el almacén de certificados Entidades de certificación raíz de confianza. Si el certificado no se instala en este almacén de certificados exacto, el usuario no recibirá notificaciones de globo de la inspección de HTTPS. Para obtener más información, vea Implementar el certificado de CA raíz de confianza de inspección HTTPS en los equipos cliente1.
Nota:
Los clientes de Forefront TMG no recibirán las notificaciones de inspección de HTTPS si realiza la inspección un servidor proxy que precede en la cadena. Para habilitar las notificaciones de cliente en un escenario de encadenamiento de web, asegúrese de que la inspección de HTTPS esté habilitada en el proxy que sigue en la cadena.
La regla de directiva del sistema para permitir notificaciones de cliente, que permite las notificaciones a los clientes de Forefront TMG, no se actualiza dinámicamente con redes adicionales que no sean las predeterminadas: VPN, cuarentena e interna. Utilice el editor de directivas del sistema para agregar manualmente cualquier otra red que contenga clientes de Forefront TMG a las redes de destino de esta regla.
Habilitar las notificaciones de inspección de HTTPS en Forefront TMG
219
Para habilitar las notificaciones de inspección de HTTPS en servidor de Forefront TMG
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar inspección de HTTPS. 3. En la ficha Notificación de cliente, haga clic en Notificar a los usuarios que se está inspeccionando su tráfico HTTPS y, a continuación, haga clic en Aceptar.
Habilitar las notificaciones de inspección de HTTPS en el cliente de Forefront TMG
Para habilitar la notificación de inspección de HTTPS en el cliente de Forefront TMG
1. En la ficha Inspección de conexión segura, seleccione Notificarme cuando se inspeccione el contenido enviado a sitios web seguros.
Configurar filtrado HTTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar los filtros HTTP. Puede usar un filtro HTTP en las reglas de acceso entrantes y salientes para controlar los tipos de datos y los comandos HTTP que desea permitir que atraviesen el firewall. Para obtener información más detallada acerca del filtrado HTTP, vea Planeación para el filtrado HTTP1. En los procedimientos siguientes se describen los pasos que se deben realizar para configurar el filtrado HTTP en una regla de acceso:
Obtener acceso a la regla para el filtrado HTTP: describe cómo obtener acceso al cuadro de diálogo Configurar directiva HTTP para la regla, en el que se puede configurar el filtrado HTTP.
Configurar el bloqueo de encabezados y de direcciones URL: describe cómo establecer el número máximo de bytes para un encabezado, una carga, una dirección URL o una consulta, y cómo bloquear las solicitudes para direcciones URL que contienen caracteres específicos.
Configurar métodos HTTP (verbos): describe cómo bloquear métodos (verbos), extensiones y encabezados HTTP específicos. Configurar el bloqueo de extensiones HTTP: describe cómo bloquear extensiones, como, por ejemplo, archivos ejecutables (.exe). Configurar el bloqueo de encabezados: describe cómo bloquear encabezados HTTP específicos. Configurar firmas bloqueadas: describe cómo bloquear firmas específicas, que pueden ser cualquier cadena del encabezado o del cuerpo. Determinar firmas: describe cómo supervisar el tráfico de red específico para determinar su firma.
Obtener acceso a la regla para el filtrado HTTP
Para obtener acceso a la regla en la que se configura el filtrado HTTP
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En el panel de detalles, haga clic con el botón secundario en la regla que desea modificar y, a continuación, haga clic en Configurar HTTP. Se abre el cuadro de
diálogo Configurar directiva HTTP para la regla.3. Configure el filtrado HTTP según las necesidades de su red, con las instrucciones de los siguientes procedimientos.
Configurar el bloqueo de encabezados y de direcciones URL
Nota:
Para obtener una descripción de los parámetros que se deben configurar en este procedimiento, vea “Información general de la configuración del filtrado HTTP” en Planeación para el filtrado HTTP1.
Para configurar el bloqueo de encabezados y de direcciones URL
1. Haga clic en la ficha General en el cuadro de diálogo Configurar directiva HTTP para la regla.2. En Longitud máxima de encabezados (bytes), especifique el número máximo de bytes permitidos en la dirección URL y el encabezado HTTP de una solicitud
HTTP antes de que se bloquee.
Nota:
Esta configuración se aplica a todas las reglas, por lo que si la cambia en una regla, se cambiará en todas las reglas.
3. Desactive Permitir cualquier longitud de carga para bloquear las solicitudes que superen el número de bytes especificado en Longitud máxima de carga (bytes). 4. En Longitud máxima de dirección URL (bytes), escriba la longitud máxima permitida de dirección URL . Las solicitudes con direcciones URL que superen este
valor se bloquearán.5. En Longitud máxima de consulta (bytes), escriba la longitud máxima de las consultas permitida en las solicitudes. Las solicitudes con consultas que superen este
valor se bloquearán. 6. Seleccione Comprobar normalización para bloquear las solicitudes que contengan direcciones URL con caracteres de escape tras la normalización.
220
Nota:
Aunque se recomienda el uso de la comprobación de la normalización, tenga en cuenta que también puede bloquear las solicitudes legítimas que contengan el signo %.
7. Seleccione Bloquear caracteres ASCII de 8 bits para especificar que se bloquearán las direcciones URL con caracteres ASCII de 8 bits. 8. Seleccione Bloquear respuestas que incluyan contenido ejecutable de Windows para especificar el bloqueo de las respuestas que contengan contenido ejecutable
de Windows (respuestas que empiecen por MZ).Configurar métodos HTTP (verbos)
Los métodos HTTP (también denominados verbos HTTP) son instrucciones enviadas en un mensaje de solicitud que notifica a un servidor HTTP la acción que debe realizar en el recurso especificado. Un ejemplo de bloqueo por método sería bloquear POST, para que los clientes internos no puedan publicar datos en una página web externa. Este método es útil en un entorno de red segura para impedir la publicación de información confidencial en un sitio web. También puede resultar útil en la publicación web, para evitar que usuarios malintencionados publiquen material malintencionado en su sitio web.
Para configurar métodos HTTP (verbos)
1. Haga clic en la ficha Métodos en el cuadro de diálogo Configurar directiva HTTP para la regla.2. En Especificar la acción que se realiza para métodos HTTP, seleccione la acción que se debe realizar para los métodos de la lista. Es posible permitir todos los
métodos, bloquear los de la lista y admitir todos los demás, o permitir los de la lista y bloquear los demás. Se recomienda que solo permita los métodos seleccionados, ya que es la configuración más segura.
3. Para agregar un método, haga clic en Agregar. En el cuadro de diálogo Método, escriba el método que desee agregar. 4. Para eliminar un método existente, seleccione el método en la lista y, a continuación, haga clic en Quitar.5. Para editar un método existente, seleccione el método en la lista y, a continuación, haga clic en Editar.
Configurar el bloqueo de extensiones HTTP
Puede permitir todas las extensiones o sólo las de la lista. También puede seleccionar la opción de bloquear las extensiones de la lista y permitir todas las demás. Se recomienda que solo permita las extensiones seleccionadas, ya que es la configuración más segura. Por ejemplo, si va a publicar un sitio web, el diseñador web o el administrador del servidor web podrá definir una lista de extensiones necesarias para la funcionalidad del sitio.El bloqueo de archivos ejecutables (.exe) es un uso típico de este método.
Para configurar el bloqueo de extensiones HTTP
1. Haga clic en la ficha Extensiones en el cuadro de diálogo Configurar directiva HTTP para la regla.2. En Especificar la acción realizada para extensiones de archivo, seleccione una acción. 3. Active Bloquear solicitudes que contengan extensiones ambiguas para bloquear las solicitudes que tengan extensiones que no se puedan determinar.4. Para agregar una extensión, haga clic en Agregar. En el cuadro de diálogo Extensión, escriba la extensión que desee agregar. 5. Para editar una extensión existente, selecciónela en la lista y, a continuación, haga clic en Editar.6. Para eliminar una extensión existente, selecciónela en la lista y, a continuación, haga clic en Quitar.
Configurar el bloqueo de encabezados
Para configurar el bloqueo de encabezados
1. Haga clic en la ficha Encabezados en el cuadro de diálogo Configurar directiva HTTP para la regla.2. Haga clic en Agregar para agregar un encabezado que deba bloquearse. A continuación, en el cuadro de diálogo Encabezado, seleccione Solicitar encabezados o
Encabezados de la respuesta en Buscar en y escriba el nombre del encabezado. Se permiten todos los encabezados excepto los que aparecen en la lista Permitir todos los encabezados excepto.
3. Para editar un encabezado, selecciónelo en la lista y, a continuación, haga clic en Editar. Para permitir un encabezado que se encuentra en la lista de bloqueados, selecciónelo y, a continuación, haga clic en Quitar.
4. En Encabezado de servidor, especifique cómo se devolverá el encabezado de servidor en la respuesta. El encabezado de servidor es un encabezado de respuesta que contiene información como el nombre de la aplicación de servidor y la versión de software, por ejemplo, HTTP: Server = Microsoft-IIS/6.0. Los valores posibles son los siguientes:
Enviar encabezado original: el encabezado original se devolverá la respuesta. Quitar el encabezado de la respuesta: no se devolverá ningún encabezado en la respuesta. Modificar el encabezado en la respuesta: se selecciona esta opción, en Cambiar a escriba el valor que aparecerá en la respuesta. Se recomienda que
modifique el encabezado del servidor. El valor que aparecerá en la respuesta puede ser cualquiera, ya que los clientes raramente utilizan el encabezado del servidor.
5. En Encabezado de vía, especifique cómo se reenviará el encabezado de vía en la solicitud o cómo se devolverá en la respuesta. Para obtener una descripción, vea “Longitud máxima de consulta (bytes)”, en Planeación para el filtrado HTTP1. Los valores posibles son los siguientes:
Enviar predeterminado: se usará el encabezado predeterminado. Modificar el encabezado en la solicitud y respuesta: el encabezado de vía se reemplazará por un encabezado modificado. Si selecciona esta opción, en
Cambiar a, escriba el encabezado que aparecerá en lugar del encabezado de vía.Configurar firmas bloqueadas
Puede especificar si desea permitir o bloquear las solicitudes, en función de firmas específicas de los encabezados o del cuerpo.
221
Para configurar firmas bloqueadas
1. Haga clic en la ficha Firmas en el cuadro de diálogo Configurar directiva HTTP para la regla.2. Haga clic en Agregar para agregar una firma bloqueada. A continuación, en el cuadro de diálogo Firma, especifique lo siguiente:
En Buscar en, especifique si la firma aparece en el cuerpo o encabezado de la dirección URL de solicitud o en el cuerpo o encabezado de la respuesta. En Encabezado HTTP, escriba el nombre del encabezado, si ha especificado una firma de tipo de encabezado. En Firma, escriba la cadena de firmas. Una firma puede ser cualquier cadena de un encabezado o cuerpo. Se recomienda seleccionar cadenas que sean lo
suficientemente específicas para bloquear únicamente las solicitudes o respuestas que desea bloquear. Por ejemplo, si agrega una letra "a" como firma, se bloquearán todas las solicitudes o respuestas que contengan la letra "a". De modo similar, se especifica "Mozilla" en una firma, se bloquearán la mayoría de los exploradores web. Un ejemplo de firma más típica sería Usuario-Agente: adatum-software-abc.
En Intervalo de bytes, especifique los valores De y A, si ha seleccionado Cuerpo de la respuesta o Solicitar cuerpo como tipo de firma. De forma predeterminada, el Forefront TMG sólo analiza los 100 primeros bytes del cuerpo de la solicitud y la respuesta. Si aumenta este valor predeterminado, el rendimiento del sistema podría verse afectado.
3. Puede habilitar o deshabilitar las firmas usando las casillas de verificación situadas junto a sus nombres. Haga clic en Mostrar sólo cadenas de búsqueda habilitadas para ver únicamente las firmas habilitadas.
4. Para modificar una firma bloqueada, selecciónela en la lista Bloquear contenido que contenga estas firmas y, a continuación, haga clic en Editar.5. Para admitir una firma bloqueada, selecciónela en la lista Bloquear contenido que contenga estas firmas y, a continuación, haga clic en Quitar.
Determinar firmas
Puede determinar una firma para que bloquee tráfico específico mediante la supervisión del tráfico de red.
Importante:
Algunas herramientas de supervisión del tráfico de red suponen un riesgo de seguridad, por lo que se recomienda el uso de estas herramientas únicamente en entornos de laboratorio, no de producción.
Para determinar las firmas
1. Agregar las herramientas de supervisión de red de Windows. Esta opción está disponible en la sección de herramientas de administración y supervisión de los componentes opcionales de Windows.
2. Para abrir el Monitor de red tras la instalación, haga clic en Inicio, Herramientas administrativas y, finalmente, en Monitor de red. Si aparece un mensaje recordándole que seleccione una red, ciérrelo.
3. En el cuadro de diálogo Seleccionar una red, expanda Equipo local. Si los clientes internos se encuentran en la red interna predeterminada del Forefront TMG, seleccione Interna para hacer un seguimiento de las firmas utilizadas por dichos clientes. De esta forma, puede utilizar firmas rastreadas para bloquear el acceso de cliente a servicios específicos de Internet.
4. El Monitor de red captura todos los paquetes de la red interna. Los resultados se pueden filtrar tras la captura, aunque también se puede crear un filtro antes de iniciar la captura. Para crear un filtro antes de empezar, en el menú, haga clic en Capturar y seleccione Filtro (o presione F8). En el cuadro de diálogo Filtro de captura, seleccione la entrada INCLUDE *ANY < - > *ANY y, a continuación, haga clic en Editar.
5. Haga clic en Modificar dirección y, en Agregar, haga clic en Dirección. En el cuadro de diálogo Expresión de dirección, haga clic en Modificar direcciones.6. En el cuadro de diálogo Base de datos de direcciones, haga clic en Agregar para abrir el cuadro de diálogo Información de dirección.7. En el cuadro de diálogo Información de dirección, especifique el nombre del equipo cliente. Indique la dirección IP del equipo cliente en Dirección y, en la lista
Tipo, seleccione IP. A continuación, seleccione Aceptar y haga clic en Cerrar para cerrar el cuadro de diálogo Base de datos de direcciones.8. En Expresión de dirección, compruebe que está seleccionada la opción Incluir. En la columna Estación 2, seleccione al cliente que acaba de crear. Deje el valor
predeterminado de Dirección (ambas direcciones), seleccione como destino, en la columna Estación 1, el equipo con Forefront TMG y haga clic en Aceptar. 9. Haga clic en Aceptar para cerrar el cuadro de diálogo Filtro de captura.10. Si hay mucho tráfico entre los dos equipos, puede que tenga que aumentar el búfer de captura. Puede realizar esta operación desde el menú si hace clic en
Capturar y selecciona Configuración de búfer. En el cuadro de diálogo Capturar configuración del búfer, aumente el Tamaño del búfer. Haga clic en Aceptar.11. En el cliente, cierre todas las aplicaciones, salvo la aplicación de la que desea capturar un firma.12. En el menú Monitor de red, haga clic en Capturar y seleccione Iniciar (o presione F10).13. En el equipo cliente, inicie la aplicación. Por ejemplo, inicie sesión en Windows Live™ Messenger o en AOL Instant Messenger.14. En el menú Monitor de red, haga clic en Capturar y seleccione Detener y ver (o presione Mayús+F11). Inspeccione los paquetes capturados. Normalmente, el
cuarto paquete (el siguiente después de los paquetes de desafío mutuo SYN, SYNACK y ACK) es un paquete de solicitud HTTP del equipo cliente que contiene la información que busca, aunque es posible que deba examinar los siguientes paquetes.
15. Haga doble clic en el paquete para ver los detalles. Busque una firma exclusiva relacionada con la aplicación que desea bloquear. Si el Monitor de red ha analizado el paquete correctamente, podrá ver y hacer clic en todos los encabezados por separado en el panel de detalles (el panel central) y ver la firma completa en el panel Hexadecimal (el panel inferior). De lo contrario, tendrá que buscar la firma en el panel Hexadecimal.
Configurar la protección de las amenazas basadas en correo electrónicoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes temas se describe cómo proteger su organización del malware que se entrega por correo electrónico.
Configurar rutas SMTP1: describe la manera de definir el flujo de correo en su organización. Configurar el filtrado de correo no deseado2: describe la manera de administrar las características contra correo no deseado en Forefront TMG. Configurar el filtrado de virus3: describe la manera de administrar las características antivirus en Forefront TMG. Configuración del filtrado de contenido4: describe cómo crear filtros de contenido para buscar palabras concretas dentro de un mensaje de correo electrónico, y
datos adjuntos con un tipo y nombre específicos.
Antes de comenzar
222
Para poder configurar una directiva de correo electrónico, debe instalar algunas aplicaciones de requisito previo. Para obtener más información, vea Instalar los requisitos previos para la protección de correo electrónico5.
Configurar rutas SMTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe la manera de definir el flujo de correo en su organización. El primer paso para crear la directiva de correo electrónico es configurar la manera en la que Forefront TMG enruta el tráfico a y desde los servidores internos del Protocolo simple de transferencia de correo (SMTP) de su organización. El servidor de transporte perimetral de Exchange instalado en su servidor de Forefront TMG actúa como relé entre sus servidores SMTP internos y los de fuera de su organización y aplica la directiva de correo electrónico que crea para el correo en tránsito. En Forefront TMG, estas rutas de correo se denominan rutas SMTP. Debe crear al menos dos rutas, de la siguiente manera:
En la ruta Servidores_de_correo_internos, se escriben las direcciones IP de sus servidores de correo internos y los dominios SMTP de su organización de correo (lo que se conoce como dominios autoritarios aceptados en Microsoft Exchange) y redes desde las que se puede enviar correo. Esto indica a Forefront TMG que acepte y retransmita solo correo interno desde estas direcciones IP, dominios y redes autorizados.
En la ruta Servidores_de_correo_externo, define de qué redes se permite que el correo entre en la organización de correo, selecciona el método de enrutamiento de correo que se va a usar para enviar el correo interno a redes externas y escribe la dirección IP o FQDN registrada públicamente que los servidores de correo externo deberían usar como dirección para su organización de correo.
Cada ruta SMTP tiene una escucha de correo electrónico que responde a solicitudes de redes y direcciones IP permitidas.Puede crear estas rutas SMTP iniciales con el Asistente para directiva de correo electrónico y, a continuación, crear rutas adicionales con el Asistente para crear ruta SMTP.En este tema se describen los procedimientos para:
Configurar las rutas SMTP iniciales Configurar rutas SMTP adicionales
Requisitos previos
Para configurar las rutas SMTP, debe instalar el rol de servidor Transporte de Exchange Edge y Forefront Protection 2010 for Exchange Server (FPES) en todos los servidores de Forefront TMG de la matriz, como se describe en Instalar los requisitos previos para la protección de correo electrónico1. Antes de comenzar
Para configurar las rutas SMTP, necesitará la siguiente información acerca de su organización de correo SMTP interno:
Los nombres de equipo y las direcciones IP de sus servidores SMTP internos Los dominios autoritarios aceptados desde los que su organización de correo acepta mensajes de correo El registro de recursos del intercambiador de correo (MX) registrado en DNS público para el correo de esta organización. Forefront TMG responderá a SMTP
(HELO, EHLO) con este nombre de dominio público o dirección IP. Configurar las rutas SMTP iniciales
Advertencia:
Si ya ha configurado las rutas SMTP, al ejecutar el Asistente para directiva de correo electrónico, se elimina toda la configuración existente. Para modificar la configuración actual, haga clic con el botón secundario en la ruta pertinente en el panel de detalles de la ficha Directiva de correo electrónico y haga clic en Propiedades.
Para configurar las rutas SMTP iniciales
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de correo electrónico. 2. En la ficha Tareas, haga clic en Configurar directiva de correo electrónico y, a continuación, siga las instrucciones del asistente. 3. En la página Configuración del servidor de correo interno, haga lo siguiente:
En Servidores de correo internos, haga clic en Agregar y escriba el nombre del equipo y la dirección IP de su servidor SMTP interno (por ejemplo, mail.internal.contoso.com). Realice esta operación para cada uno de sus servidores SMTP internos.
Nota:
Si está usando una organización de mensajería de Microsoft Exchange, escriba el nombre del equipo y la dirección IP del servidor de transporte de concentradores adecuado.
En Dominios autoritarios aceptados, haga clic en Agregar y escriba los nombres de dominio SMTP o direcciones IP desde las que sus servidores SMTP internos aceptan mensajes de correo (por ejemplo, mailsrv.internal.contoso.com). Realice esta operación para cada servidor SMTP interno.
4. En la página Configuración de escucha de correo electrónico interna, en Redes, seleccione las redes que Forefront TMG debería escuchar para solicitudes de correo desde dentro de su organización, que Forefront TMG retransmitirá entonces a los servidores SMTP externos. Una selección típica es la red Interna.
Nota:
Si está usando el equilibrio de carga de red o desea especificar de otra manera las direcciones IP desde las que Forefront TMG responderá a las
223
solicitudes de correo internas, haga clic en Seleccionar direcciones y seleccione la opción adecuada en la lista. La escucha de correo electrónico interna solo acepta correo de las direcciones IP de los servidores SMTP internos que haya definido en la página
anterior del asistente. Así se evita que una máquina cliente puesta en peligro envíe correo directamente a Forefront TMG en un intento de evitar las protecciones de correo en el servidor SMTP interno.
5. En la página Configuración de escucha de correo electrónico externa, haga lo siguiente: Seleccione las redes que Forefront TMG debería escuchar para solicitudes de correo y retransmitirlas a sus servidores SMTP internos. Una selección
típica es la red Externa.
Nota:
La dirección IP que escribe aquí debería coincidir con la registrada en DNS como el registro MX de la organización. Si está usando el equilibrio de carga de red o desea especificar de otra manera las direcciones IP desde las que Forefront TMG responderá a
las solicitudes de correo externas, haga clic en Seleccionar direcciones y seleccione la opción adecuada en la lista.
Escriba el FQDN o la dirección IP que la escucha externa usará para responder a solicitudes de correo desde fuera de la red corporativa (por ejemplo, mail.corp.contoso.com).
6. En la página Configuración de directiva de correo electrónico, haga clic en las características de protección de correo que desea habilitar.7. Haga clic en Finalizar.
Nota:
Si es la primera vez que configura las rutas SMTP, se abre un cuadro de diálogo en el que se le pregunta si desea habilitar las reglas de directiva del sistema para la directiva de correo electrónico. Haga clic en Sí.
8. En la barra Aplicar cambios, haga clic en Aplicar.Configurar rutas SMTP adicionales
Tras crear las rutas SMTP iniciales con el Asistente para directiva de correo electrónico, puede crear rutas SMTP adicionales según sea necesario con el Asistente para crear ruta SMTP.
Para configurar una ruta SMTP adicional
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de correo electrónico. 2. En la ficha Tareas, haga clic en Asistente para crear ruta SMTP y, a continuación, escriba un nombre para la nueva ruta SMTP. 3. En la página Tipo de ruta SMTP, seleccione si esta ruta es a un servidor de la red Interna o a un servidor externo. Tenga en cuenta las consideraciones siguientes:
Para Servidores de correo interno, haga clic en Agregar y escriba el nombre del equipo y la dirección IP del servidor SMTP interno adecuado. Por ejemplo, escriba mail.internal.contoso.com. Puede agregar varios servidores SMTP internos.
Para Servidores de correo externo, haga clic en Según FQDN o dirección IPy escriba el nombre de dominio completo (FQDN) o dirección IP para reenviar correo o haga clic Usar registros "MX" de sistema de nombres de dominio (DNS) para enrutar el correo automáticamente.
Nota:
Forefront TMG usa este FQDN o dirección IP para enrutar el correo a los espacios de direcciones (es decir, nombres de dominio) asociados a la ruta.
Para usar DNS con el fin de enrutar correo saliente, seleccione esta opción. Forefront TMG usa DNS para buscar el registro de intercambiador de correo (MX) del servidor SMTP remoto. El registro MX muestra la dirección IP del servidor remoto, que Forefront TMG usa para entregar el correo. Si selecciona este método de enrutamiento, compruebe que su servidor DNS puede resolver nombres correctamente en Internet.
4. En la página Nombres de dominio, haga clic en Agregar y escriba un dominio autoritario aceptado del FQDN asociado a esta ruta.
Nota:
Para agregar más de un FQDN, use un prefijo comodín para especificar varios FQDN en una línea (*.contoso .com).
5. En la página Configuración de escucha de correo electrónico interna, haga lo siguiente: Seleccione las redes que Forefront TMG debería escuchar para solicitudes de correo y retransmítalas.
Nota:
Si ha seleccionado Servidores de correo internos en el paso 3, debería seleccionar las redes internas aquí. Si ha seleccionado Servidores de correo externos, debería seleccionar la red Externa.
224
Nota:
Si está usando el equilibrio de carga de red o desea especificar de otra manera las direcciones IP desde las que Forefront TMG responderá a las solicitudes de correo, haga clic en Seleccionar direcciones y seleccione la opción adecuada en la lista.
Escriba el FQDN que la escucha para esta ruta usará para responder a solicitudes de correo (por ejemplo, mail.corp.contoso.com).6. Haga clic en Finalizar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Nota:
El Asistente para crear ruta SMTP no es reentrante: después de crear la ruta, no puede modificarla a través del asistente. Para editar la configuración, haga clic con el botón secundario en la ruta en el panel de detalles de la ficha Directiva de correo electrónico y haga clic en Propiedades
Configurar el filtrado de correo no deseadoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se proporciona información que le ayudará a administrar las características contra correo electrónico no deseado en Forefront TMG. Los spammers, o remitentes malintencionados, usan varias técnicas para enviar correo electrónico no deseado a su organización. No hay una única herramienta o proceso que pueda eliminar todo el correo electrónico no deseado. Forefront TMG proporciona un enfoque superpuesto y de múltiples facetas para reducir el correo electrónico no deseado. El enfoque superpuesto para reducir el correo no deseado hace referencia a la configuración de varias características de protección contra correo electrónico no deseado que filtran mensajes de entrada en un orden concreto. Cada característica filtra una determinada característica o conjunto de características relacionadas en el mensaje entrante.En los procedimientos siguientes se describe cómo obtener acceso a la ficha Filtrado de correo no deseado y configurar los filtros que desea usar:
Obtener acceso a la ficha Filtrado de correo no deseado Configurar la lista de direcciones IP permitidas Configurar los proveedores de listas de direcciones IP permitidas Configurar la lista de direcciones IP bloqueadas Configurar los proveedores de listas de direcciones IP bloqueadas Configurar el filtrado de contenido Configurar el filtrado de destinatarios Configurar el filtrado de remitentes Configurar el identificador de remitente Configurar la reputación del remitente
Requisitos previos
Antes de configurar los filtros de correo electrónico no deseado, asegúrese de que completa lo siguiente:
Instale el rol de servidor Transporte de Exchange Edge y Forefront Protection 2010 para Exchange Server (FPES) en todos los servidores de Forefront TMG de la matriz, como se describe en Instalar los requisitos previos para la protección de correo electrónico1.
Cree las rutas de SMTP iniciales con el Asistente para directiva de correo electrónico, como se describe en Configurar rutas SMTP2. Habilite la protección contra correo electrónico no deseado con Asistente para directiva de correo electrónico o haga clic en Habilitar filtrado de correo electrónico
no deseado en el panel Tareas de la ficha Filtrado de correo no deseado.Obtener acceso a la ficha Filtrado de correo no deseado
Para obtener acceso a la ficha Filtrado de correo no deseado
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de correo electrónico. 2. En el panel de detalles, haga clic en la ficha Filtrado de correo no deseado.3. Haga clic en el filtro que desee configurar en la lista y configúrelo según las instrucciones que se indican a continuación.
Configurar la lista de direcciones IP permitidas
Use la lista de direcciones IP permitidas para crear y administrar una lista de direcciones IP específicas a para las que Forefront TMG debe enviar mensajes de entrada a sus destinos sin procesamiento adicional por parte de otros agentes contra correo electrónico no deseado.
Para configurar la lista de direcciones IP permitidas
1. Haga clic en Lista de direcciones IP permitidas y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Direcciones permitidas, haga clic en Agregar. Escriba un intervalo de direcciones IP y, a continuación, haga clic en Aceptar para agregarlo a la lista
Direcciones IP remotas.3. Haga clic en Aceptar. Para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar los proveedores de listas de direcciones IP permitidas
225
Los proveedores de listas de direcciones IP permitidas son servicios que mantienen listas de direcciones IP que se sabe con seguridad que no están asociadas a ninguna actividad de correo electrónico no deseado. Cuando se habilita un proveedor de listas de direcciones IP permitidas, los mensajes se comprueban a medida que entran en el servidor de transporte perimetral.
Para configurar los proveedores de listas de direcciones IP permitidas
1. Haga clic en Proveedores de listas de direcciones IP permitidas y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Proveedores, haga clic en Agregar para agregar un nuevo proveedor a los proveedores de listas de direcciones IP permitidas.3. Escriba la siguiente información:
Nombre del proveedor: en este campo escriba el nombre del servicio de proveedores de listas de direcciones IP permitidas. Este nombre es para uso propio para identificar el proveedor.
Dominio de búsqueda: en este campo, escriba el nombre de dominio que el agente de filtro de conexión consulta para buscar información de lista de direcciones IP permitidas.
Establecer coincidencia con cualquier código de retorno: al seleccionar esta opción, el agente de filtro de conexión trata cualquiera código de estado de dirección IP que devuelve el servicio de proveedores de listas de direcciones IP permitidas como una coincidencia.
Establecer coincidencia con la siguiente máscara: al seleccionar esta opción, el agente de filtro de conexión solo actúa en los mensajes que coinciden con el código de estado de devolución de 127.0.0.x, donde el entero x es uno de los siguientes valores:
1: la dirección IP está en una lista de direcciones IP permitidas.
2: el servidor SMTP (Protocolo simple de transferencia de correo) está configurado para actuar como un retransmisor abierto.
4: la dirección IP admite una dirección IP de acceso telefónico. Establecer coincidencia con una de las siguientes respuestas: al seleccionar esta opción, el agente de filtro de conexión actúa únicamente en los
mensajes que coinciden con el mismo código de estado de dirección IP que devuelve el servicio de proveedores de listas de direcciones IP permitidas.4. Haga clic en Aceptar y, para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar la lista de direcciones IP bloqueadas
Utilice la característica de lista de direcciones IP bloqueadas para designar direcciones IP que no pueden enviar mensajes a este servidor. Si una dirección IP de origen coincide con una dirección IP o un intervalo de direcciones IP de la lista de direcciones IP bloqueadas, Forefront TMG desconecta la sesión SMTP (Protocolo simple de transferencia de correo) después de haber procesado todos los encabezados RCPT TO: del mensaje.
Para configurar la lista de direcciones IP bloqueadas
1. Haga clic en Lista de direcciones IP bloqueadas y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Direcciones bloqueadas, haga clic en Agregar y escriba una dirección SMTP o un intervalo de direcciones para bloquear. Si desea establecer una
fecha de expiración, en Expiración, haga clic en Bloquear hasta fecha y hora y seleccione una fecha y una hora.3. Haga clic en Aceptar para agregar las direcciones bloqueadas a la lista Direcciones bloqueadas.4. Haga clic en Aceptar. Para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar los proveedores de listas de direcciones IP bloqueadas
Los proveedores de listas de direcciones IP bloqueadas son servicios que enumeran direcciones IP que se sabe que envían correo electrónico no deseado. Su configuración puede utilizar varios servicios de proveedores de listas de direcciones IP bloqueadas además de una lista de direcciones IP bloqueadas.Se recomienda poner en primer lugar el servicio de proveedores de listas de direcciones IP bloqueadas más sólido para optimizar el rendimiento. Cuando Forefront TMG recibe una coincidencia de la lista de direcciones IP bloqueadas, Forefront TMG deja de consultar otros servicios de proveedores de listas de direcciones IP bloqueadas.
Para configurar los proveedores de listas de direcciones IP bloqueadas
1. Haga clic en Proveedores de listas de direcciones IP bloqueadas y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Proveedores, haga clic en Agregar para agregar un nuevo proveedor a los proveedores de listas de direcciones IP permitidas.3. Escriba la siguiente información:
Nombre del proveedor: en este campo escriba el nombre del servicio de proveedores de listas de direcciones IP bloqueadas. Este nombre es para uso propio para identificar el proveedor.
Dominio de búsqueda: en este campo, escriba el nombre de dominio que el agente de filtro de conexión consulta para buscar información de lista de direcciones IP bloqueadas.
Establecer coincidencia con cualquier código de retorno: al seleccionar esta opción, el agente de filtro de conexión trata cualquiera código de estado de dirección IP que devuelve el servicio de proveedores de listas de direcciones IP bloqueadas como una coincidencia.
Establecer coincidencia con la siguiente máscara: al seleccionar esta opción, el agente de filtro de conexión solo actúa en los mensajes que coinciden con el código de estado de devolución de 127.0.0.x, donde el entero x es uno de los siguientes valores:
1: la dirección IP está en una lista de direcciones IP bloqueadas.
2: el servidor SMTP (Protocolo simple de transferencia de correo) está configurado para actuar como un retransmisor abierto.
4: la dirección IP admite una dirección IP de acceso telefónico. Establecer coincidencia con una de las siguientes respuestas: al seleccionar esta opción, el agente de filtro de conexión actúa únicamente en los
mensajes que coinciden con el mismo código de estado de dirección IP que devuelve el servicio de proveedores de listas de direcciones IP bloqueadas.4. Haga clic en Aceptar y, para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar el filtrado de contenido
226
El filtro de contenido de correo electrónico no deseado evalúa los mensajes de correo electrónico entrantes y valora la probabilidad de que un mensaje entrante sea legítimo o correo electrónico no deseado. El filtro asigna una clasificación de nivel de confianza contra correo no deseado (SCL) a cada mensaje entrante que llega de Internet. La clasificación de SCL es un número entre 1 y 9; cuanto más alta es la clasificación, mayor es la probabilidad de que el mensaje sea correo electrónico no deseado. Puede configurar el agente de filtro de contenido para realizar las siguientes acciones en los mensajes según su clasificación de SCL:
Eliminar el mensaje. Rechazar el mensaje. Poner en cuarentena el mensaje.
Por ejemplo, puede determinar que los mensajes que tengan una clasificación de SCL de 7 o superior se deben eliminar, los mensajes que tengan una clasificación de SCL de 6 se deben rechazar y los mensajes que tengan una clasificación de SCL de 5 se deben poner en cuarentena.Puede ajustar el comportamiento de umbral SCL si asigna distintas clasificaciones de SCL a cada una de estas acciones. Si se establece un valor bajo se rechazarán demasiados mensajes como correo electrónico no deseado; si se establece un valor alto se permitirá que pasen demasiados.El filtro de contenido es el último en examinar los mensajes de entrada. Por lo tanto, la configuración de los umbrales de SCL y las acciones de umbral son muy importantes. Si establece los umbrales SCL demasiado altos, puede que no reduzca el correo electrónico no deseado que llega a su organización. Si establece los umbrales SCL demasiado bajos, existe el riesgo de que se bloqueen mensajes de usuarios legítimos.En la hoja de propiedades de Filtrado de contenido, puede personalizar las siguientes opciones:
Palabras personalizadas: defina palabras personalizadas y establezca palabras clave personalizadas para etiquetar los mensajes que se filtrarán o no se filtrarán. Excepciones: designe destinatarios para los que no se utilizará el filtrado de contenido. Acción: configure los umbrales del nivel de confianza contra correo no deseado (SCL) y establezca la acción que se realizará en los mensajes según su clasificación
de SCL.
Para configurar el filtrado de contenido
1. Haga clic en Filtrado de contenido y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Palabras personalizadas, puede hacer las siguientes acciones:
Para especificar una palabra o una frase de permiso, en No se bloquearán los mensajes que contengan estas palabras o frases, haga clic en Agregar. Escriba una palabra o una frase que no es probable que se incluya en mensajes de correo no deseado y, a continuación, haga clic en Aceptar.
Nota:
Cuando Forefront TMG encuentra una palabra o frase permitida, la clasificación de SCL en ese mensaje se establece en 1.
Para especificar una palabra o frase de bloqueo, en Se bloquearán los mensajes que contengan estas palabras o frases, a menos que el mensaje contenga una palabra o frase de la lista anterior, haga clic en Agregar. Escriba una palabra o una frase que es probable que se incluya en un mensaje de correo no deseado y, a continuación, haga clic en Aceptar.
Nota:
Cuando Forefront TMG encuentra una palabra o frase bloqueada, la clasificación de SCL en ese mensaje se establece en 9.
3. Para especificar las excepciones de destinatario para el filtrado de contenido, en la ficha Excepciones, haga clic en Agregar, escriba una dirección SMTP (Protocolo simple de transferencia de correo) y, a continuación, haga clic en Aceptar. Realice esta acción por cada dirección de correo electrónico que desee excluir de los exámenes de filtrado de contenido.
4. Para configurar los umbrales del nivel de confianza contra correo no deseado (SCL), haga clic en la ficha Acción, habilite las acciones de filtro de contenido y establezca los umbrales de SCL según sean adecuados para su organización. Puede configurar las siguientes opciones:
Eliminar mensajes con una SCL superior o igual a: elimina el mensaje pero no informa al servidor de envío de la eliminación. En su lugar, el equipo que tiene el rol de servidor de transporte perimetral instalado envía un comando SMPT "OK" falso al servidor de envío y, a continuación, elimina el mensaje. Como el servidor de envío supone que el mensaje se ha enviado, no reintenta enviarlo en la misma sesión. La configuración del umbral de SCL predeterminada es 9.
Rechazar los mensajes con una SCL superior o igual a: rechaza el mensaje y envía una respuesta de error SMTP al servidor de envío. La configuración del umbral de SCL predeterminada es 9.
Poner en cuarentena los mensajes con una clasificación de SCL superior a: pone en cuarentena el mensaje y lo envía al buzón de cuarentena de correo no deseado que especifique en el cuadro Dirección del buzón de correo de cuarentena. La configuración del umbral de SCL predeterminada es 9.
5. Haga clic en Aceptar. Para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.Configurar el filtrado de destinatarios
Utilice el filtrado de destinatarios como ayuda para evitar la aceptación de mensajes en los siguientes escenarios:
Usuarios no existentes: puede impedir la entrega a destinatarios que no se encuentran en la lista global de direcciones. Por ejemplo, puede detener la entrega a nombres de cuenta que se usan incorrectamente con frecuencia (por ejemplo, [email protected] o [email protected]).
Nota:
La característica de destinatarios no existentes solo está disponible si la matriz de Forefront TMG está suscrita a una organización de Microsoft Exchange.
227
Para obtener más información acerca de la lista global de direcciones, vea Descripción de las listas de direcciones3 en la documentación de Microsoft Exchange 2007.
Listas de distribuciones restringidas: puede impedir la entrega de correo de Internet a listas de distribución que solo deben usar los usuarios internos.
Nota:
La característica de listas de distribución restringidas solo está disponible si la matriz de Forefront TMG está suscrita a una organización de Microsoft Exchange.
Para obtener más información acerca de las listas de distribución restringidas, vea Filtrado de destinatarios4 en la documentación de Microsoft Exchange 2007.
Buzones que nunca deben recibir mensajes de Internet: puede impedir la entrega de correo de Internet a un buzón o alias específico que normalmente se usa dentro de la organización (por ejemplo, el servicio de asistencia).
Para configurar el filtrado de destinatarios
1. Haga clic en Filtrado de destinatarios y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Destinatarios bloqueados, realice una de las acciones siguientes:
Para bloquear automáticamente los mensajes a las direcciones que solo son para uso interno, active la casilla Bloquear mensajes enviados a destinatarios que no aparezcan en la lista global de direcciones.
Para habilitar el bloqueo de destinatarios, active la casilla Bloquear los siguientes destinatarios. Haga clic en Agregar y escriba la dirección SMTP de un destinatario y, a continuación, haga clic en Aceptar para agregar dicho destinatario a la lista de destinatarios bloqueados.
3. Haga clic en Aceptar. Para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.Configurar el filtrado de remitentes
El filtro de remitentes permite bloquear remitentes individuales (por ejemplo, [email protected]), dominios completos (por ejemplo, .contoso.com) o dominios y todos los subdominios (por ejemplo, *.contoso.com). También puede configurar la acción que debe realizar el filtro de remitentes cuando se encuentra un mensaje que tiene un remitente bloqueado. Puede configurar las siguientes acciones:
Rechazar la solicitud SMTP con un error de sesión SMTP "554 5.1.0 Remitente denegado" y cerrar la conexión. Marcar el mensaje como un "remitente bloqueado" y seguir el procesamiento. Como el mensaje procede de un remitente bloqueado y está marcado como tal, el
agente de contenido de filtro utilizará esta información al calcular el nivel de confianza contra correo no deseado (SCL).
Importante:
Los encabezados SMTP MAIL FROM: se pueden suplantar. Por lo tanto, no se debe basar únicamente en el agente de filtro de remitentes. Utilice de forma conjunta el agente de filtro de remitentes y el agente de identificador de remitente. El agente de identificador de remitente utiliza la dirección IP del servidor de envío para intentar comprobar que el dominio del encabezado SMTP MAIL FROM: coincide con el dominio que está registrado. Para obtener más información acerca del agente de identificador de remitente, vea Configurar el identificador de remitente más adelante.
Para configurar el filtrado de remitentes
1. Haga clic en Filtrado de remitentes y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Remitentes bloqueados, haga clic en Agregar.
a. Para bloquear un remitente concreto, seleccione la opción Dirección de correo electrónico individual y, a continuación, escriba la dirección de correo electrónico en el cuadro de texto (por ejemplo, [email protected]).
b. Para bloquear un dominio, seleccione la opción Dominio y escriba el dominio en el cuadro de texto (por ejemplo, contoso.com). Si desea bloquear todos los subdominios del dominio que se especifica en el cuadro de texto (por ejemplo, mail.contoso.com), active la casilla Incluir todos los subdominios.
3. Active la casilla Bloquear mensajes de remitentes en blanco para bloquear los mensajes entrantes de los remitentes que no especifican un remitente y un dominio en el encabezado SMTP MAIL: FROM. Esta característica contribuye a evitar los ataques de denegación de servicio (DOS) en el servidor SMTP. La mayoría de los mensajes SMTP (Protocolo simple de transferencia de correo) proceden de servidores SMTP que proporcionan un remitente y un dominio en el comando MAIL FROM SMTP.
4. En la ficha Acción, seleccione la acción que se realizará cuando el mensaje se haya generado en un remitente o dominio de la lista Remitentes bloqueados.
Nota:
Rechazar mensaje es la configuración predeterminada.
5. Para guardar los cambios, haga clic en Aceptar y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.Configurar el identificador de remitente
El identificador de remitente intenta comprobar que todos los mensajes de correo electrónico se originan en el dominio de Internet del que indican que se han enviado. El identificador de remitente está diseñado para combatir la suplantación de un remitente y un dominio, práctica que con frecuencia se denomina "suplantación de identidad". Un correo simulado es un mensaje de correo electrónico que tiene una dirección de envío que se ha modificado para que parezca que se ha originado en un remitente distinto del remitente real del mensaje.
228
El identificador de remitente dificulta la suplantación de identidad. Al habilitar el identificador de remitente, Forefront TMG comprueba la dirección del servidor que envía el mensaje en una lista registrada de los servidores a los que el propietario del dominio ha autorizado el envío de correo electrónico.Puede configurar el identificador de remitente para realizar una de las siguientes acciones cuando el identificador de remitente determina que un mensaje es simulado o cuando se devuelve un error transitorio.
Rechazar mensaje: esta es la acción predeterminada. Rechaza el mensaje y envía una respuesta de error de SMTP al servidor de envío. La respuesta de error de SMTP es una respuesta de protocolo de nivel 5xx con un texto que corresponde al estado del identificador de remitente.
Eliminar mensaje: elimina el mensaje sin informar al servidor de envío de la eliminación. En su lugar, el servidor que tiene el transporte perimetral instalado envía un comando SMPT "OK" falso al servidor de envío y, a continuación, elimina el mensaje. Como el servidor de envío supone que el mensaje se ha enviado, no reintentará enviarlo en la misma sesión.
Marcar mensaje con el resultado de Id. del remitente y continuar con el procesamiento: el estado del identificador de remitente se incluye en los metadatos de todos los mensajes entrantes en la organización. El filtro de contenido evalúa estos metadatos cuando se calcula un nivel de confianza contra correo no deseado (SCL). Además, la reputación del remitente utiliza los metadatos del mensaje cuando calcula un nivel de reputación de remitente (SRL) para el remitente del mensaje.
Para configurar el identificador de remitente
1. Haga clic en Id. del remitente y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Acción, seleccione la acción que se realizará si se produce un error en la comprobación del identificador de remitente.
Nota:
Rechazar mensaje es la configuración predeterminada.
3. Haga clic en Aceptar para guardar los cambios y cerrar el cuadro de diálogo; a continuación, en la barra Aplicar cambios, haga clic en Aplicar.Configurar la reputación del remitente
La reputación del remitente supervisa continuamente los remitentes y sus interacciones de SMTP anteriores, como la cantidad de correo electrónico no deseado y los mensajes que no son correo no deseado que un remitente ha enviado. La reputación del remitente se basa en dichos datos acerca del remitente para determinar la acción, si la hubiera, que se debe realizar en un mensaje entrante. El filtro de reputación del remitente genera un nivel de reputación del remitente (SRL) para el remitente de un mensaje. SRL es un número entre 0 y 9 que predice la probabilidad de que un remitente concreto sea un spammer o un remitente malintencionado. Un valor de 0 indica que no es probable que el mensaje sea correo electrónico no deseado. Un valor de 9 indica que es probable que un mensaje sea correo electrónico no deseado.
Comprobar los servidores proxy abiertosLa reputación del remitente utiliza varios criterios para calcular el SRL. Un elemento opcional del cálculo de SRL es una prueba de los servidores proxy abiertos. Un proxy abierto es un servidor proxy que acepta las solicitudes de conexión de cualquiera en cualquier lugar y reenvía el tráfico como si se originara en los hosts locales. Los servidores proxy pueden existir por cualquiera de las siguientes condiciones:
Configuración incorrecta involuntaria Programas de caballo de Troya malintencionados. Un programa de caballo de Troya es un programa que se hace pasar por otro programa común en un intento de
recibir información. Los servidores proxy abiertos, que con frecuencia no tienen un registro suficiente, proporcionan una forma ideal para que los usuarios malintencionados oculten sus identidades auténticas e inicien ataques de denegación de servicio (DoS) o envíen correo electrónico no deseado.
Configurar el umbral de bloqueo del nivel de reputación del remitentePuede configurar el umbral para el bloqueo de remitentes por SRL. Este umbral de bloqueo de SRL define el valor de SRL que se debe superar para que la reputación del remitente bloquee un remitente. De forma predeterminada, el valor de umbral de SRL es 7. Tenga cuidado al establecer el umbral de SRL. Un umbral demasiado bajo puede bloquear los remitentes legítimos de forma accidental. Un umbral demasiado alto puede no bloquear remitentes malintencionados o spammers. Si un mensaje es igual a o mayor que el umbral de bloqueo de SRL, ese remitente se agregará a la lista de direcciones IP bloqueadas de 0 a 48 horas. El valor predeterminado es 24 horas.
Sugerencia:
Debe supervisar la efectividad del agente en el nivel predeterminado y, a continuación, ajustar el valor para satisfacer las necesidades de su organización.
Para configurar la reputación del remitente
1. Haga clic en Reputación del remitente y, en la ficha General, compruebe que Estado está establecido en Habilitado. 2. En la ficha Confianza de remitente, active o desactive la casilla Realizar una prueba de proxy abierto al determinar el nivel de confianza del remitente según
corresponda.3. En la ficha Acción, arrastre el control deslizante Umbral de bloqueo de nivel de reputación del remitente hasta el umbral requerido.4. En Acción de umbral, haga clic en la flecha Subir o Bajar en el cuadro Cuando se supere el umbral del nivel de bloqueo de reputación del remitente, agregar el
remitente a la lista de direcciones IP bloqueadas por un período de (horas) para establecer el número de horas que el remitente permanece en la lista de direcciones IP bloqueadas.
Sugerencia:
Puede establecer el número de horas que se va a agregar a la lista de direcciones IP bloqueadas a 0, para supervisar la reputación del remitente sin interrumpir el flujo de correo.
229
5. Haga clic en Aceptar para guardar los cambios y, a continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar el filtrado de virusPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo habilitar y configurar el filtrado de virus en su servidor de Forefront TMG. Forefront TMG proporciona protección perimetral que quita estas amenazas antes de que puedan entrar en la infraestructura de una organización. En este tema se describe lo siguiente:
Detección con varios motores Configurar la directiva de selección de motores inteligentes Configuración del filtrado de virus en su servidor
Requisitos previos
Antes de configurar el filtrado de virus, asegúrese de que completa lo siguiente:
Instale el rol de servidor Transporte de Exchange Edge y Forefront Protection 2010 for Exchange Server (FPES) en todos los servidores de Forefront TMG de la matriz, como se describe en Instalar los requisitos previos para la protección de correo electrónico1.
Cree las rutas de SMTP iniciales con el Asistente para directiva de correo electrónico, como se describe en Configurar rutas SMTP2. Habilite el filtrado de virus, con el Asistente para directiva de correo electrónico o haciendo clic en Habilitar filtrado de virus en el panel Tareas de la ficha Filtrado
de virus y contenido.Detección con varios motores
Forefront TMG le permite emplear varios motores de detección (hasta cinco) para detectar y limpiar virus de los adjuntos de correo electrónico. El uso de varios motores ofrece un mayor grado de seguridad, ya que es posible aprovechar la experiencia de varios laboratorios antivirus para mantener su entorno libre de virus; es posible que un virus escape al examen de un motor, pero es poco probable que escape a tres.Configurar la directiva de selección de motores inteligentes
La configuración de la directiva de selección de motores inteligentes controla cuántos de los motores seleccionados deberían usarse para proporcionarle una probabilidad aceptable de que su sistema está protegido (dado que hay un equilibrio entre el grado de certeza y el rendimiento del sistema). Cuantos más motores use, mayor es la probabilidad de detectar todos los virus. No obstante, cuantos más motores use, mayor será el efecto sobre el rendimiento del sistema.Configuración del filtrado de virus en su servidor
Para configurar el filtrado de virus
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de correo electrónico. 2. En el panel de detalles, haga clic en la ficha Filtrado de virus y contenido y en Filtrado de virus, haga clic en Habilitado.3. En la ficha General del cuadro de diálogo Configuración de antivirus, compruebe que Estado está establecido en Activado.4. En la ficha Motores, seleccione un método de administración del motor:
Usar la administración del motor automática Habilitar manualmente hasta 5 motores: si selecciona esta opción, debe habilitar al menos un motor antivirus.
5. También en la ficha Motores, configure las siguientes opciones Directiva de selección inteligente de motores: Examinar siempre con todos los motores seleccionados: pone las detecciones en cola si cualquiera de los motores seleccionados está ocupado, por
ejemplo, durante las actualizaciones de firmas. Examinar con el subconjunto de motores seleccionados disponibles: para la detección se usan todos los motores seleccionados que estén disponibles.
Las detecciones continúan con los motores disponibles cuando se está actualizando uno de los motores seleccionados. Examinar con un subconjunto de motores seleccionados elegidos dinámicamente: elige heurísticamente entre los motores seleccionados, en función de
los últimos resultados y proyecciones estadísticas. Por término medio, se usa la mitad de los motores seleccionados para el examen de un solo objeto. Examinar con solo uno de los motores seleccionados: elige heurísticamente entre los motores seleccionados, en función de los resultados recientes y las
proyecciones estadísticas. Se usa solo uno de los motores seleccionados en la detección de cualquier objeto único.6. En la ficha Corrección, seleccione la acción que se va a llevar a cabo cuando se detecta un virus en un adjunto de correo electrónico.
Omitir (solo detectar): no se realizará ningún intento de limpieza o eliminación. Se informará de los virus pero los archivos permanecerán infectados. Limpiar (reparar datos adjuntos): se intentará limpiar el virus. Si el intento se lleva a cabo satisfactoriamente, el cuerpo del mensaje o los datos adjuntos
infectados se sustituirán por una versión limpia. Si la limpieza no es posible, el cuerpo del mensaje o los datos adjuntos se sustituirán por el texto de eliminación. Ésta es la configuración predeterminada para cada tipo de detección antivirus.
Eliminar (quitar infección): los datos adjuntos se eliminarán sin intentar limpiarlos. Los datos adjuntos detectados se quitan del mensaje y se inserta en su lugar el texto de eliminación.
7. Si desea que al destinatario de correo electrónico se le notifique siempre que se detecte un virus, en la ficha Corrección, haga clic en Enviar notificaciones.8. Forefront TMG reemplaza el contenido del archivo infectado por el texto que se proporciona en el cuadro Texto de eliminación. El texto de eliminación
predeterminado indica al destinatario que se ha quitado un archivo infectado e incluye el nombre del archivo y el nombre del virus encontrado. El texto de eliminación se puede personalizar; basta con que escriba su propio texto en el cuadro.
Configuración del filtrado de contenidoPublicada: noviembre de 2009Actualizado: febrero de 2010
230
Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar el filtrado de contenido. Puede crear filtros de contenido para buscar palabras concretas dentro de un mensaje de correo electrónico y datos adjuntos con un tipo y nombre específico. Hay dos tipos de filtros de contenido:
Filtros de archivos: identifica los archivos adjuntos no deseados dentro de los mensajes de correo electrónico. Puede filtrar archivos adjuntos en función del tipo de archivo, nombre de archivo y prefijo.
Filtros de cuerpo de mensaje: identifique los mensajes de correo electrónico no deseados analizando el contenido del cuerpo del mensaje. Mediante la creación de listas de palabras clave, puede filtrar mensajes basándose en diversas palabras, frases y oraciones.
En las secciones siguientes se describe cómo configurar el filtrado de contenido:
Creación de un filtro de archivos Crear un filtro de cuerpo de mensaje
Requisitos previos
Antes de configurar los filtros de contenido, asegúrese de que completa lo siguiente:
Instale el rol de servidor Transporte de Exchange Edge y Forefront Protection 2010 for Exchange Server (FPES) en todos los servidores de Forefront TMG de la matriz, como se describe en Instalar los requisitos previos para la protección de correo electrónico1.
Cree las rutas de SMTP iniciales con el Asistente para directiva de correo electrónico, como se describe en Configurar rutas SMTP2. Habilite el filtrado de contenido, con el Asistente para directiva de correo electrónico o haciendo clic en Habilitar filtrado de contenido en el panel Tareas de la
ficha Filtrado de virus y contenido.Creación de un filtro de archivos
El filtro de archivos puede configurarse por tipo, extensión o nombre de archivo.
Filtrado por tipo de archivoSi desea filtrar determinados tipos de archivos, puede crear un filtro y establecer la selección Tipos de archivo en el tipo de archivo exacto que desee filtrar.Por ejemplo: cree un filtro y establezca Tipos de archivo en MP3. De esta forma, se asegura de que se filtran todos los archivos MP3, con independencia del nombre y la extensión.
Filtrado por nombre de archivoSi desea filtrar todos los archivos con un nombre determinado, puede crear un filtro agregando el nombre de archivo a la ficha Nombres de archivos. Las coincidencias de filtro no distinguen mayúsculas de minúsculas.Por ejemplo, si un virus usa un archivo adjunto denominado payload.doc, puede crear el filtro payload.doc. De esta forma, se asegurará de que se filtrará cualquier archivo con el nombre payload.doc, independientemente del tipo de archivo que sea.La detección de datos adjuntos de archivo por nombre es útil cuando se produce un brote de virus y conoce el nombre del archivo en el que reside el virus antes de que los detectores de virus se actualicen para detectarlo.
Filtrado por extensiónSi desea filtrar cualquier archivo que tenga una extensión determinada, puede crear un filtro para la extensión agregándolo a la ficha Nombres de archivos. Las coincidencias de filtro no distinguen mayúsculas de minúsculas.Por ejemplo, cree un filtro para cualquier archivo ejecutable con la extensión .exe agregando *.exe* como el nombre de archivo en la ficha Nombres de archivos. De esta forma, se asegura de que se filtrarán todos los archivos con extensión .exe.
Importante:
Al crear filtros de archivos genéricos para detener todos los archivos de un tipo determinado (por ejemplo, los archivos .exe), se recomienda escribir el filtro en este formato: *.exe*. El segundo asterisco (*) impedirá que el filtro omita los archivos que tengan caracteres adicionales después de la extensión.
Nota:
Se recomienda evitar el uso de un filtro genérico * (donde no se define nada para filtrar) con Tipos de archivo establecido en Seleccionar todo. Esta configuración del filtro puede tener como resultado que se informe de detecciones repetidas.
Para crear y configurar un filtro de archivos
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de correo electrónico. 2. En el panel de detalles, haga clic en la ficha Filtrado de virus y contenido y, a continuación, haga clic en Filtrado de archivos.3. En la ficha General de las propiedades Filtrado de archivos, compruebe que Estado está establecido en Habilitado. 4. En la ficha Filtros de archivos, haga clic en Add.5. En la ficha General de las propiedades Filtro de archivos, compruebe que la casilla Habilitar este filtro está activada. Esta opción está habilitada de forma
predeterminada.6. En Nombre del filtro, escriba un nombre para este filtro.7. Seleccione la Acción que se realizará si se produce una coincidencia de filtro:
Omitir: registra el número de mensajes que cumplen los criterios del filtro, pero permite que los mensajes se enruten normalmente. Identificar: etiqueta la línea de asunto o el encabezado de asunto del mensaje detectado con una palabra o frase personalizable, de forma que pueda
identificarse posteriormente para su procesamiento en carpetas por bandejas de entrada de usuarios. Eliminar: elimina los datos adjuntos de archivo. El archivo adjunto detectado se quita del mensaje. Purgar: elimina el mensaje del sistema de correo.
8. Seleccione si desea aplicar este filtro a los mensajes de entrada, mensajes de salida o a ambos.
231
9. En la ficha Tipos de archivo, haga clic en los tipos de archivo que pueden estar asociados al nombre de archivo seleccionado. Puede seleccionar uno o varios tipos de archivo en la lista. Si el tipo de archivo que desea asociar al nombre de archivo seleccionado no está disponible en la lista, haga clic en Seleccionar todo.
10. En la ficha Nombres de archivos, haga clic en Agregar y escriba el nombre o la extensión del archivo que se va a detectar.Crear un filtro de cuerpo de mensaje
Use el siguiente procedimiento para crear un filtro de cuerpo de mensaje.
Para crear y configurar un filtro de cuerpo de mensaje
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de correo electrónico. 2. En el panel de detalles, haga clic en la ficha Filtrado de virus y contenido y, a continuación, en Filtrado de cuerpo del mensaje.3. En la ficha General de las propiedades de Filtrado de cuerpo del mensaje, compruebe que Estado está establecido en Habilitado. 4. En la ficha Filtros de cuerpo de mensaje, haga clic en Agregar.5. En la ficha General de las propiedades de Filtro de cuerpo del mensaje, compruebe que la casilla Habilitar este filtro está activada. Esta opción está habilitada de
forma predeterminada.6. En Nombre del filtro, escriba un nombre para este filtro.7. Seleccione la Acción que se realizará si se produce una coincidencia de filtro:
Omitir: registra el número de mensajes que cumplen los criterios del filtro pero permite que los mensajes se enruten con normalidad. Identificar: etiqueta la línea de asunto o el encabezado de asunto del mensaje detectado con una palabra o frase personalizable, de forma que pueda
identificarse posteriormente para su procesamiento en carpetas por bandejas de entrada de usuarios. Eliminar: elimina los datos adjuntos de archivo. El archivo adjunto detectado se quita del mensaje. Purgar: elimina el mensaje del sistema de correo.
8. Seleccione si desea aplicar este filtro a los mensajes de entrada, mensajes de salida o a ambos.9. En la ficha Palabras clave, haga clic en Agregar y escriba las palabras clave que desea filtrar. Para obtener información sobre la sintaxis y las expresiones que
puede usar con filtros de cuerpo del mensaje, vea Acerca de las reglas de sintaxis de las listas de palabras clave a continuación.
Acerca de las reglas de sintaxis de las listas de palabras claveA continuación, se muestran las reglas de sintaxis de las listas de palabras clave:
Cada elemento (línea de texto) se considera una consulta de búsqueda. Las consultas usan el operador OR. Una detección se considera positiva si cualquiera de las entradas coincide. Las consultas pueden contener operadores para separar los tokens de texto. Estas consultas se llaman expresiones. Se admiten los siguientes operadores lógicos.
Debe haber un espacio entre un operador y una palabra clave, representado en los ejemplos por el carácter •: _AND_ (Y lógico). Por ejemplo: manzana•_AND_•zumo de naranja _NOT_ (Negación). Por ejemplo: manzana•_AND__NOT_•zumo _ANDNOT_ (Igual que _AND__NOT_). Por ejemplo: manzana•_ANDNOT_•zumo _WITHIN[#]OF_ (Proximidad). Si los dos términos se encuentran a una distancia de un número de palabras especificado uno de otro, se produce una
coincidencia. Por ejemplo: oferta•_WITHIN[10]OF_•gratis. Si "oferta" está como máximo a 10 palabras de distancia de "gratis", la consulta será verdadera.
_HAS[#]OF_ (Frecuencia). Especifica el número mínimo de veces que debe aparecer el texto para que la consulta se considere verdadera. Por ejemplo: _HAS[4]OF_•hágase rico rápidamente. Si la frase "hágase rico rápidamente" aparece en el texto cuatro veces o más, la consulta se considerará verdadera. Este operador se asume de forma implícita y tiene un valor predeterminado de 1 cuando no se especifica.
Se permiten varios operadores _AND_, _NOT_, _HAS[#]OF_ y _WITHIN[#]OF_ en una sola consulta. La prioridad de los operadores es la siguiente (de mayor a menor): 1) _WITHIN[#]OF_ 2) _HAS[#]OF_ 3) _NOT_ 4) _AND_ Esta prioridad no se puede invalidar con paréntesis.
Los operadores lógicos deben escribirse en mayúsculas. También pueden usarse frases como palabras clave, por ejemplo manzanas maduras o hágase rico rápidamente. El uso de varios espacios en blanco (caracteres en blanco, caracteres de salto de línea, caracteres de retorno de carro, tabulaciones horizontales y tabulaciones
verticales) se tratará como un solo espacio en blanco a efectos de coincidencia. Por ejemplo, A••••B se tratará como A•B y coincidirá con la frase A•B. En los textos de mensajes codificados en HTML, la puntuación (cualquier carácter que no sea alfanumérico) se trata como un separador de palabras, similar a los
espacios en blanco. Por consiguiente, el filtro puede identificar correctamente las palabras delimitadas por etiquetas HTML. Sin embargo, tenga en cuenta que el filtro <html> coincidirá con <html>, pero no con html.
Nota:
Debe dejar un espacio entre los operadores y las palabras clave. Los operadores lógicos se deben escribir en letras mayúsculas como se muestra para que funcionen correctamente.
Ejemplos (el carácter • representa un espacio):
zumo•_WITHIN[50]OF_•manzana•_AND_•naranja•_AND_•limón proyecto•_WITHIN[10]OF_•confidencial•_AND_•batido•_WITHIN[25]OF_•plátano _HAS[2]OF_•hágase rico•_WITHIN[20]OF_•rápidamente
Filtrar mensajes de correo electrónico que cargan imágenes HTML automáticamentePara filtrar mensajes de correo electrónico que cargan imágenes HTML automáticamente desde un servidor web, agregue los elementos siguientes a una lista de filtros de palabras clave:
232
img _WITHIN[6]OF_ src="http" img _WITHIN[6]OF_ src='http'
Estos filtros identificarán instancias del texto "img" que se encuentran a seis palabras como máximo del texto siguiente: src="http"Si no se filtran los mensajes de correo electrónico que contienen imágenes HTML después de agregar estos filtros a la lista de palabras clave, puede examinar el código fuente de los mensajes de correo electrónico para ver la manera en la que estos mensajes de correo electrónico identifican imágenes. A continuación, puede crear filtros personalizados adicionales.
Suscribir el servidor de transporte perimetral a la organización de ExchangePublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Si está usando una organización de mensajería de Microsoft Exchange, puede suscribir el servidor de transporte perimetral instalado en Forefront TMG en la organización de Microsoft Exchange Server. Una suscripción perimetral crea una conexión segura a partir de los servidores de transporte de concentradores (en los que la configuración e información de directorio está almacenada en la organización de Exchange) al rol del servidor de transporte perimetral. En este tema se describe lo siguiente:
Rol de servidor de transporte perimetral Ventajas de una suscripción perimetral Acerca del servicio de Microsoft Exchange EdgeSync Acerca de los datos de replicación Configurar una suscripción perimetral
Rol de servidor de transporte perimetral
Diseñado para minimizar la superficie del ataque, el servidor de transporte perimetral administra todo el flujo del correo orientado a Internet y proporciona relé del Protocolo simple de transferencia de correo (SMTP) y los servicios de host inteligentes para la organización de Exchange. Se proporcionan capas adicionales de seguridad y protección de mensajes mediante una serie de agentes que se ejecutan en el servidor de transporte perimetral y actúan en los mensajes a medida que se procesan por los componentes de transporte de mensajes. Estos agentes admiten las características que proporcionan protección frente a virus y correo no deseado, y aplican reglas de transporte para controlar el flujo de mensajes. Ventajas de una suscripción perimetral
La creación de una suscripción perimetral establece la replicación segura y automática de directorio y otra información de la organización de Exchange a los servidores de transporte perimetral. El enrutamiento y la configuración de dominio aceptada que se controlaba directamente en el servidor de transporte perimetral se configura ahora en el servidor de transporte de concentradores. Aunque la creación de una suscripción perimetral es opcional, la suscripción de un servidor de transporte perimetral a la organización de Exchange mejora las características disponibles contra correo electrónico no deseado. Debe crear una suscripción perimetral si pretende usar las características contra correo electrónico no deseado, la búsqueda de destinatarios o la agregación de listas de seguridad, o si piensa ayudar a las comunicaciones de SMTP seguras con dominios de asociado, usando la seguridad de la capa de transporte (TLS) mutua.Para obtener más información sobre suscripciones perimetrales, vea lo siguiente:
Exchange 2007 Exchange 2010
Descripción de las suscripciones perimetrales1 Descripción de las suscripciones perimetrales2
Acerca del servicio de Microsoft Exchange EdgeSync
El servicio de Microsoft Exchange EdgeSync que se ejecuta en el servidor de transporte de concentradores lleva a cabo la sincronización unidireccional periódica para transferir estos datos a los servidores de transporte perimetral y mantenerlos actualizados. El servicio de Microsoft Exchange EdgeSync sólo copia la información necesaria para que los servidores de transporte perimetral lleven a cabo tareas de configuración contra correo no deseado e información de configuración que habilita el flujo de correo entre los servidores de transporte de concentradores de la organización de Exchange e Internet, a través de los servidores de transporte perimetral. Este proceso reduce la administración que debe realizar en la red perimetral, permitiéndole realizar la configuración necesaria en el rol de servidor de transporte de concentradores y escribir dicha información en los servidores de transporte perimetral. Para obtener más información acerca de EdgeSync, vea lo siguiente:
Exchange 2007 Exchange 2010
Descripción del proceso de sincronización de EdgeSync3 Descripción del proceso de sincronización de EdgeSync4
Acerca de los datos de replicación
Los datos que se envían a AD LDS desde Active Directory se mandan a través de un canal cifrado con una conexión de Protocolo ligero de acceso seguro a directorios(LDAP seguro). Además, a las listas de remitentes seguros y a la información de destinatarios se aplica un algoritmo hash para proteger la privacidad de los datos. El servicio de Microsoft Exchange EdgeSync replica los siguientes tipos de datos desde Active Directory a AD LDS:
Información de suscripción perimetral. Información de configuración. Información de destinatario. Información de topología.
Para obtener una descripción completa de estos tipos de datos y de cómo se usan por el servidor de transporte perimetral, vea lo siguiente: Exchange Server 2007 Exchange Server 2010
Datos de replicación de EdgeSync5 Datos de replicación de EdgeSync6
Configurar una suscripción perimetral
En los siguientes procedimientos se proporcionan instrucciones sobre cómo suscribir el servidor de transporte perimetral en Forefront TMG:
233
1. Preparación para ejecutar el servicio Microsoft Exchange EdgeSync7
2. Habilitar la conectividad para el tráfico de EdgeSync8
3. Exportar los archivos de suscripción perimetral9
4. Crear una característica perimetral10
Nota:
Al exportar los archivos de suscripción perimetral, dispone de 24 horas para completar el proceso de suscripción perimetral dentro de la organización. De lo contrario, tendrá que exportar los archivos de nuevo.
5. Compruebe que la sincronización finaliza correctamente inspeccionando los eventos de MsExchange EdgeSync en el registro de aplicaciones del Visor de eventos.
Importante:
Los archivos de suscripción perimetral se escriben en texto no cifrado. Debe proteger estos archivos a lo largo del proceso de suscripción. Una vez importado el archivo de suscripción perimetral a un servidor de transporte de concentradores, debería eliminar el archivo de suscripción perimetral inmediatamente del servidor de Forefront TMG, el servidor de transporte de concentradores y cualquier medio extraíble.
Pasos siguientes
Preparación para ejecutar el servicio Microsoft Exchange EdgeSync7
Preparación para ejecutar el servicio Microsoft Exchange EdgeSyncPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se proporciona información acerca de la configuración que debe realizar en el rol del servidor de transporte de concentradores antes de suscribir el servidor de transporte perimetral a la organización de Microsoft Exchange Server. Después de que el servidor de transporte perimetral se haya suscrito a la organización de Exchange, el servicio EdgeSync de Microsoft Exchange replica periódicamente los datos de destinatarios y de configuración, del servicio de directorio Active Directory a la instancia de Active Directory Lightweight Directory Services, en un equipo en el que esté instalado el rol de servidor de transporte perimetral. El servicio EdgeSync de Microsoft Exchange que se ejecuta en los servidores de transporte de concentradores en el sitio de Active Directory al que está suscrito el servidor de transporte perimetral realizará una replicación unidireccional inicial y sincronizaciones periódicas de los datos nuevos, eliminados y modificados.
Nota:
Después de que el servidor de transporte perimetral se haya suscrito a la organización de Exchange, las tareas que se usan para configurar los objetos que el servicio EdgeSync de Microsoft Exchange replica en el servidor de transporte perimetral están deshabilitadas en el servidor de transporte perimetral.
Preparar la ejecución del servicio EdgeSync
1. Compruebe que la resolución de nombres de host del sistema de nombres de dominio (DNS) se realiza correctamente desde el servidor de transporte perimetral a los servidores de transporte perimetral y desde los servidores de transporte de concentradores al servidor de transporte perimetral. Para obtener más información, consulte:
Exchange 2007 Exchange 2010
Configurar las opciones de DNS para servidores Exchange 20071 Configurar las opciones de DNS para servidores Exchange 20102
2. Obtenga la licencia del servidor de transporte perimetral. La información de licencia del servidor de transporte perimetral se captura cuando se crea la suscripción perimetral y se muestra en la consola de administración de Exchange para la organización de Exchange. Para los servidores de transporte perimetral suscritos aparezcan con licencia, deben estar suscritos a la organización de Exchange después de que la clave de licencia se aplique en el servidor de transporte perimetral. Si se aplica la clave de licencia en el servidor de transporte perimetral después de realizar el proceso de suscripción perimetral, la información de licencia no se actualiza en la organización de Exchange y debe volver a suscribir el servidor de transporte perimetral.
3. En el servidor de transporte de concentradores, configure las opciones para la propagación a los servidores de transporte perimetral:
Nota:
Para configurar las opciones en el rol de servidor de transporte de concentradores que se propagan al rol de servidor de transporte perimetral, la cuenta que use debe tener delegado el rol de administrador de la organización de Exchange.
4. Puede configurar las siguientes opciones para la propagación al rol de servidor de transporte perimetral: Servidores SMTP internos: configure la lista de direcciones IP de servidor SMTP interno o de intervalos de direcciones IP que debe omitir el
identificador de remitente y el filtrado de conexión. Dominios aceptados: configure todos los dominios autoritativos, los dominios de retransmisión internos y los dominios de retransmisión externos. Dominios remotos: configure las opciones de los dominios remotos.
Pasos siguientes
Habilitar la conectividad para el tráfico de EdgeSync3
234
Habilitar la conectividad para el tráfico de EdgeSyncPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se explica cómo configurar Forefront TMG para permitir que el tráfico de Exchange EdgeSync replique la información de directorio en el rol de servidor de transporte perimetral que se ejecuta en Forefront TMG. Cuando el servidor de transporte perimetral está suscrito a la organización de Exchange, el servicio EdgeSync usa el puerto 50636/TCP de LDAP seguro para sincronizar la información de directorio que usa la organización de Exchange con el servidor Transporte de Edge. En Forefront TMG, puede permitir fácilmente este tráfico si habilita las reglas de directiva del sistema predefinidas.Requisitos previos
Para habilitar el servicio Exchange EdgeSync, debe tener un servidor de transporte de concentradores que ejecute Microsoft Exchange 2007 SP2 o Microsoft Exchange 2010.Para habilitar la conectividad para el tráfico de EdgeSync
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de correo electrónico. 2. En el panel de detalles, haga clic en la ficha Directiva de correo electrónico.3. En la ficha Tareas, haga clic en Habilitar la conectividad para el tráfico de EdgeSync.4. Si es la primera vez que habilita la conectividad para el tráfico de EdgeSync, aparece un cuadro de diálogo en el que se pregunta si desea habilitar las reglas de
directiva del sistema. Haga clic en Sí.Pasos siguientes
Exportar los archivos de suscripción perimetral1
Exportar los archivos de suscripción perimetralPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se explica cómo exportar los archivos de suscripción perimetral desde un servidor de Forefront TMG. Cuando se generan a través de la consola de administración de Forefront TMG, los archivos de suscripción perimetral contienen información acerca de todos los servidores de transporte perimetral instalados en la matriz de Forefront TMG. Cuando los archivos se importan en el servidor de transporte de concentradores adecuado, todos los servidores de Forefront TMG de la matriz se suscriben a la suscripción perimetral. Después de llevar a cabo este procedimiento, debe importar el archivo de suscripción perimetral en el equipo que tiene el rol del transporte de concentradores instalado en un plazo de 24 horas.Antes de comenzar
Para llevar a cabo el siguiente procedimiento, debe iniciar sesión con una cuenta que sea miembro del grupo Administradores local en dicho equipo.
de seguridad Nota:
Los archivos de suscripción perimetral se escriben en texto no cifrado. Debe proteger estos archivos a lo largo del proceso de suscripción. Una vez se han importado los archivos de suscripción perimetral a un servidor de transporte de concentradores, debería eliminarlos inmediatamente del servidor de transporte perimetral, el servidor de transporte de concentradores y cualquier medio extraíble.
Para crear un archivo de suscripción perimetral
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de correo electrónico. 2. En el panel de detalles, haga clic en la ficha Directiva de correo electrónico.3. En la ficha Tareas, haga clic en Generar archivos de suscripción perimetral.4. En la ventana Buscar carpeta, vaya a la ubicación donde desea almacenar los archivos de suscripción perimetral, y haga clic en Aceptar.
Pasos siguientes
Crear una característica perimetral1
Crear una característica perimetralPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo utilizar la Consola de administración de Exchange para crear una nueva suscripción perimetral para todos los miembros de su matriz de Forefront TMG. Después de realizar este procedimiento, los servidores de transporte perimetral que están instalados en cada uno de sus miembros de matriz de Forefront TMG están asociados a los servidores de transporte de concentrados en un sitio de Active Directory. Para obtener más información acerca de las suscripciones perimetrales, vea lo siguiente:
Exchange 2007 Exchange 2010
Descripción de las suscripciones perimetrales1 Descripción de las suscripciones perimetrales2
Requisitos previos
235
Debe tener al menos un servidor de transporte de concentradores instalado en el sitio de Active Directory al que desea suscribirse. Compruebe que ha configurado las opciones en el servidor de transporte perimetral que se replican en el servidor de transporte perimetral. Para obtener más
información, vea Preparación para ejecutar el servicio Microsoft Exchange EdgeSync3. Consulte los siguientes temas:
Exportar los archivos de suscripción perimetral4
Suscribir el servidor de transporte perimetral a la organización de Exchange5
Para crear los archivos de suscripción perimetral, haga clic en Generar archivos de suscripción perimetral en el panel Tareas del nodo Directiva de correo electrónico. Si tiene varios miembros de matriz de Forefront TMG, se creará un archivo de suscripción perimetral por cada uno.
Copie los archivos de suscripción perimetral desde el servidor de transporte perimetral al servidor de transporte de concentradores en el que realizará este procedimiento.
Nota:
Los archivos de suscripción perimetral se escriben en texto no cifrado. Debe proteger estos archivos a lo largo del proceso de suscripción. Una vez se han importado los archivos de suscripción perimetral a un servidor de transporte de concentradores, debe eliminarlos inmediatamente del servidor de Forefront TMG, el servidor de transporte de concentradores y cualquier medio extraíble.
Utilizar la Consola de administración de Exchange para importar el archivo de suscripción perimetral
Para importar el archivo de suscripción perimetral
1. En el equipo que ejecuta el rol de servidor de transporte de concentradores adecuado, abra la Consola de administración de Exchange. Expanda Configuración de la organización, seleccione Transporte de concentradores y, a continuación, en el panel de resultados, haga clic en la ficha Suscripciones perimetrales.
Nota:
Para realizar este procedimiento, debe tener asignado, tanto directamente como a través de un grupo de seguridad universal, el rol de administración de la organización.
2. En el panel de acción, haga clic en Suscripción perimetral nueva. En la página Suscripción perimetral nueva, complete los siguientes campos: Sitio de Active Directory: haga clic en Examinar y, a continuación, seleccione un sitio de Active Directory en la lista desplegable. Este campo identifica
el sitio de Active Directory en el que el servidor de transporte de concentradores se conecta con el servidor de transporte perimetral para el que existe la suscripción perimetral.
Archivo de suscripción: haga clic en Examinar y, a continuación, seleccione un archivo de suscripción perimetral. Crear automáticamente un conector de envío para esta suscripción perimetral: active esta casilla para crear automáticamente un conector de envío que
enrute los mensajes desde la organización de Exchange a Internet. La suscripción perimetral se configurará como el servidor de origen para el conector de envío. El conector de envío se configurará para enrutar los mensajes a todos los dominios mediante los registros de recurso MX del sistema de nombres de dominio (DNS).
d. Hacer clic en Nuevo.3. En la página Finalización, haga clic en Finalizar. Un estado de Completado indica que el asistente completó la tarea correctamente. Un estado de Error indica que
la tarea no se completó. Si se produce un error en la tarea, revise el resumen para obtener una explicación y, a continuación, haga clic en Atrás para realizar modificaciones adicionales.
4. Repita los pasos del uno al tres por cada archivo de suscripción perimetral.Comprobar la sincronización
Después de realizar este procedimiento, compruebe que la sincronización se ha completado correctamente; para ello, inspeccione los eventos EdgeSync de MsExchange en el registro de aplicaciones en el Visor de eventos.Si es necesario, puede iniciar la sincronización manualmente. Abra el shell de administración de Exchange en el menú Programas y ejecute el cmdlet Start-EdgeSynchronization para iniciar inmediatamente la sincronización de datos de configuración desde el servicio de directorio Active Directory con los miembros de matriz de Forefront TMG. Volver a crear la suscripción perimetral
Deberá volver a crear la suscripción perimetral en los siguientes escenarios:
Instalación de un nuevo servidor de transporte de concentradores: cuando un servidor de transporte perimetral está suscrito a un sitio de Active Directory, todos los servidores de transporte de concentradores que están instalados actualmente en dicho sitio de Active Directory pueden participar en el proceso de EdgeSync. Si se quita uno de esos servidores, el servicio EdgeSync de Microsoft Exchange que se ejecuta en los servidores de transporte de concentradores restantes continúa el proceso de sincronización. No obstante, si los servidores de transporte de concentradores están instalados en el sitio de Active Directory, no pueden participar en el proceso de EdgeSync.
Unión de un servidor de Forefront TMG a la matriz: si agrega un servidor a la matriz, debe volver a suscribir el servidor de transporte perimetral. Aplicación de una licencia al servidor de transporte perimetral: si se aplica la clave de licencia en el servidor de transporte perimetral después de realizar el proceso
de suscripción perimetral, la información de licencia no se actualiza en la organización de Exchange y debe volver a suscribir el servidor de transporte perimetral. Para volver a crear la suscripción perimetral, genere los archivos de suscripción perimetral de nuevo, expórtelos al servidor de transporte de concentradores y vuelva a importarlos.
236
Administrar actualizaciones de definición para Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En esta sección se proporciona información acerca de cómo actualizar los distintos mecanismos de protección disponibles en Forefront TMG. El nodo Centro de actualización en la consola de administración de Forefront TMG proporciona al administrador administración y supervisión centralizadas de las actualizaciones de definiciones para los mecanismos de protección en Forefront TMG. Forefront TMG se puede configurar para buscar las actualizaciones de estas definiciones e instalarlas automáticamente.
Elegir un método de actualizaciónLas definiciones actualizadas para los mecanismos de protección están disponibles a través de Microsoft Update y Windows Server Update Services (WSUS). Puede configurar Forefront TMG para que se conecte directamente a Microsoft Update o recibir las actualizaciones de definiciones a través de WSUS. El servidor WSUS proporciona una fuente de actualización centralizada para los equipos de su empresa. Para obtener más información, vea Información general sobre Windows Server Update Services 3.01 (http://go.microsoft.com/fwlink/?LinkId=108173).Los siguientes temas pueden ayudarle a configurar Forefront TMG para buscar y descargar actualizaciones de definiciones:
Configurar la conectividad para actualizar los sitios2: describe cómo suscribirse a Microsoft Update, activar las licencias de las tecnologías de protección y configurar la conectividad a los sitios de actualizaciones pertinentes.
Configuración de las actualizaciones de definición3: describir cómo configurar las actualizaciones automáticas.
Configurar la conectividad para actualizar los sitiosPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo configurar Forefront TMG para buscar y descargar actualizaciones de definición para mecanismos de protección. Para recibir actualizaciones de definición, complete los siguientes procedimientos:
1. Habilitar Microsoft Update y activar licencias2. Configurar la conectividad a los sitios de actualización relevantes
Si experimenta problemas al conectarse a Microsoft Update, vea Conectividad de solución de problemas para actualizar sitios.Habilitar Microsoft Update y activar licencias
Para habilitar Microsoft Update y activar licencias1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Nombre del servidor.2. En la ficha Tareas, haga clic en el asistente para Iniciar Introducción y, a continuación, haga clic en Definir las opciones de
implementación.3. En la página Configuración de Microsoft Update, haga clic en Usar el servicio Microsoft Update para buscar
actualizaciones (recomendado).
Nota:
Para activar las licencias de mecanismo de protección, debe optar por usar Microsoft Update. Esto es así aunque pretenda usar WSUS.
Nota:
Si el servidor de Forefront TMG se configura para recibir actualizaciones de WSUS, omitirá la configuración de la página Configuración de Microsoft Update.
4. En la página Configuración de características de protección de Forefront TMG, active las licencias para las características de protección que desea habilitar. Sólo puede descargar e instalar definiciones actualizadas para las características que ha habilitado.
5. Si ha activado la licencia del Sistema de inspección de red (NIS), en la página Configuración de actualización de firmas de NIS, seleccione la acción de actualización automática que desee.
6. Complete el asistente y, a continuación, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar.Configurar la conectividad a los sitios de actualización relevantes
Para conectarse a Microsoft Update directamente Forefront TMG permite de forma predeterminada la entrada y salida de tráfico desde los distintos sitios de actualización de
Microsoft. Si el servidor de Forefront TMG se implementa en el perímetro y tiene un vínculo directo a Internet, la conexión a Microsoft Update y la recuperación de las actualizaciones de definición no deberían suponer ningún problema. Si está experimentando un problema, la regla de acceso de la directiva del sistema para Microsoft Update puede estar deshabilitada. Para obtener más información, vea Conectividad de solución de problemas para actualizar sitios.
237
Para recibir actualizaciones de definición en un escenario de encadenamiento1. Si el servidor de Forefront TMG que está configurando se conecta a Internet a través de un servidor proxy web o un firewall que
precede en la cadena, compruebe que la regla de encadenamiento para el servidor superior de la jerarquía adecuado permite el tráfico desde la red de host local a Internet.
Para conectarse a un servidor WSUS Para conectarse a un servidor WSUS para la distribución de actualizaciones, tiene que crear las dos reglas de acceso siguientes:
En el servidor de Forefront TMG, cree una regla que permita el acceso HTTP de la red de host local al servidor WSUS. En el servidor WSUS, cree una regla que permita el acceso del servidor WSUS a los sitios de Microsoft Update externos.
Probar la configuración
Para probar la configuración, instale las actualizaciones manualmente.Para buscar e instalar actualizaciones manualmente
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Centro de actualización.2. En la ficha Tareas, haga clic en Instalar nuevas actualizaciones. Si Forefront TMG descarga correctamente e instala nuevas
definiciones, en el panel de detalles, Estado de última actualización muestra Actualizadoy Última actualización muestra la fecha y la hora del día de hoy.Si Forefront TMG no se conecta al origen de la actualización, el Estado de última actualización para el mecanismo protegido seleccionado se notifica como Error. Un mensaje de error puede indicar el origen del problema. De lo contrario, vea las sugerencias de solución de problemas en Conectividad de solución de problemas para actualizar sitios.
Conectividad de solución de problemas para actualizar sitios
Revisar alertasSi no se puede realizar una conexión a un sitio de actualización, lo primero que hay que comprobar es si hay alguna alerta generada por el sistema relacionada con la operación de actualización.Para comprobar que la directiva del sistema permite el tráfico de Microsoft Update
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión.2. Haga clic en la ficha Alertas y, a continuación, busque alertas recientes que tengan que ver con la conectividad o la
configuración del proxy.Conexión a Microsoft UpdateSi un servidor de Forefront TMG no se puede conectar a Microsoft Update, compruebe que su sistema tiene la regla de acceso de Microsoft Update habilitada.Para comprobar que la directiva del sistema permite el tráfico de Microsoft Update
1. En el árbol de la consola de administración de Forefront TMG, haga clic con el botón secundario en el nodo Directiva de firewall y, a continuación, haga clic en Editar directiva del sistema.
2. En el grupo de configuración Varios, seleccione Sitios de Microsoft Update.3. En la ficha General, compruebe que Habilitar este grupo de configuración está seleccionado.
Otros problemasAl iniciar manualmente una búsqueda de nuevas definiciones se genera un mensaje de error si no es posible ponerse en contacto con el origen de la actualización en las siguientes condiciones:
La licencia para el mecanismo de protección pertinente ha expirado. No ha optado por Microsoft Update. El servicio Programador no se está ejecutando.
En implementaciones con varios servidores de Forefront TMG, es posible que el servicio Programador, el servicio del Firewall o ambos servicios no se estén ejecutando en todos los servidores. Compruebe que estos servicios se están ejecutando haciendo lo siguiente.Para comprobar que el servicio Programador y el servicio del Firewall se están ejecutando en todos los servidores
En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión y, a continuación, en la ficha Servicios. Asegúrese de que el servicio pertinente se está ejecutando en todos los servidores de Forefront TMG.
Configuración de las actualizaciones de definiciónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo cambiar la configuración que controla si Forefront TMG busca actualizaciones de definiciones y la frecuencia con que lo hace Forefront TMG.Para cambiar la configuración de automatización de actualizaciones para protecciones individuales
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Centro de actualización.2. En el panel Tareas, haga clic en Configurar opciones y, a continuación, revise la configuración de cada mecanismo de
protección en la ficha Actualizaciones de definiciones.3. Haga clic en el mecanismo de protección que desea modificar y, a continuación, en Configurar selección. 4. En la ventana Actualizar configuración, cambie la acción de actualización automática o la configuración de frecuencia de
sondeo automático según desee y, a continuación, haga clic en Aceptar. 5. En la barra Aplicar cambios, haga clic en Aplicar.
Administrar Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En esta guía se proporciona información acerca de cómo administrar Forefront TMG. En los temas siguientes se explica cómo administrar las operaciones diarias de Forefront TMG:
Supervisar Forefront TMG Administrar el filtrado de direcciones URL Realizar copias de seguridad y restaurar la configuración de Forefront TMG Forefront TMG Troubleshooting
238
Supervisar Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se proporciona información que puede ayudarle a supervisar Forefront TMG:
Supervisar la actividad del escritorio digital Configuración de alertas Configurar los registros de Forefront TMG Configurar los informes de Forefront TMG
Supervisar la actividad del escritorio digitalPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La supervisión de Forefront TMG permite realizar las siguientes acciones:
Supervisar la conexión con los servidores de red. Puede crear comprobadores de conectividad para comprobar la disponibilidad de servidores de red específicos. Para obtener instrucciones, vea Supervisión de conectividad de servidor.
Realizar el seguimiento de la actividad mediante la supervisión de las sesiones actuales de clientes de Forefront TMG, clientes proxy web y clientes SecureNAT. Para obtener instrucciones, vea Supervisar las sesiones de los clientes.
Comprobar el estado actual del sistema mediante la supervisión de las alertas que se han emitido, así como el estado de los servicios. Para obtener más información, vea Supervisar alertas.
Supervisar el estado del tráfico mediante contadores de rendimiento. Para obtener más información, vea Supervisar el rendimiento.
Comprobar el estado de la configuración de Forefront TMG en cada miembro de la matriz.
Supervisión de conectividad de servidorPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede comprobar la conectividad con servidores de red concretos mediante un comprobador de conectividad de Forefront TMG. Los comprobadores de conectividad de las granjas de servidores no se crean utilizando el Asistente para nuevo comprobador de conectividad. Al crear un granjas de servidores, deberá especificar el método de conexión que desee utilizar para comprobar el estado de conectividad de los servidores de la granja. Tras crear una granja de servidores, se creará automáticamente para esa granja un comprobador de conectividad que aparecerá en la ficha Comprobadores de conectividad. Puede editar el método de conexión en las propiedades de la granja de servidores o desde la ficha Comprobadores de conectividad. No puede crear ni eliminar un comprobador de conectividad de una granja de servidores directamente desde la ficha Comprobadores de conectividad.En este tema se proporciona información acerca de:
Crear un comprobador de conectividad Configurar comprobadores de conectividad Deshabilitar y eliminar un comprobador de conectividad Analizar respuestas HTTP GET
Crear un comprobador de conectividad
Los comprobadores de conectividad se crean con el Asistente para nuevo comprobador de conectividad.
Nota:
Si desea recurrir a la solicitud HTTP, deberá crear una regla que permita HTTP o HTTPS desde la red host local al destino especificado. En la última página del asistente, podrá seleccionar si desea que se habilite automáticamente la regla de directiva del sistema predeterminada: "Permitir solicitudes HTTP/HTTPS de Forefront TMG a servidores seleccionados para los comprobadores de conectividad".
Para crear un comprobador de conectividad1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. A continuación, haga clic en la
ficha Comprobadores de conectividad.2. Finalización del Asistente para nuevo comprobador de conectividad En la página Detalles de comprobación de
conectividad, especifique el servidor o la dirección URL con los que desee conectar y el método de conexión. Puede usar los siguientes métodos:
PING: Forefront TMG envía una solicitud PING (ECHO_REQUEST de ICMP) al servidor especificado y espera una respuesta ECHO_REPLY de ICMP. Utilice este método para comprobar si un servidor concreto está disponible.
Conexión TCP: Forefront TMG intenta establecer una conexión TCP con un puerto concreto del servidor especificado. Utilice este método para comprobar si un servicio específico está disponible en el servidor de destino.
Solicitud HTTP: Forefront TMG envía una solicitud HTTP GET y espera una respuesta. Utilice este método para comprobar si un servidor web está disponible.
Configurar comprobadores de conectividad
Además de las propiedades de comprobadores de conectividad que especifique en el Asistente para nuevo comprobador de conectividad, podrá configurar un tiempo de espera y alerta según se describe en el siguiente procedimiento.Para configurar comprobadores de conectividad
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. A continuación, haga clic en la ficha Comprobadores de conectividad.
239
2. En la ficha Comprobadores de conectividad, haga clic en el comprobador de conectividad que desee modificar y seleccione Editar comprobador seleccionado en la ficha Tareas.
3. En la ficha General, modifique el nombre del comprobador de conectividad si ello es necesario.4. En la ficha Propiedades, haga lo siguiente:
En Supervisar la conexión a este servidor, modifique el nombre del servidor de destino. En Seleccionar el método usado para comprobar la conexión, modifique el método de conexión. En Tiempo de espera, especifique cuánto tiempo debe esperar Forefront TMG antes de notificar que el servidor no
está disponible. Para especificar que una alerta se desencadene al superar el tiempo de espera, haga clic en Desencadenar una
alerta si la respuesta del servidor no se recibe dentro del tiempo de espera especificado.Deshabilitar y eliminar un comprobador de conectividad
Para deshabilitar y eliminar un comprobador de conectividad1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. A continuación, haga clic en la
ficha Comprobadores de conectividad.2. En la ficha Comprobadores de conectividad, seleccione Deshabilitar comprobadores seleccionados para deshabilitar el
comprobador. 3. Seleccione Eliminar comprobadores seleccionados para eliminar permanentemente un comprobador.
Analizar respuestas HTTP GET
Al configurar un método de comprobador de conectividad para enviar una solicitud HTTP GET, se espera que el servidor supervisado devuelva una respuesta HTTP. En función de la respuesta, Forefront TMG marca el estado del comprobador de conectividad, de la forma detallada en la siguiente tabla.
Respuesta HTTP desde el servidor supervisado Estado del comprobador de conectividad
1xx, 2xx o 3xx Correcto. Se trata del tiempo de respuesta en milisegundos.
401 (Autenticación de servidor web requerida)
Correcto. No se considera un error, ya que el servidor web devolvió el mensaje.
407 (Autenticación de proxy requerida)
Error (Microsoft Windows Server 2003). Se considera un error porque no se puede determinar la conectividad con el servidor web real.
407 (Autenticación de proxy requerida)
Autenticación requerida (Windows 2000 Server).
4xx (excepto 401 y 407) o 5xx Error.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera.
No se pudo resolver el nombre del servidor
Nombre sin resolver.
Forefront TMG está inactivo No se puede comprobar. El servicio Firewall de Microsoft no está disponible.
Supervisar alertasPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede supervisar las alertas desencadenadas en la ficha Alertas. En este tema se explica cómo analizar las alertas que aparecen en la ficha. Para obtener información acerca de la configuración de las alertas, vea Configurar definiciones de alertas.
Nota:
Cuando se reinicia el servicio Control del Forefront TMG de Microsoft o el equipo Forefront TMG, se restablecen todas las alertas automáticamente.
Ver alertas
Para ver las alertas1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. A continuación, haga clic en la
ficha Alertas.2. En el panel de detalles, haga clic para ampliar un grupo de alertas y, a continuación, seleccione la alerta desencadenada. Se
muestra la información siguiente para cada alerta: Nombre de alerta: el nombre de la definición de alerta. Más reciente: la fecha y la hora en que se emitió la alerta. Estado: el estado de la alerta muestra si se ha confirmado o no. Los eventos no confirmados tienen el estado "Nuevo". Categoría: especifica si la alerta la emitió el servicio de firewall.
Nota:
La información de las alertas también se puede ver en el Visor de eventos de Windows.
240
Servidor: especifica el servidor de Forefront TMG que emitió la alerta.Administrar alertas
Para administrar las alertas1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. A continuación, haga clic en la
ficha Alertas.2. Puede administrar las alertas de la manera siguiente:
De forma predeterminada, el panel de alertas se actualiza automáticamente en intervalos regulares. Para cambiar la configuración, en la ficha Tareas, seleccione un valor en Frecuencia de actualización automática.
Para forzar la actualización manual de las alertas que aparecen en la página, haga clic en Actualizar ahora en la ficha Tareas.
Para restablecer una alerta, selecciónela en el panel de detalles y, a continuación, haga clic en Restablecer las alertas seleccionadas. Esta opción quita la alerta de la ficha Alertas.
Para confirmar una alerta, selecciónela en el panel de detalles y, a continuación, en la ficha Tareas, haga clic en Confirmar alertas seleccionadas. Esto indica que está administrando una alerta o un grupo de alertas específico. El estado de estas alertas pasa a ser "Reconocido" y las alertas dejan de mostrarse en la ficha Escritorio digital.
Para editar o agregar una nueva alerta, en la ficha Tareas, haga clic en Configurar definiciones de alerta. Para obtener instrucciones acerca de cómo definir o modificar alertas, vea Configurar definiciones de alertas.
Supervisar las sesiones de los clientesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La ficha Sesiones le permite supervisar las conexiones activas de un nombre de usuario o equipo concreto. En este tema se proporciona información acerca de la supervisión y el filtrado de la vista de sesiones, como se describe en los siguientes procedimientos:
Administrar una sesión Administrar la supervisión de sesiones Configurar filtros de sesión
Administrar una sesión
Para administrar una sesión1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. A continuación, haga clic en la
ficha Sesiones.2. En el panel de detalles, seleccione una sesión (cada sesión es la combinación exclusiva de un nombre de usuario y la dirección
IP de un cliente). Para cada sesión se muestran los siguientes datos: Activación: fecha y hora en que se inició la sesión. Nombre de servidor: el nombre del servidor Forefront TMG. Tipo de sesión: puede supervisar conexiones de los siguientes clientes Forefront TMG: clientes Forefront TMG, clientes
SecureNAT, clientes de red privada virtual (VPN), clientes de VPN de sitio a sitio y clientes de proxy web. IP de cliente: la dirección IP de origen del cliente. Red de origen: la red donde se originó la sesión. Nombre de usuario del cliente: el cliente autenticado por el Forefront TMG cuando es necesaria la autenticación. Nombre de host de cliente: para clientes Forefront TMG. Nombre de aplicación: para clientes Forefront TMG. Este campo no se muestra de forma predeterminada.
3. Para desconectar una sesión, seleccione la entrada de sesión y haga clic en Desconectar una sesión de la ficha Tareas. El desconectar una sesión no impide que los clientes creen nuevas sesiones. Para ello, deberá crear reglas de acceso que denieguen específicamente el acceso a clientes concretos.
4. Tenga en cuenta las consideraciones siguientes: En la ficha Escritorio digital se muestra un resumen de las sesiones para cada tipo de cliente. Las sesiones de clientes proxy web tienen una sesión de cliente SecureNAT correspondiente. Para todas las sesiones de
cliente proxy web, hay una sesión SecureNAT. Las sesiones de clientes Forefront TMG tienen una sesión de cliente SecureNAT correspondiente. Para cada equipo con
cliente Forefront TMG instalado, hay una sesión SecureNAT además de una sesión cliente Forefront TMG. Si en un equipo con cliente Forefront TMG se ejecuta una aplicación como cliente proxy web, sólo se mostrará una sesión de cliente SecureNAT.
Una conexión entre dos equipos a través de Forefront TMG sólo puede pertenecer a una sola sesión. Cuando un servidor se publica usando publicación de servidores, se muestra una sesión entre el servidor publicado y el equipo Forefront TMG. Las conexiones de clientes con el servidor publicado se asocian con esta sesión y no aparecen como sesiones aparte.
Si no se requiere autenticación, todo el tráfico procedente de la misma dirección IP se considera como una sola sesión. Por ejemplo, un explorador web que abre más de una conexión TCP con la misma dirección IP se considera como una sola sesión.
Las sesiones de clientes proxy web indican la actividad más reciente del explorador web, aunque el cliente no esté realizando ninguna exploración en este momento.
Administrar la supervisión de sesiones
Para administrar la supervisión de sesiones1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. A continuación, haga clic en la
ficha Sesiones.2. Administre la supervisión de sesiones de la siguiente manera:
Para detener la supervisión de todas las sesiones, haga clic en Detener sesiones de supervisión en la ficha Tareas. Cuando se detienem sesiones de supervisión, el Forefront TMG pierde toda la información relativa a las sesiones que se hayan supervisado.
241
Para reiniciar la supervisión de todas las sesiones, haga clic en Detener sesiones de supervisión en la ficha Tareas. Al reiniciar la supervisión, Forefront TMG empieza a recopilar información sobre las sesiones activas.
Para pausar la supervisión de todas las sesiones, haga clic en Pausar sesiones de supervisión en la ficha Tareas. Las sesiones mostradas no se quitan, pero tampoco se agregan las nuevas.
Para reanudar la supervisión de todas las sesiones, haga clic en Reanudar sesiones de supervisión en la ficha Tareas.
Configurar filtros de sesión
Puede filtrar la información de las sesiones y luego guardar la consulta resultante para utilizarla en el futuro. Por ejemplo, si un cliente informa de que tiene problemas al conectarse, es posible crear un filtro que muestre solamente la información de las sesiones de ese cliente. Cree un filtro de la siguiente manera:Para configurar filtros de sesión
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. A continuación, haga clic en la ficha Sesiones.
2. En la ficha Tareas, haga clic en Modificar filtro.3. En el cuadro de diálogo Modificar filtro, especifique un criterio, una condición y un valor para el filtro. Por ejemplo, puede
filtrar por IP de cliente con la condición Igual y luego especificar la dirección IP del cliente como valor. De esta manera podrá filtrar las sesiones según un equipo cliente concreto.
4. Para guardar el filtro de sesión, haga clic en Guardar filtro.5. Para cargar un filtro existente, haga clic en Cargar filtro.6. Haga clic en Iniciar consulta para iniciar las sesiones de supervisión de sesiones que coincidan con el filtro especificado. Las
expresiones de filtro se combinan utilizando el operador lógico AND. Sólo se mostrarán los datos correspondientes a las sesiones que coincidan con todas las expresiones.
Servicios de supervisiónPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede supervisar los servicios de Forefront TMG en la ficha Servicios. En esta ficha se muestra el estado del servicio, si se está ejecutando y el tiempo de actividad. Vea Services para obtener una lista de los servicios de Forefront TMG.Administrar servicios
Para administrar un servicio1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión y, a continuación, en la ficha
Servicios.2. Para actualizar la vista de servicios, en la ficha Tareas, haga clic en Actualizar ahora.3. Para detener un servicio específico, seleccione el servicio en el panel de detalles y haga clic en Detener el servicio
seleccionado en la ficha Tareas.4. Para reiniciar un servicio específico, seleccione el servicio en el panel de detalles y haga clic en Iniciar el servicio
seleccionado en la ficha Tareas.
Nota:
En la ficha Servicios no se muestran todos los servicios de Forefront TMG. Los demás servicios se pueden ver y administrar en Administración de equipos de Windows.
Supervisar el rendimientoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Tiene a su disposición varias herramientas de supervisión que le ayudarán a preservar y administrar el estado de Forefront TMG. En los temas siguientes se proporciona información acerca de las características de supervisión que le ayudan a administrar y realizar un seguimiento de los problemas de rendimiento.
Supervisar contadores de rendimiento Supervisar la compresión HTTP
Supervisar contadores de rendimientoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La ficha Escritorio digital ofrece una vista rápida de los contadores de rendimiento de Forefront TMG. Durante la instalación de Forefront TMG, se instala el Monitor de rendimiento, que ofrece una vista personalizada del Monitor de rendimiento de Windows donde sólo figuran los contadores de Forefront TMG.Este tema contiene sugerencias sobre los contadores de rendimiento que conviene controlar a efectos de supervisión de carga y seguridad.Usar el monitor de rendimiento
Para usar el monitor de rendimiento1. Haga clic en Inicio , Microsoft Forefront TMG y, a continuación, en el Monitor de rendimiento de Forefront TMG.2. En el Monitor de confiabilidad y rendimiento, aparecerá una serie de contadores predeterminados. En la siguiente tabla se
detallan estos contadores y su uso general.
CategoríaNombre del contador de rendimiento Uso
242
Motor de paquete firewall de Forefront TMG
Conexiones activas Número total de conexiones activas que transmiten datos en este momento. Utilice este contador para supervisar el rendimiento general.
Motor de paquete firewall de Forefront TMG
Bytes/s Transferencia total en bytes por segundo que pasan por el firewall. Cada byte se cuenta dos veces: una cuando entra en el firewall y otra cuando sale de él. Utilice este contador para supervisar el rendimiento general.
Servicio de firewall de Forefront TMG
Sesiones activas Número de sesiones activas del servicio de firewall. Utilice este contador para supervisar el rendimiento general. Si se compara este contador en horas punta y fuera de estas horas, se obtendrá una buena indicación del uso rutinario.
Proxy web de Forefront TMG
Solicitudes/s La frecuencia de solicitudes por segundo. Utilice este contador para supervisar el rendimiento general. Al dividir el contador Bytes enviados a cliente/s por este contador, se obtiene una medida de la respuesta media que no debería ser superior a 20 KB, aproximadamente.
Motor de paquete firewall de Forefront TMG
Paquetes perdidos/s El número de paquetes denegados por segundo. Utilícelo para supervisar amenazas de seguridad en general. Si los números son altos (más de 100), compruebe si hay ataques o errores de configuración de red.
Motor de paquete firewall de Forefront TMG
Paquetes/s El número de paquetes permitidos y denegados por segundo. Utilícelo para supervisar las amenazas de seguridad y el rendimiento general. Tiene un impacto directo en la utilización de la CPU.
Motor de paquete firewall de Forefront TMG
Conexiones/s El número de conexiones TCP y UDP creadas por segundo. Utilícelo para supervisar las amenazas de seguridad y el rendimiento general. Tiene un impacto directo en la utilización de la CPU.
Proxy web de Forefront TMG
Promedio en milisegundos/solicitud
El tiempo medio de respuesta. Utilícelo para supervisar las amenazas de seguridad y el rendimiento general. Use recuperaciones directas y recuperaciones de caché para efectuar el diagnóstico.
Supervisar la compresión HTTPPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)La compresión HTTP reduce el tamaño del archivo mediante el uso de algoritmos para eliminar los datos redundantes. Si la compresión está habilitada, puede obtener información acerca de su uso en los registros de Forefront TMG. Para ello, debe especificar que se muestre la información de compresión cuando se ejecute una consulta de registro, tal como se describe en el siguiente procedimiento.Agregar información de compresión HTTP al visor de registros
Para agregar información de compresión HTTP al visor de registros1. En el árbol de consola de administración de Forefront TMG, seleccione Registros e informes.2. En el panel de detalles, seleccione la ficha Registro.3. Haga clic en Iniciar consulta.4. En el registro que aparece, haga clic con el botón secundario en cualquier encabezado de columna y, a continuación, haga clic
en Agregar o quitar columnas. Utilice los botones Subir y Bajar para especificar la ubicación de la información en los encabezados de registro.
5. En el cuadro de diálogo Agregar o quitar columnas, seleccione la columna Información de filtro, haga clic en Agregar y, a continuación, en Aceptar. Es posible que se muestre la información siguiente en la columna Información de filtro:
Cliente: indica si la compresión está habilitada entre Forefront TMG y el cliente, y también si el cliente ha solicitado la compresión. Si ambas condiciones son verdaderas, se mostrará el valor S (sí). Si alguna de las condiciones es falsa, se mostrará el valor N (no).
Servidor: indica si Forefront TMG ha solicitado compresión al servidor web. Caché: indica si el contenido se envió al cliente desde la memoria caché. A veces, este valor puede ser, por error, S
(sí). Tasa de compresión: el nivel de la compresión aplicada a una respuesta específica. Esto se calcula de la manera
siguiente:(tamaño de la respuesta original - tamaño de la respuesta comprimida) x 100/tamaño de la respuesta original
Nota:
Una forma sencilla de comprobar si la compresión funciona consiste en comprobar si la razón de compresión o descompresión es mayor que 0.
Tasa de descompresión: el nivel de la descompresión aplicada a una respuesta específica. Esto se calcula de la manera siguiente: resultado comprimido x 100/resultado descomprimido
Configuración de alertasPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los eventos de Forefront TMG los generan los servicios de Forefront TMG cuando se dan determinadas condiciones en tiempo de ejecución. El servicio de alertas de Forefront TMG actúa como distribuidor y filtro de eventos. Este servicio desencadena una alerta para
243
informarle cuando se producen los eventos especificados. Algunos eventos tienen condiciones adicionales. En este caso, la alerta no se desencadenará hasta que se produzcan el evento y la condición adicional.Forefront TMG ofrece varias alertas predefinidas para cada tipo de evento definido por Forefront TMG. En los temas siguientes se proporciona información que puede ayudarle a configurar las alertas:
Configurar definiciones de alertas Configurar acciones de alerta
Configurar definiciones de alertasPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Después de la instalación, se configura una serie de alertas predefinidas. Cada alerta tiene un evento de Forefront TMG relacionado. La alerta se desencadena cuando se produce el evento. Es posible habilitar o deshabilitar alertas, modificar el desencadenador de eventos para la alerta y modificar la acción que se realizará cuando se desencadena la alerta.También se pueden definir alertas personalizadas adicionales. Existen alertas preconfiguradas para todos los eventos, pero puede crear una definición de alerta personalizada con una condición nueva. Por ejemplo, la alerta predefinida Error de registro se desencadena con la condición Cualquier servicio de Forefront TMG. La acción de la alerta consiste en informar del problema al registro de eventos de Windows y detener los servicios seleccionados. Además de esta alerta, es posible que desee crear otra alerta personalizada para el evento Error de registro que envíe un mensaje de correo electrónico si se produce un error en el registro del servicio de firewall. En los siguientes procedimientos se describe cómo modificar las definiciones de alerta y cómo crear definiciones de alerta personalizadas.Modificar definiciones de alerta
Utilice el procedimiento siguiente para modificar las definiciones de alerta predefinidas y personalizadas.Para modificar las definiciones de alerta
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión. 2. En el panel de detalles, haga clic en la ficha Alertas.3. En el panel Tareas, haga clic en Configurar definiciones de alerta.4. En la ficha Definiciones de alerta, seleccione la alerta que desee modificar y, a continuación, haga clic en Editar.5. En la ficha General, modifique el nombre, la categoría y la gravedad de la alerta.6. En la ficha Eventos, especifique las veces que debe producirse un evento para que se emita la alerta y cómo debe emitirse la
alerta cuando se ha alcanzado dicho número de veces. Puede especificar el número total de veces que debe producirse el evento para que se emita la alerta o el número de veces que se produce el evento por segundo. Si especifica ambos valores, deben alcanzarse ambos límites antes de que se emita la alerta.
7. En la ficha Acciones, especifique la acción que se genera cuando se emite la alerta. De forma predeterminada, las alertas se notifican siempre en el registro de eventos de Windows.
8. Si desea eliminar una definición de alerta de la lista, seleccione la alerta en la lista Definiciones de alerta y, a continuación, haga clic en Quitar.
Crear definiciones de alertas personalizadas
Use el siguiente procedimiento para crear definiciones de alerta personalizadas con el Asistente para la configuración de nuevas alertas.Para modificar las definiciones de alerta
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión.2. En el panel de detalles, haga clic en la ficha Alertas.3. En el panel Tareas, haga clic en Configurar definiciones de alerta.4. En la lista Definiciones de alerta, haga clic en Agregar.5. Finalice el Asistente para la configuración de nuevas alertas. Tenga en cuenta las consideraciones siguientes:
a. En la página Eventos y condiciones, seleccione el evento que desencadena la alerta y las condiciones adicionales.b. En la página Servidor, deje el valor predeterminado Cualquier servidor. c. En la página Categoría y gravedad, clasifique la alerta.d. En la ficha Acciones, especifique las acciones que se van a realizar cuando se desencadena la alerta.
Configurar acciones de alertaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Para cada definición de alerta, podrá especificar las acciones que deben ocurrir al desencadenarse dicha alerta.En este tema se proporcionan instrucciones acerca de cómo ver y modificar las acciones de alerta, así como información acerca de cómo configurar acciones para la alerta Error de acción de alertas.Ver y configurar acciones de definición de alertas
Para ver y modificar las acciones de alerta1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Supervisión.2. En el panel de detalles, haga clic en la ficha Alertas.3. En el panel Tareas, haga clic en Configurar definiciones de alerta.4. En la ficha Definiciones de alerta, seleccione la alerta que desee modificar y, a continuación, haga clic en Editar.5. En la ficha Acciones, configure la acción de alerta. Puede definir alertas que realicen una o más de las siguientes acciones al
desencadenarse: Enviar un mensaje de correo electrónico. Vea Configuring an alert to send an e-mail message. Ejecutar un programa. Vea Configuring an alert to run a program. Registrar el evento en el registro de eventos de Windows. De forma predeterminada, esta opción está activada para
todas las alertas. Detener o iniciar el servicio Firewall de Microsoft o el servicio de descarga de contenido programado.
Configurar una alerta para enviar un mensaje de correo electrónicoPara configurar una alerta para que envíe un mensaje de correo electrónico al desencadenarse, puede especificar los siguientes valores:Para configurar una alerta para enviar un mensaje de correo electrónico
1. En la ficha Acciones, haga clic en Enviar correo electrónico.
244
2. Escriba el nombre del servidor SMTP de su organización. Tenga en cuenta las consideraciones siguientes: Si especifica un servidor SMTP ubicado en la red interna, deberá habilitar la regla de directiva de sistema para que
permita este tráfico. Para ello, en el grupo de configuración Supervisión remota del Editor de directivas del sistema, seleccione SMTP y haga clic en Habilitar. De esta manera se habilita la regla de directiva del sistema "Permitir SMTP de Forefront TMG a servidores de confianza".
Si especifica un servidor SMTP ubicado en la red externa, deberá crear una regla de acceso que permita a la red de host local tener acceso a la red externa (o a la red en la que esté ubicado el servidor SMTP), utilizando SMTP.
3. En el cuadro De, escriba la dirección de correo electrónico del remitente.4. En el cuadro Para, escriba las direcciones de correo electrónico de los destinatarios. 5. Haga clic en Aceptar para guardar la nueva acción para esta alerta y, a continuación, haga clic en Aplicar en la barra Aplicar
cambios.Configurar una alerta para ejecutar un programaSi configura una alerta para que, al desencadenarse, se ejecute un programa, puede especificar los siguientes valores:Para configurar una alerta para ejecutar un programa
1. En la ficha Acciones, haga clic en Ejecutar un programa.2. Para Archivo de programa, escriba la ubicación del programa.
Nota:
La ruta de acceso del programa especificada debe existir en todos los servidores de Forefront TMG en la matriz. Por consiguiente, se recomienda usar una variable de entorno (como %SystemDrive%) dentro del nombre de ruta para permitir el ajuste por servidor de la ruta de acceso.
3. Para Parámetros, escriba los parámetros adecuados para ejecutar este programa.
Nota:
No especifique un programa interactivo que requiera entrada de datos por parte del usuario.
4. Haga clic en Establecer cuenta si se requiere una cuenta de usuario distinta de la cuenta de sistema local y escriba las credenciales de usuario adecuadas.
Nota:
Utilice la directiva de seguridad local para configurar los privilegios del usuario.
Nota:
Asegúrese de que el usuario especificado tenga los privilegios de Inicio de sesión como trabajo en lote.
5. Haga clic en Aceptar para guardar la nueva acción para esta alerta y, a continuación, haga clic en Aplicar en la barra Aplicar cambios.
Configurar acciones para la alerta Error de acción de alertas
Aunque puede configurarse la alerta Error de acción de alertas, se recomienda no modificar sus propiedades. Si la acción de esta alerta genera un error, éste no se registrará en ningún lugar, lo que dificultará la solución del problema.Si detecta esta alerta, compruebe si el registro de eventos contiene errores de acciones. Compruebe el mensaje del evento asociado al error y los eventos anteriores emitidos antes del evento de error de la acción. Puede que proporcionen información adicional acerca de la acción que provocó el error.
Configurar los registros de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Forefront TMG ofrece varios formatos de registro, como el registro en un archivo de texto, una base de datos local de SQL Server Express o un equipo SQL Server remoto. Puesto que Forefront TMG se implementa para proteger su red, es fundamental que la información de registro siempre esté disponible y sea correcta. Debe supervisar con cuidado las alertas y comprobar que su actividad se registra siempre. Forefront TMG proporciona una característica de cola de registro para ayudar a asegurar la disponibilidad del registro durante el pico de registro.Compruebe si existen alertas que indiquen error al registrar por algún motivo como, por ejemplo, espacio en disco, problemas de conectividad del servidor SQL Server, etc.En la tabla siguiente se resumen los valores de registro predeterminados tras la instalación:
Configuración Detalles Valores predeterminados
Registro de Firewall
Registra el tráfico que administra el servicio de firewall De forma predeterminada habilitado para registrar en la base de datos de SQL Express en el equipo local.
Registro de proxy web
Registra el tráfico administrado por el filtro de proxy web De forma predeterminada habilitado para registrar en la base de datos de SQL Express en el equipo local.
Carpeta de registro
Ubicación de los archivos de registro De forma predeterminada, se encuentra en la carpeta ISALogs del directorio de instalación de Forefront TMG
245
Límites de registro
Administración del tamaño del archivo de registro Configuración predeterminada:Tamaño máximo=8 GBEspacio libre en disco=512 MBMétodo de mantenimiento: eliminar archivos a medida que sea necesarioEliminar los archivos de más de 7 días de antigüedad
Cola de registro La cola de registro se usa para almacenar temporalmente entradas de registro cuando no se les puede dar formato. Esto puede ocurrir cuando las entradas de registro se generan con más rapidez que el proceso de darles formato, o bien no existe conectividad a una base de datos remota de SQL Server.
De forma predeterminada, la cola de registro se almacena en la carpeta ISALogs de la carpeta de instalación del Forefront TMG.
Alertas El servicio de alertas le notifica cuando se producen los eventos especificados.
Todas las alertas relacionadas con el registro están habilitadas de forma predeterminada.
En los temas siguientes se proporciona información que puede ayudarle a configurar y mantener los registros y ejecutar consultas del registro:
Habilitar el registro Configurar el registro en un servidor SQL remoto Configurar SQL Server para el registro Configurar el registro en SQL Server Express Configurar el registro en un archivo de texto Configurar la ubicación del registro Configurar la cola del registro Seleccionar los campos de registro Registrar solicitudes que coincidan con una regla Configurar el registro para evitar el bloqueo Consultar los registros de Forefront TMG
Habilitar el registroPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)De forma predeterminada, el Forefront TMG registra la información de todo el tráfico administrado por el servicio Firewall de Microsoft y el filtro proxy web. Cada componente tiene un registro diferente, cuyos valores y campos se pueden personalizar. De forma predeterminada, el registro se habilita tanto para el servicio de firewall como para el filtro proxy web.Para habilitar y deshabilitar el registro
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, seleccione la tarea apropiada:
Seleccione Configurar el registro del firewall para configurar la ubicación del registro de Firewall. Seleccione Configurar el registro del proxy web para configurar la ubicación del registro de proxy web.
4. En la ficha Registro, active la casilla de verificación Habilitar registro para el servicio.5. Para deshabilitar el registro, desactive la casilla Habilitar registro para el servicio.
Configurar el registro en un servidor SQL remotoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En el siguiente procedimiento se describe cómo guardar la información del registro en una base de datos de SQL Server remota.Para configurar el registro en un servidor SQL remoto
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, seleccione la tarea apropiada:
Seleccione Configurar el registro de firewall para especificar que el registro del firewall se debería escribir en una base de datos de SQL Server Express remota.
Seleccione Configurar el registro del proxy web para especificar que el registro del proxy web se debería escribir en una base de datos de SQL Server remota.
4. En la ficha Registro, haga clic en Base de datos SQL.A continuación, haga clic en Opciones.5. En Parámetros de conexión de base de datos, especifique los datos de la base de datos de SQL Server:
En Servidor, escriba el nombre del equipo que ejecuta SQL Server en el que se registrará la información. En Puerto, escriba el número de puerto que se va a utilizar. El puerto predeterminado del equipo que ejecuta SQL
Server es 1433. En Base de datos, escriba el nombre de la base de datos en el equipo que ejecuta SQL Server. En Nombre, escriba un nombre de tabla. Forefront TMG proporciona dos scripts de SQL que se usan para crear las
tablas y grabar los datos de registro. Para obtener más información, vea Configurar SQL Server para el registro. Haga clic en Forzar cifrado de datos para especificar que debe usarse una conexión segura entre Forefront TMG y el
equipo SQL Server. Esta opción está habilitada de manera predeterminada para garantizar la seguridad de la
246
información del archivo de registro. Para usar esta opción, deberá contar con un certificado de servidor configurado en el equipo SQL Server y un certificado raíz correspondiente a la CA que emitió el certificado del servidor Forefront TMG. Para obtener más información, vea Cifrar conexiones en SQL Server en Microsoft TechNet.
6. En Detalles de autenticación, seleccione una opción para la autenticación de la base de datos: Seleccione Usar autenticación de Windows para autenticar en el SQL Server utilizando la cuenta de equipo. Seleccione Usar autenticación de servidor de SQL para autenticar con SQL Server utilizando una cuenta de SQL
Server. En Usuario y Contraseña, escriba la credenciales que se van a utilizar. Asegúrese de que esa cuenta tiene los permisos necesarios para autenticar en el equipo SQL Server.
7. Haga clic en Probar para verificar la conectividad con el equipo SQL Server.
Configurar SQL Server para el registroPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo usar una base de datos de SQL Server remota para el registro en Forefront TMG. La preparación de un servidor SQL para registro implica los siguientes procedimientos:
Crear una base de datos y tablas para registro de proxy web o de firewall. Si Forefront TMG no está ubicado en el mismo dominio, deberá configurar una cuenta de SQL Server. Vea Crear una base de datos del registro y tablas.
Configurar una conexión de datos a la base de datos. Vea Configurar SQL Server para aceptar la conexión de datos. Configurar una conexión cifrada a la base de datos. Vea Configurar una conexión cifrada. Configurar reglas de directiva de sistema de Forefront TMG para permitir una conexión al servidor SQL remoto. Vea
Configuración de reglas de directiva de sistema para registro en SQL Server.
Crear una base de datos del registro y tablasLos scripts de ejemplo se proporcionan para crear bases de datos para el registro de servicio de Firewall de Microsoft y el registro de tráfico del proxy web. Los scripts se encuentran en el directorio de la carpeta de instalación de Forefront TMG.Para configurar SQL Server con la base de datos:
1. Cree la base de datos, en el equipo que ejecuta SQL Server.2. Escriba lo siguiente en la ventana del símbolo del sistema:
sqlcmd –E –S InstanceName –i “Path\ScriptFile" –d <dbName>
Donde: /E indica una conexión de confianza. /S indica el servidor. InstanceName es la instancia de la base de datos. /i indica el archivo de entrada. La Ruta de acceso es la ruta de acceso a la instalación de Forefront TMG. ScriptFile es el nombre del archivo de script de la base de datos, Fwsrv.sql para el registro del servicio de Firewall de
Microsoft, o W3proxy.sql para el registro del tráfico del proxy web. /d indica el archivo de la base de datos. dbName es la base de datos de registro en la que se crean las tablas.
Configurar SQL Server para aceptar la conexión de datosPara configurar SQL Server de manera que acepte la conexión de datos del equipo de Forefront TMG:
1. Inicie Microsoft SQL Server Management Studio y conéctese a a su instancia de SQL.2. Haga clic en Seguridad.3. Para crear un inicio de sesión, haga clic con el botón secundario en Inicios de sesión, haga clic en Nuevo inicio de sesión y,
a continuación, configure la autenticación. Si el equipo con SQL Server está ubicado en el mismo dominio que Forefront TMG, podrá iniciar sesión en ese equipo usando autenticación de Windows o de SQL Server. Si SQL Server se encuentra en otro dominio, deberá usar la autenticación de SQL Server. Configure los valores de la forma siguiente:
Para utilizar Autenticación de Windows con credenciales de usuario (ésta es la manera recomendada de usar Autenticación de Windows), cree un inicio de sesión basado en un usuario existente o use un inicio de sesión existente. En Nombre, escriba un nombre que identifique el método de inicio de sesión. En la ficha Acceso a base de datos, seleccione las bases de datos a las que puede tener acceso este método de inicio de sesión (las bases de datos que creó en el procedimiento anterior).
Para usar Autenticación de Windows sin credenciales de usuario (es decir, con la cuenta del equipo), en Nombre, escriba nombreDominio\TMGname $, donde "TMGname" es el nombre NetBIOS del servidor de Forefront TMG. En la ficha Acceso a base de datos, seleccione las bases de datos a las que puede tener acceso este método de inicio de sesión (las bases de datos que creó en el procedimiento anterior).
Para usar Autenticación de SQL Server, en Nombre, escriba el nombre que identifique el método de inicio de sesión y escriba una contraseña para dicho método. En la ficha Acceso a base de datos, seleccione las bases de datos a las que puede tener acceso este método de inicio de sesión (las bases de datos que creó en el procedimiento anterior).
4. Para usar un inicio de sesión existente, haga clic con el botón secundario en el inicio de sesión que desea usar y seleccione Propiedades. En la página Acceso a base de datos del cuadro de diálogo Propiedades de inicio de sesión, seleccione la fila que contiene la base de datos.
5. En Funciones de bases de datos para <databasename>, active las casillas de verificación db_datareader (SELECT) y db_datawriter (INSERT). Además, deberá conceder los permisos db_executor (EXECUTE) para el procedimiento sp_batch_insert de los servicios de Forefront TMG que inicien sesión en esta base de datos.
247
Configurar una conexión cifradaDe manera predeterminada, Forefront TMG usa HTTPS como conexión con el equipo SQL Server a fin de garantizar la seguridad de los datos confidenciales en los archivos de registro. Si desea usar una conexión cifrada, deberá configurar un certificado en el equipo SQL Server e instalar un certificado de una entidad de certificación (CA) raíz en el equipo Forefront TMG. Para obtener más información, vea Cifrar conexiones en SQL Server en Microsoft TechNet.
Configuración de reglas de directiva de sistema para registro en SQL ServerPara registrarse en una base de datos de SQL, debe habilitarse el grupo de configuración de directiva del sistema Registro remoto. Para habilitar el grupo de configuración de directiva del sistema Registro remoto:
1. En la consola de administración de Forefront TMG, haga clic con el botón secundario en Directiva de firewall y, a continuación, en Editar directiva del sistema.
2. En el Editor de directivas del sistema, en la lista Grupos de configuración, haga clic en Registro remoto (SQL).3. En la ficha General, haga clic en Habilitar este grupo de configuración.4. Esta regla supone que el servidor SQL Server está ubicado en la red interna. Para cambiar el destino de la regla, haga clic en la
ficha A y edite el destino según necesite. Se recomienda que, al modificar el destino, incluya sólo el equipo de SQL Server.
Configurar el registro en SQL Server ExpressPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En el siguiente procedimiento se describe cómo guardar la información del registro en una base de datos de SQL Server Express.Para configurar el registro en SQL Server Express
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, seleccione la tarea apropiada:
Seleccione Configurar el registro de firewall para especificar que el registro del firewall se debería escribir en una base de datos de SQL Server Express local.
Seleccione Configurar el registro del proxy web para especificar que el registro del proxy web se debería escribir en una base de datos de SQL Server Express local.
4. En la ficha Registro, haga clic en Base de datos de SQL Server Express 2005 (en servidor local) y, a continuación, haga clic en Opciones.
5. Seleccione ISALogs para almacenar registros en la ubicación predeterminada. Para almacenar archivos en otra ubicación, haga clic en Esta carpeta y especifique la ruta de acceso.
6. Configure el tamaño del registro como se indica a continuación: Seleccione Límite de tamaño total de archivos de registro y especifique un tamaño máximo. Cada archivo de
registro está limitado a 1,5 GB. Cuando un archivo de registro alcanza los 1,5 GB, se crea un archivo nuevo automáticamente.
Seleccione Mantener espacio en disco disponible y especifique el espacio disponible.7. Configure cómo se administran los registros del modo siguiente:
Seleccione Borrando archivos de registro menos recientes cuando se necesite para especificar que los archivos de registro más antiguos se eliminan automáticamente con los límites de tamaño especificados.
Seleccione Descartando nuevas entradas de registro para dejar de registrar entradas nuevas (manteniendo toda la información de registro antigua) de acuerdo con los límites de tamaño especificados. Las nuevas entradas no se registran hasta que no se cambian los límites o se eliminan los archivos antiguos. Se emite una alerta para notificarle este evento.
Seleccione Eliminar archivos con antigüedad mayor a para eliminar archivos de registro más antiguos que los días especificados. Para eliminar los archivos más antiguos del almacenamiento, reduzca este número.
8. Seleccione Comprimir archivos de registro para reducir el tamaño del archivo de registro. La compresión sólo se aplica a archivos de registro almacenados en volúmenes NTFS.
Nota:
Si necesita copiar o mover bases de datos de SQL Server Express de una ubicación a otra, primero debe desasociar la base de datos del servidor actual. Nunca desasocie una base de datos que se esté utilizando en ese momento.
Configurar el registro en un archivo de textoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En el procedimiento siguiente se describe cómo guardar información del registro en un archivo de texto.Para configurar el registro en un archivo de texto
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, seleccione la tarea apropiada:
Seleccione Configurar el registro del firewall para especificar que el registro del firewall se debería escribir en un archivo de texto.
Seleccione Configurar el registro del proxy web para especificar que el registro del proxy web se debería escribir en un archivo de texto.
4. En la ficha Registro, haga clic en Archivo. 5. En Formato, seleccione el formato del archivo. De manera predeterminada, se usa el formato de archivo de registro W3C.
También puede seleccionarse el formato de archivo de Forefront TMG. Los registros W3C contienen datos y directivas que
248
describen la versión, la fecha y el campo registrado. Los campos no seleccionados no aparecerán en el registro. El carácter de tabulación se utiliza como delimitador. La fecha y la hora se expresan en la hora universal coordinada (UTC). El formato de archivo de Forefront TMG sólo contiene datos sin directivas. Se registran siempre todos los campos. Los campos no seleccionados se registran con un guión (-) para indicar que están vacíos. El carácter de coma se utiliza como delimitador. Los campos de fecha y hora están en el formato de hora local configurado en el servidor.
6. Haga clic en Opciones para configurar los valores de almacenamiento.7. Seleccione ISALogs para almacenar registros en la ubicación predeterminada. Para almacenar archivos en otra ubicación, haga
clic en Esta carpeta y especifique la ruta de acceso. 8. Configure el tamaño del registro como se indica a continuación:
Seleccione Límite de tamaño total de archivos de registro y especifique un tamaño máximo. Cada archivo de registro está limitado a 1,5 GB. Cuando un archivo de registro alcanza los 1,5 GB, se crea un archivo nuevo automáticamente.
Seleccione Mantener espacio en disco disponible y especifique el espacio disponible.9. Configure cómo se administran los registros del modo siguiente:
Seleccione Borrando archivos de registro menos recientes cuando se necesite para especificar que los archivos de registro más antiguos se eliminan automáticamente con los límites de tamaño especificados.
Seleccione Descartando nuevas entradas de registro para dejar de registrar entradas nuevas (manteniendo toda la información de registro antigua) de acuerdo con los límites de tamaño especificados. Las nuevas entradas no se registran hasta que no se cambian los límites o se eliminan los archivos antiguos. Se emite una alerta para notificarle este evento.
Seleccione Eliminar archivos con antigüedad mayor a para eliminar archivos de registro más antiguos que los días especificados. Para eliminar los archivos más antiguos del almacenamiento, reduzca este número.
10. Seleccione Comprimir archivos de registro para reducir el tamaño del archivo de registro. La compresión sólo se aplica a archivos de registro almacenados en volúmenes NTFS.
Configurar la ubicación del registroPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Los registros deben almacenarse siempre en una ubicación segura con acceso controlado estrictamente. De forma predeterminada, los registros de SQL Server Express y los registros de archivo de texto se almacenan en la carpeta ISALogs, dentro de la carpeta de instalación de Forefront TMG.Se puede especificar una ubicación de archivo de registro alternativa, que incluya una variable de entorno como %logDirectory%.Tenga en cuenta las consideraciones siguientes:
Si se especifica un directorio relativo, el registro se guardará en la carpeta ISALogs, dentro de la carpeta de instalación de Forefront TMG.
Si se especifica una ruta de acceso absoluta, la carpeta de registros puede ser diferente en cada servidor. Si la carpeta especificada no existe, Forefront TMG le advertirá de que la ubicación especificada no es válida e intentará crear la
carpeta.Para las carpetas de registro alternativas, la cuenta de servicio de red debe tener permisos de lectura en la partición raíz y en las carpetas principales de la carpeta en cuestión. En la carpeta de registro, son necesarios los permisos siguientes:
Servicio de red: Control total Sistema: Control total Administradores: Control total
Si cambia la ubicación de la carpeta de registro y no establece los permisos adecuados, podría emitirse el Id. de eventos 11002: El servicio Firewall de Microsoft no se ha podido iniciar en el Visor de eventos.
Configurar la cola del registroPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Cuando se generan las entradas del registro con mayor rapidez de con la que se les puede aplicar el formato configurado (texto/SQL Server Express/Remote SQL Server), puede especificar una ubicación para una cola del registro que contendrá las entradas de registro hasta que se procesen, de la siguiente manera: Para configurar la ubicación de una cola de registro
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, haga clic en Configurar cola de registro.4. En el cuadro de diálogo Carpeta de almacenamiento en colas de registros, deje la carpeta predeterminada ISALogs (en la
carpeta de instalación del Forefront TMG) o especifique una ubicación en Esta carpeta. Asegúrese de que la carpeta que especifique existe.
Seleccionar los campos de registroPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede seleccionar los campos que desea que aparezcan en los registros de Firewall y proxy web. En los registros escritos en un archivo con el formato W3C, los campos que no se seleccionan no aparecen en el registro. En el caso de los registros escritos en un archivo con el formato de Forefront TMG, los campos que no se seleccionan aparecen en el registro con un guión (-), lo que indica que están vacíos. En el siguiente procedimiento se describe cómo seleccionar los campos del registro.Para especificar los campos del registro
1. En en el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Registros e informes.
249
2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, seleccione la tarea apropiada:
Para configurar la ubicación del registro de Firewall, seleccione Configurar el registro del firewall. Para configurar la ubicación del registro de proxy web, seleccione Configurar el registro del proxy web.
4. En la ficha Campos, realice una de las acciones siguientes: Para seleccionar campos específicos, active las casillas de verificación correspondientes. Seleccione siempre los
campos Fecha del registro y Hora de registro. Si no selecciona estos campos, puede producirse un error al guardar la configuración.
Para desactivar todas las casillas de verificación de la lista de campos, haga clic en Borrar todo. Este valor deja activos los campos Fecha del registro y Hora de registro.
Para activar todas las casillas de verificación de la lista de campos, haga clic en Seleccionar todo. 5. Para seleccionar un conjunto predeterminado de campos del archivo de registro de Forefront TMG, haga clic en Restaurar
valores predeterminados.
Registrar solicitudes que coincidan con una reglaPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Se puede especificar que el registro se produzca o no para una regla específica. De esta manera, se puede reducir significativamente la carga del registro, lo que será de utilidad si se registra una gran cantidad de datos de un protocolo u origen específico. Por ejemplo, si tiene una regla que deniega las solicitudes DHCP y el registro se está llenando con muchas solicitudes denegadas, puede deshabilitar el registro para esa regla.
Nota:
Las reglas de acceso se crean con el registro habilitado de forma predeterminada.
Para configurar el registro para una regla específica
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall. 2. En el panel de detalles, haga clic en la regla para la que desea habilitar el registro. 3. En la ficha Tareas, haga clic en Editar regla seleccionada.4. En la ficha Acción, realice las acciones siguientes:
Para registrar el tráfico administrado por la regla, haga clic en Registrar solicitudes que coincidan con esta regla. Para especificar que no debe registrarse el tráfico administrado por la regla, desactive Registrar solicitudes que
coincidan con esta regla.
Nota:
Sin embargo, tenga en cuenta que si deshabilita el registro de la regla de delegación predeterminada, Forefront TMG no podrá detectar los ataques de tipo "Port scan".
Configurar el registro para evitar el bloqueoPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Si se produce un ataque en el firewall, puede que el número de entradas de registro aumente notablemente. Si el registro da error, se emite la alerta de error en el registro, que detiene el servicio Firewall de Microsoft. Cuando sucede esto, Forefront TMG entra en modo de bloqueo. De forma similar, si la escritura en el registro tarda más de treinta segundos, el registro puede dar error y provocar la entrada en el modo de bloqueo. En el modo de bloqueo, sucede lo siguiente:
El Firewall Packet Filter Engine (fweng) aplica la directiva de Firewall. Se permite el tráfico saliente desde la red de host local a todas las redes. No se permite tráfico entrante, a no ser que lo permita específicamente una regla de directiva de sistema habilitada. La única
excepción es el tráfico DHCP, que siempre se permite desde la red de host local hacia todas las redes (las solicitudes DHCP se permiten en el puerto UDP 47 y DHCP depende el puerto UDP 68).
Los clientes de acceso remoto a VPN no pueden tener acceso a Forefront TMG. Los cambios de configuración realizados en el modo de bloqueo solo se aplican después de reiniciar el servicio de firewall y de
que Forefront TMG salga del modo de bloqueo.Para configurar el registro para evitar el bloqueo
Para configurar Forefront TMG para que no deje de registrar en estos casos, aunque se registren muchos eventos, siga estas directrices:
Utilice el Desfragmentador de disco para consolidar los archivos y carpetas fragmentados. Para evitar largas operaciones, desfragmente los discos donde se almacenan los archivos de registro con frecuencia. Para hacerlo, haga clic en Inicio, elija Todos los programas, Accesorios, Herramientas del sistema y, a continuación, haga clic en Desfragmentador de disco.
Revise cómo ha configurado el registro de cada regla de directiva para crear datos de registro suficientes y precisos. En concreto, deshabilite el registro para la regla predeterminada. A continuación, cree otra regla de denegación con el registro habilitado para hacer un seguimiento del tráfico no deseado. De forma similar, puede deshabilitar el registro de reglas que se aplican a NetBIOS y DHCP, en función de sus necesidades de organización.
Configure las carpetas del registro de Firewall y el registro de proxy web en discos diferentes. Limite el número de campos que se incluyen en el registro. Si utiliza el registro SQL, modifique el tamaño o el porcentaje de crecimiento del archivo para la base de datos de registros. Para
obtener más información, vea ALTER DATABASE (en inglés) en el Centro de desarrollo de SQL Server.
250
Si Forefront TMG no puede registrar la actividad, se emite la alerta de error en el registro y, de forma predeterminada, se detiene el servicio Firewall de Microsoft. Puede volver a configurar esta alerta para que envíe un mensaje de correo electrónico a la dirección de correo electrónico del administrador, sobre todo cuando desee ofrecer una capacidad de servicio máxima.
El registro puede atraer ataques, ya que utiliza una gran cantidad de recursos de E/S y CPU. Utilice la característica de mitigación del desbordamiento de protección de la red para especificar que no se registre el tráfico denegado si se alcanza un límite de "solicitudes denegadas por segundo". Para obtener más información, vea Establecer los límites de conexión de mitigación de los ataques "flood".
Forefront TMG introduce la característica de cola de registro, que ayuda a evitar errores de registro cuando las escrituras en registro se generan más rápido de lo que se pueden procesar. Para obtener más información, vea Configurar la cola del registro.
Cuando el registro se haga en un archivo de texto, la escritura se limita a 1600 caracteres. Este límite no se puede modificar e incluye datos y otra información como, por ejemplo, una marca de tiempo. Este límite puede ser un problema si la información del servidor remitente de una solicitud HTTP es extensa. Para evitar este problema, configure los registros de forma que no rellenen el campo Servidor remitente. Para obtener instrucciones, vea Seleccionar los campos de registro.
Consultar los registros de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede utilizar el visor de registros de Forefront TMG para supervisar y analizar el tráfico y reparar cualquier problema que pudiera haber en la actividad de la red. De manera predeterminada, el visor de registros muestra todos los apuntes de los registros proxy web y de firewall en tiempo real, es decir, a medida que ocurren y tan pronto como cada uno queda registrado.En los siguientes procedimientos se describe cómo ejecutar y administrar las consultas de registro:
Configurar el filtro de consultas Guardar y cargar definiciones de filtro de registro Guardar los datos del visor de registros Definir los colores del visor de registro Ocultar las entradas del visor de registros de IPv6
Configurar el filtro de consultas
Es posible modificar las condiciones del filtro de registro predeterminado para que se muestren datos que cumplan criterios específicos. El filtro de registro muestra datos que coinciden con todas las condiciones del filtro. Las expresiones se combinan con el operador AND. No es posible eliminar los criterios de filtro del filtro predeterminado, pero se pueden modificar la condición y el valor de los criterios.Para configurar el filtro de consultas
1. En en el árbol de la consola de administración de Forefront TMG, haga clic en Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, haga clic en Modificar filtro. 4. En Filtrar por, seleccione uno de los campos del registro. 5. En Condición y Valor, especifique la condición correspondiente y, a continuación, haga clic en Agregar a la lista.6. Repita los pasos 4 y 5 para agregar más condiciones al filtro. Después, haga clic en Iniciar consulta.7. Para eliminar una expresión de la lista de filtros, selecciónela en Mostrar sólo las entradas que coincidan con estas
condiciones y, a continuación, haga clic en Quitar.Guardar y cargar definiciones de filtro de registro
Tras definir un filtro de registro, puede guardarlo como un archivo .xml para su uso futuro. A menudo es útil tener un conjunto de consultas y usar cada una de ellas para centrarse en un tipo de sesión diferente. Después puede importar las definiciones de consultas de filtro guardadas según se requiera.Para guardar el filtro
1. En en el árbol de la consola de administración de Forefront TMG, haga clic en la ficha Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, haga clic en Modificar filtro. 4. Para guardar una definición de filtro, especifique los parámetros del filtro y, a continuación, haga clic en Guardar filtro.
Después, especifique un nombre para el archivo .xml.
Nota:
También puede hacer clic en Guardar definiciones de filtro en la ficha Tareas.
Para cargar el filtro1. En en el árbol de la consola de administración de Forefront TMG, haga clic en la ficha Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, haga clic en Modificar filtro.4. Haga clic en Cargar filtro y seleccione el archivo .xml que desea cargar.
Nota:
También puede hacer clic en Cargar definiciones de filtro en la ficha Tareas.
Guardar los datos del visor de registros
Si desea guardar la información que se muestra en el visor de registros en un archivo, cópiela en el Portapapeles. Puede copiar todos los resultados o sólo los seleccionados.Para copiar información de registro en el Portapapeles
1. En en el árbol de la consola de administración de Forefront TMG, haga clic en Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, haga clic en Iniciar consulta. Cuando proceda, haga clic en Detener consulta.4. Para copiar toda la información en el Portapapeles, haga clic en Copiar todos los resultados al Portapapeles.5. Para copiar información parcial, haga lo siguiente:
251
Para seleccionar entradas de registro adyacentes, haga clic en la primera entrada, mantenga presionada la tecla CTRL y haga clic en otros elementos. A continuación, haga clic en Copiar los resultados seleccionados al portapapeles.
Para seleccionar entradas de registro no adyacentes, haga clic en la primera entrada, mantenga presionada la tecla CTRL y haga clic en otros elementos. A continuación, haga clic en Copiar los resultados seleccionados al portapapeles.
6. Cuando haya copiado los datos en el portapapeles, puede copiar la información en una aplicación adecuada para analizarla. Definir los colores del visor de registro
Para distinguir mejor las líneas en el panel de resultados del visor de registro, puede utilizar códigos de color que faciliten el análisis del visor de registro. Puede utilizar una combinación de colores predeterminada o aplicar sus propios colores. Los colores se pueden aplicar a acciones comunes del filtro de registro predefinidas.Cuando haya definido los colores del texto, puede exportar la combinación de color y guardarlo en un archivo .xml. Utilice los procedimientos siguientes para definir colores, exportar e importar una combinación de color.Para definir los colores del visor de registro
1. En en el árbol de la consola de administración de Forefront TMG, haga clic en Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, haga clic en Definir colores del texto de registro.4. En el cuadro de diálogo Definir colores del texto de registro, haga clic en el botón Color del tipo de acción que desea
cambiar. 5. En el cuadro de diálogo Color, seleccione un color y, a continuación, haga clic en Guardar.6. Haga clic en Aceptar para aplicar los cambios y cerrar el cuadro de diálogo Definir colores del texto de registro.
Para exportar una combinación de color1. En en el árbol de la consola de administración de Forefront TMG, haga clic en Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro.3. En el cuadro de diálogo Definir colores del texto de registro, haga clic en el botón Exportar combinación de color.4. En el cuadro de diálogo Exportar definiciones de color, seleccione la carpeta y el nombre de archivo y, a continuación, haga
clic en Guardar.Para importar una combinación de color
1. En en el árbol de la consola de administración de Forefront TMG, haga clic en Registros e informes.2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, haga clic en Definir colores del texto de registro.4. En el cuadro de diálogo Definir colores del texto de registro, haga clic en el botón Importar combinación de color.5. En el cuadro de diálogo Importar definiciones de color, seleccione la carpeta y el nombre de archivo y, a continuación, haga
clic en Cargar.Ocultar las entradas del visor de registros de IPv6
Si utiliza IPv4, puede ocultar las entradas de registro de IPv6 para agilizar los resultados del registro. Tenga en cuenta que, de forma predeterminada, Forefront TMG bloquea todo el tráfico de IPv6. Para obtener más información, vea Requisitos del sistema para Forefront TMG.Para ocultar las entradas IPv6
1. En en el árbol de la consola de administración de Forefront TMG, haga clic en Registros e informes. 2. En el panel de detalles, haga clic en la ficha Registro. 3. En la ficha Tareas, realice una de las acciones siguientes:
Para ocultar las entradas, haga clic en Ocultar las entradas de registro de IPv6. Para ocultar las entradas, haga clic en Mostrar las entradas de registro de IPv6.
Configurar los informes de Forefront TMGPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se proporciona información que puede ayudarle a configurar los informes de Forefront TMG:
Crear informes Ver informes Cambiar el servidor de informes
Para obtener información conceptual acerca de los informes de Forefront TMG, vea Planeación para creación de informes.
Crear informesPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo crear informes en Forefront TMG. La creación de informes implica el siguiente proceso:
1. Crear un informe o trabajo de informes: use uno de los asistentes disponibles para crear un informe o trabajo de informes. Cada asistente le permite hacer lo siguiente:
a. Configure la frecuencia del informe (si es un trabajo de informes periódico), el período que cubre el informe y la categorías de informe que se van a incluir.
b. Configure el informe o el trabajo de informes que se van a enviar mediante correo electrónico, o a publicar a un recurso compartido de archivo en el sistema de archivos.
2. Generar el informe: los informes y los trabajos de informes que crea aparecen en el panel de detalles de la ficha Creación de informes. La generación de informes funciona de la siguiente manera:
a. Para informes de actividad de usuario o de una sola ejecución, haga clic con el botón secundario en el trabajo de informe y seleccione Generar y ver informe. Forefront TMG crea la página HTML del informe y la abre en el explorador del servidor.
Importante:
252
El informe de la actividad del usuario es un nuevo informe que se incluye en Forefront TMG SP1.
b. Para informes periódicos, Forefront TMG genera estos informes de manera automática, aunque puede iniciar una generación de informes manualmente cuando lo necesite.
Para obtener información general de la creación de informes de Forefront TMG, vea Planeación para creación de informes.Para crear un informe
1. En la consola de administración de Forefront TMG, en el árbol, haga clic en el nodo Registros e informes. 2. En el panel de detalles, haga clic en la ficha Creación de informes.3. En el panel Tareas, haga clic en el tipo de informe que desea crear. 4. Escriba un nombre para el informe. El informe que crea se guardará en el panel de detalles de la ficha Creación de informes,
donde puede editar sus propiedades e iniciar manualmente un informe.5. Haga lo siguiente en función del tipo de informe:
Informe de una sola ejecución: en la página Período del informe, especifique el número de días que desea incluir en el informe. El número máximo de días es 60.
Trabajo de informe periódico: en la página Programación de trabajos de informes periódicos, especifique cuándo se ejecutará el trabajo y con qué frecuencia.
Informe de actividad de usuario: en la página Detalles del informe, seleccione el período de informe en la lista y escriba los nombres de usuario o las direcciones IP que desea incluir en el informe.
6. Si desea modificar los parámetros predeterminados del informe, realice lo siguiente:
a. En la página Contenido del informe, haga clic en la categoría de informe que desea modificar y, a continuación, haga
clic en Editar detalles del informe.b. Seleccione una subcategoría de informe en la lista Subcategoría y, a continuación, haga clic en Valor de parámetro
y ajuste el valor según sea necesario.c. En algunas subcategorías de informe es posible modificar el orden en el que se muestran los datos. Para ello, en
Ordenar por, seleccione el valor de parámetro que se va a usar para ordenar los datos del informe.7. (Opcional). En la página Enviar notificación por correo electrónico, habilite Enviar notificación por correo electrónico
cuando finalice un informe y configure la manera en la que desea enviar dichas notificaciones. 8. Si desea poder ver este informe sin abrir la consola de administración de Forefront TMG, configure Forefront TMG para publicar
informes en la página Publicación de informes.
Nota:
Si selecciona la notificación a través de correo electrónico o si está creando un trabajo de informe periódico, es necesaria la publicación de informes.
Si el directorio de informes publicados se encuentra en otro equipo, haga clic en Establecer cuenta y especifique las credenciales que utilizará el motor de informes para la publicación. Estas credenciales deben contar con permisos de escritura en la carpeta especificada.
9. Complete el asistente y, a continuación, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar.
Ver informesPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo ver informes de una sola ejecución, informes de actividad de usuario y trabajos de informes periódicos.
Nota:
Los informes de actividad de usuario constituyen una nueva característica de Forefront TMG SP1.
Puede ver informes a través de un explorador convencional y usar hipervínculos para ayudarle a navegar por el contenido que desea revisar. En las siguientes secciones se describen las diferentes maneras en las que puede ver los tres tipos de trabajos de informes.Para obtener detalles sobre cómo crear un trabajo de informe, vea Crear informes.Ver informes de actividad de usuario y de una sola ejecución
Los informes de una sola ejecución y de actividad de usuario se presentan como una forma sencilla de crear informes conforme y cuando se necesitan. Tras configurar un trabajo de informe de una sola ejecución o actividad de usuario con el asistente para informes de una sola ejecución o el asistente para informes de actividad de usuario, la configuración aparecerá en el panel de detalles bajo Informes de una sola ejecución o Informes de actividad de usuario. También aparecen el nombre del informe, el tipo, y las fechas de inicio y finalización.Para generar y ver un informe de una sola ejecución o de actividad de usuario
En el panel de detalles, seleccione un trabajo de una sola ejecución o un trabajo de informe de actividad de usuario y haga clic en Generar y ver el informe seleccionado, desde el menú contextual que aparece al hacer clic con el botón secundario del mouse o desde el panel Tareas. El informe se abre en una ventana del explorador.
Nota:
Puede facilitar acceso al informe sin tener que obtener acceso a la consola de administración de Forefront TMG, si ha configurado el informe para publicar su datos en un directorio.
Ver tareas de informes periódicos
253
Los trabajos de informes periódicos permiten revisar la actividad de registro durante períodos de tiempo regulares (a diario, semanal y mensualmente). Tras configurar un trabajo de informe periódico con el asistente para trabajos de informes periódicos, la configuración aparecerá en el panel de detalles debajo de Trabajos de informes periódicos. También aparecen el nombre del informe, el tipo y la fecha en la que creó el trabajo del informe.
Nota:
La Fecha de finalización se muestra siempre como "En curso", dado que los trabajos de informes periódicos no tienen fecha de finalización.
Ver informes publicados
Mediante la publicación de informes, puede compartir estos datos con otros usuarios que no tienen acceso al equipo Forefront TMG o a la consola de administración de Forefront TMG. En el caso de informes de una sola ejecución, la publicación permite guardar una captura de los datos durante el período de tiempo especificado en el informe.
Nota:
Los trabajos de informes periódicos se publican siempre, mientras que la publicación de informes de una sola ejecución o de actividad de usuario es opcional.
Los informes publicados se almacenan en una subcarpeta del directorio especificado, bajo el nombre <Nombre_trabajo_informe>_(Fecha de inicio—Fecha de finalización). Por ejemplo, si publica un trabajo de informe denominado InformesDiarios, programado para ejecutarse del 1 de diciembre de 2008 al 15 de diciembre de 2008, la carpeta de los informes publicados se denominará InformesDiarios_(12.1.2008—12.15.2008).
Importante:
Asegúrese de que cualquiera de los usuarios que deba tener acceso a informes publicados tenga permisos de lectura para esta carpeta.
Para ver un informe publicado1. En la consola de administración de Forefront TMG, en el árbol, haga clic en el nodo Registros e informes. 2. En el panel de detalles, haga clic en la ficha Informes y, a continuación, seleccione un informe y haga clic en Ver informes
publicados, en el menú contextual que aparece al hacer clic con el botón secundario o en el panel Tareas. El directorio especificado como directorio de informes publicados se abrirá en el Explorador de Windows.
Nota:
Para ver un informe publicado sin utilizar la consola de administración de Forefront TMG, navegue hasta el directorio de informes publicados compartido especificado en la configuración del trabajo de informe.
3. Abra el directorio que contiene el informe que necesita.4. Haga doble clic en informe.htm. Se abrirá el informe en una ventana del explorador.
Nota:
Primero debe generar un informe de una sola ejecución, para publicar los resultados.
Cambiar el servidor de informesPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En este tema se describe cómo cambiar el servidor de informes. El servidor de informes es un servidor Forefront TMG que ejecuta los servicios de informes de SQL Server para agregar los resúmenes de registro. El servidor de informes predeterminado es el primer miembro de matriz de Forefront TMG creado. Si desea usar otro miembro de matriz como el servidor de informes, siga el procedimiento descrito más adelante.
Nota:
Los datos de historial no se trasladan al nuevo servidor de informes.
Para cambiar el servidor de informes
1. En en el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Registros e informes.2. En el panel de detalles, haga clic en la ficha Creación de informes.3. En la ficha Tareas, haga clic en Configurar opciones de informes y, a continuación, haga clic en la ficha Servidor de
informes.4. Seleccione el servidor requerido en la lista desplegable.5. Haga clic en Aceptar.6. Haga clic en Aplicar en la barra Aplicar cambios.
Administrar el filtrado de direcciones URLPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los siguientes temas se proporciona información acerca de cómo administrar el filtrado de URL:
254
Introducción a la administración del filtrado de URL Buscar una categoría de dirección URL Invalidar la categorización de direcciones URL
Introducción a la administración del filtrado de URLEl filtrado de direcciones URL le permite crear reglas de acceso que permiten o bloquean el acceso a sitios web según su categorización en la base de datos de filtrado de direcciones URL. Cuando se recibe una solicitud para tener acceso a un sitio web, Forefront TMG consulta el servicio de reputación de Microsoft hospedado de manera remota para determinar la categorización del sitio web. Si el sitio web se ha categorizado como un categoría o conjunto de categorías de direcciones URL bloqueadas, Forefront TMG bloquea la solicitud. Si un usuario pide acceso a un sitio web y detecta que el acceso al sitio web está bloqueado, recibe una notificación de denegación que incluye la categoría de solicitud denegada. En algunos casos, el usuario puede ponerse en contacto con el administrador para cuestionar la categorización del sitio web. En ese caso, debe comprobar que la dirección URL está correctamente categorizada (vea Buscar una categoría de dirección URL). Si el sitio web no está correctamente categorizado, debe crear una configuración personalizada para esta dirección URL (vea Invalidar la categorización de direcciones URL).
Buscar una categoría de dirección URLPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En el siguiente procedimiento se describe cómo consultar la base de datos de filtrado de URL con respecto a la categorización de una dirección URL o dirección IP. Para buscar una categoría de dirección URL
1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de acceso web.2. En el panel Tareas, haga clic en Consultar categoría de URL.3. En la ficha Consulta de categorías, escriba una dirección URL o dirección IP y, a continuación, haga clic en Consulta. El
resultado de la categoría se muestra en la ficha, así como algunos detalles acerca del origen de la categorización, como la invalidación, dirección IP o alias de dirección URL.
4. Para cambiar la categorización de un dominio, copie la dirección URL o dirección IP en el portapapeles del equipo y haga clic en la ficha Invalidación de categorías de URL. Para obtener más información, vea Invalidar la categorización de direcciones URL.
Nota:
Cada dirección URL debe incluir un nombre de host y puede incluir una ruta de acceso, una cadena de consulta, caracteres de escape (como “% 20” para representar un espacio) y un protocolo (como HTTP://). Por ejemplo, http://www.contoso.com/training/.
Invalidar la categorización de direcciones URLPublicada: noviembre de 2009Actualizado: junio de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Es posible cambiar la categorización URL de una dirección URL o dirección IP mediante una invalidación de categorías de URL. En los procedimientos siguientes se describe cómo crear una invalidación de categorías de URL para una matriz concreta o para todas las matrices de una empresa:
Adición de una invalidación de categorías de URL para una matriz Adición de una invalidación de categorías de URL para la empresa
Nota:
En ambos procedimientos:
Todas las direcciones URL deben incluir un nombre de host y una ruta de acceso, y pueden incluir una cadena de consulta y caracteres de escape (como “%20” para representar un espacio).
No incluya un protocolo (como HTTP://) con la dirección URL. Forefront TMG no admite el uso de direcciones URL de nombres de dominio internacionalizados (IDN). Las direcciones URL www.mycompany.com/homepage y www.mycompany/homepage/ se consideran la misma URL; la barra
diagonal de cierre final no afecta a la categorización de direcciones URL.
Nota:
El cambio de categorización de direcciones URL en el nivel de empresa es una nueva característica de Forefront TMG 2010 SP1.
Adición de una invalidación de categorías de URL para una matriz
1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web.2. En el panel Tareas, haga clic en Configurar invalidaciones de categorías de URL.3. En la pestaña Invalidación de categorías de URL, haga clic en Agregar.4. En Invalidar la categoría de URL predeterminada para este patrón de URL, escriba un patrón de dirección URL con el
formato www.contoso.com/.5. En Mover el patrón de URL a esta categoría de URL, seleccione una nueva categoría de dirección URL.6. Haga clic en Aceptar. Se cierra el cuadro de diálogo Invalidación de categorías de URL. Haga clic en Aceptar de nuevo y, a
continuación, en la barra Aplicar cambios, haga clic en Aplicar.Adición de una invalidación de categorías de URL para la empresa
255
1. En el árbol de la consola de Administración de Forefront TMG, haga clic en el nodo Empresa.
Nota:
Esta característica está disponible para Forefront TMG 2010 SP1 únicamente en sistemas Enterprise Management System.
2. En el panel Tareas, haga clic en Configurar invalidaciones de categorías de URL.3. Para agregar una nueva invalidación de categorías de URL, haga clic en Agregar y escriba un patrón de URL con el formato
www.contoso.com/*.4. En Mover el patrón de URL a esta categoría de URL, seleccione una nueva categoría de dirección URL.5. Haga clic en Aceptar. Se cierra el cuadro de diálogo Invalidación de categorías de URL. Haga clic en Aceptar de nuevo y, a
continuación, en la barra Aplicar cambios, haga clic en Aplicar.
Nota:
Las invalidaciones de nivel de matriz tienen prioridad sobre las de nivel de empresa.
Realizar copias de seguridad y restaurar la configuración de Forefront TMGPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)En los temas siguientes se describe cómo realizar una copia de seguridad de la configuración de Forefront TMG y restaurarla, para las distintas opciones de configuración:
Realizar copias de seguridad y restaurar la configuración de la empresa Realizar copias de seguridad y restaurar la configuración de la matriz Realizar copias de seguridad y restaurar configuración y directivas concretas Realizar copias de seguridad y restaurar con el Escritor de VSS
Antes de iniciar el proceso de copia de seguridad o restauración, asegúrese de consultar la información proporcionada en Planeación para copia de seguridad y restauración.
Realizar copias de seguridad y restaurar la configuración de la empresaEn este tema se describe cómo realizar una copia de seguridad y restaurar la configuración de la empresa desde el servidor de Enterprise Management Server (EMS). Todos los miembros de la matriz comparten los valores de configuración de la empresa y también son pertinentes para ellos.
Nota:
Debe ser administrador de empresa de Forefront TMG o auditor de empresa para realizar una copia de seguridad y restaurar la configuración de la empresa. Para realizar una copia de seguridad y restaurar información confidencial de empresa, debe ser administrador de empresa de Forefront TMG.
Los siguientes procedimientos ofrecen instrucciones sobre:
Realizar una copia de seguridad de una configuración de empresa Restaurar una configuración de empresa
Realizar una copia de seguridad de una configuración de empresa
Para realizar una copia de seguridad de una configuración de empresa1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Empresa. 2. En la ficha Tareas, haga clic en Exportar configuración de empresa.3. Para exportar la información confidencial, como contraseñas de usuario y certificados, seleccione Exportar información
confidencial y proporcione una contraseña. La información confidencial se cifra durante el proceso de exportación. La contraseña que escriba aquí se necesitará para importar la configuración.
Nota:
Se recomienda que especifique una contraseña de alta seguridad para garantizar la protección adecuada de la información cifrada. Para obtener más información, vea Planeación para copia de seguridad y restauración.
El proceso de exportación no realiza una copia de seguridad de los certificados de capa de sockets seguros (SSL). Para obtener información acerca de cómo realizar una copia de seguridad de los certificados SSL, vea Acerca de cómo realizar una copia de seguridad de los certificados SSL.
4. Para exportar permisos de usuario, seleccione Exportar configuración de permisos de usuario.5. En Guardar estos datos en este archivo, especifique la carpeta en la que se guardará el archivo de exportación y el nombre
del archivo. 6. En Nombre de archivo, escriba un nombre para el archivo exportado.
Restaurar una configuración de empresa
Para restaurar una configuración de empresa1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Empresa. 2. En la ficha Tareas, haga clic en Importar configuración de empresa.3. Seleccione el archivo que ha guardado al exportar la configuración.4. Seleccione Sobrescribir (restaurar) para restaurar los valores de configuración.5. Si ha exportado permisos de usuario, seleccione Importar configuración de permisos de usuario.6. Si ha exportado información confidencial, escriba la contraseña que ha especificado al exportar el archivo.
256
Realizar copias de seguridad y restaurar la configuración de la matrizEn este tema se describe cómo apoyar y restaurar una configuración de matriz, para un servidor único o una matriz de varios servidores. La configuración de matriz incluye la siguiente configuración:
Los valores de configuración de la matriz, que son relevantes para todos los miembros de la matriz y compartidos por ellos.
Los valores de configuración del servidor, específicos para cada miembro de la matriz.Los siguientes procedimientos ofrecen instrucciones sobre:
Realizar una copia de seguridad de una configuración de matriz
Restaurar una configuración de matriz
Nota:
Para realizar copias de seguridad y restaurar información confidencial de nivel de matriz, debe ser administrador de matriz de Forefront TMG.
Realizar una copia de seguridad de una configuración de matriz
Para realizar una copia de seguridad de una configuración de matriz1. En el árbol de la consola de administración de Forefront TMG, haga clic en la matriz ArrayName. 2. En la ficha Tareas, haga clic en Exportar (hacer copia de seguridad) la configuración de matriz. 3. Para exportar la información confidencial, como contraseñas de usuario y certificados, seleccione Exportar información confidencial y proporcione una
contraseña. La información confidencial se cifra durante el proceso de exportación. La contraseña que escribe aquí se necesitará para importar la configuración.
Nota:
Se recomienda que especifique una contraseña de alta seguridad para garantizar la protección adecuada de la información cifrada. Para obtener más información, vea Planeación para copia de seguridad y restauración.
El proceso de exportación no realiza una copia de seguridad de los certificados de capa de sockets seguros (SSL). Para obtener información sobre cómo realizar una copia de seguridad de los certificados SSL, vea Acerca de cómo realizar una copia de seguridad de los certificados SSL.
4. Para exportar permisos de usuario, seleccione Exportar configuración de permisos de usuario.5. En Guardar estos datos en este archivo, especifique la carpeta en la que se guardará el archivo de exportación y el nombre del archivo. 6. En Nombre de archivo, escriba un nombre para el archivo exportado.
Restaurar una configuración de matriz
Para restaurar una configuración de matriz1. En el árbol de la consola de administración de Forefront TMG, haga clic en la matriz ArrayName. 2. En el ficha Tareas, haga clic en Importar (restaurar) la configuración de matriz. 3. Seleccione el archivo que ha guardado al exportar la configuración.4. Seleccione Sobrescribir (restaurar) para restaurar los valores de la configuración.5. Si desea importar la configuración específica del servidor, seleccione Importar información específica de servidor.6. Si ha exportado permisos de usuario, seleccione Importar configuración de permisos de usuario.7. Si ha exportado información confidencial, escriba la contraseña que ha especificado al exportar el archivo.
Realizar copias de seguridad y restaurar configuración y directivas concretasEn este tema se explica cómo exportar elementos específicos de la configuración de Forefront TMG, como reglas de directiva individuales y elementos de regla.Los siguientes procedimientos ofrecen instrucciones sobre:
Exportar una sola regla de directiva o elementos de regla
Importar una sola regla de directiva o elemento de regla
Nota:
Debe ser administrador de empresa o auditor de empresa de Forefront TMG para realizar una copia de seguridad de la configuración de empresa y restaurarla. Para realizar una copia de seguridad y restaurar información confidencial de empresa, debe ser administrador de empresa de Forefront TMG. Para realizar copias de seguridad y restaurar información confidencial de nivel de matriz, debe ser administrador de matriz de Forefront TMG.
Exportar una sola regla de directiva o elementos de regla
Para exportar una sola regla de directiva o elementos de regla1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de firewall. 2. Para exportar una sola regla de directiva:
En el panel de detalles, haga clic con el botón secundario en la regla correspondiente y, a continuación, haga clic en Exportar selección. Para exportar un solo elemento de regla:
En el panel Herramientas, haga clic con el botón secundario en el elemento de regla correspondiente y, a continuación, haga clic en Exportar selección.
Para exportar varios elementos de regla:
En el panel Herramientas, haga clic con el botón secundario en los elementos de regla correspondientes y, a continuación, haga clic en Exportar todo.3. Para exportar la información confidencial, como contraseñas de usuario, certificados y secretos compartidos de RADIUS, seleccione Exportar información
confidencial y proporcione una contraseña. La información confidencial se cifra durante el proceso de exportación. La contraseña que escriba aquí se necesitará para importar la configuración.
257
Nota:
Se recomienda que especifique una contraseña de alta seguridad para garantizar la protección adecuada de la información cifrada. Para obtener más información, vea Planeación para copia de seguridad y restauración.
4. En Guardar estos datos en este archivo, especifique la carpeta en la que se guardará el archivo de exportación y el nombre del archivo. Importar una sola regla de directiva o elemento de regla
Para importar una sola regla de directiva o elemento de regla1. En el árbol de la consola de administración de Forefront TMG, haga clic en Directiva de firewall. 2. Para importar una sola regla de directiva:
Nota:
No puede importar un archivo para sobrescribir la regla predeterminada.
En el panel de detalles, haga clic con el botón secundario en la regla correspondiente y, a continuación, haga clic en Importar a selección. 3. Para importar un elemento de una o varias reglas:
En el panel Herramientas, haga clic con el botón secundario en el elemento de regla correspondiente y, a continuación, haga clic en Importar todo.4. Seleccione el archivo que ha guardado al exportar las opciones de configuración.5. Si desea importar la configuración específica del servidor, seleccione Importar información específica de servidor.6. Si ha exportado información confidencial, escriba la contraseña que ha especificado al exportar el archivo.
Realizar copias de seguridad y restaurar con el Escritor de VSSPublicada: noviembre de 2009Actualizado: febrero de 2010Se aplica a: Forefront Threat Management Gateway (TMG)Puede realizar una copia de seguridad de la configuración de Forefront TMG y restaurarla con el Servicio de instantáneas de volumen (VSS). VSS es un conjunto de interfaces de programación de aplicaciones (API) del modelo de objetos componentes (COM) que proporciona interfaces estandarizadas, lo que permite que el software de copia de seguridad y restauración de terceros administre de forma centralizada las operaciones de copia de seguridad y restauración en diferentes aplicaciones. En Forefront TMG, la configuración se almacena en una instancia de Active Directory Lightweight Directory Services (AD LDS). Al utilizar VSS para realizar una copia de seguridad de la configuración de Forefront TMG y restaurarla, Forefront TMG llama a VSS Writer de AD LDS.La cadena de nombre de este escritor es "ISA Writer".El identificador del escritor del Registro es 25F33A79-3162-4496-8A7D-CAF8E7328205.Asegúrese de que hace una copia de seguridad del servidor requerido, en función de si es independiente o pertenece a una matriz, del siguiente modo:
Matriz de empresas: realice la copia de seguridad de Forefront TMG Enterprise Management Server (EMS).
Matriz independiente: realice la copia de seguridad del administrador de la matriz.
Servidor independiente: realice la copia de seguridad del servidor de Forefront TMG.
Nota:
Debe ser administrador de empresa o auditor de empresa de Forefront TMG para realizar una copia de seguridad de la configuración de empresa y restaurarla. Para realizar una copia de seguridad y restaurar información confidencial de empresa, debe ser administrador de empresa de Forefront TMG. Para realizar copias de seguridad y restaurar información confidencial de nivel de matriz, debe ser administrador de matriz de Forefront TMG.