1

TMG FIREWALL INSTALACIN Y CONFIGURACIN EN

WINDOWS SERVER 2008R2




JENNIFER ELIANA BENITEZ LONDOO
MARIBEL MUOZ TOBN



INSTRUCTORA
ISABEL CRISTINA YEPES OCAMPO

SERVICIO NACIONAL DE APRENDIZAJE SENA
CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL
TECNOLOGA EN GESTIN DE REDES DE DATOS


FICHA 464324

MEDELLN, ANTIOQUA

2014

2

TABLA DE CONTENIDO
INTRODUCCIN............................................................................................................................... 3
TOPOLOGA A IMPLEMENTAR....................................................................................................... 4
INSTALACIN DE TMG.................................................................................................................... 5
CONFIGURACIN DE LAS REGLAS.............................................................................................. 39
PRUEBAS DE VERIFICACIN........................................................................................................ 80
CONCLUSIONES............................................................................................................................. 84
WEBGRAFA.................................................................................................................................... 85


3

INTRODUCCIN
Microsoft Forefront Threat Management Gateway (TMG) es un completo Gateway de seguridad web
desarrollado por Microsoft que ayuda a proteger a las empresas de las amenazas que existen
actualmente en internet. Simple manejo e interfaz con la que se puede habilitar una seguridad
perimetral perfecta a prueba de ataques gracias al firewall integrado, VPN, prevencin de accesos
no autorizados, antivirus y anti-spam.
Microsoft Forefront TMG estar tambin integrado en la nueva suite completa de Forefront conocida
con el nombre en clave de Microsoft Forefront STIRLING.
Los firewalls tambin conocidos como cortafuegos pueden ser dispositivos fsicos o software que
cumple funciones de filtrado de paquetes en un computador (firewall personal) o en una red (firewall
de red).
Existen firewalls stateless y statefull siendo su principal diferencia el manejo de tablas dinmicas en
memoria que logran asociar conexiones establecidas entre los nodos de una red. Generalmente los
firewalls funcionan en la capa 3, 4 y 5 del modelo OSI, permitiendo filtrar direcciones IP,
PROTOCOLOS Y PUERTOS, como tambin conexiones establecidas o por establecerse con
cualquiera de estos servicios.


4

TOPOLOGA A IMPLEMENTAR

Requisitos (Reglas)
Ubicar al menos dos servicios tanto en DMZ como en Internet (WAN).
Las direcciones de internet (WAN) deben ser pblicas, las de LAN y DMZ privadas.
Permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT.
Permitir el acceso a los servicios de internet (WAN) desde LAN haciendo NAT.
Hacer PAT a los servicios de la DMZ para que sean vistos desde internet (WAN) usando
direccin pblica fija.
Permitir NAT desde la DMZ para salir a los servicios de internet (WAN).


5

INSTALACIN DE TMG
Lo primero que haremos ser descargar de la pgina oficial de Microsoft el software que
necesitamos, para esto podemos ingresar al siguiente enlace:
http://www.microsoft.com/es-es/download/details.aspx?id=14238
Seleccionamos el idioma que deseamos y damos clic en Descargar

Escogemos el archivo que deseamos descargar, en este caso seleccionamos la primera opcin y
esperamos a que se descargue nuestro TMG, esto tarda aproximadamente 2 horas.

Cuando ya tengamos descargado nuestro TMG comenzaremos a instalarlo. Debemos de tener en
cuenta que necesitaremos varias mquinas virtuales que son: el DMZ, la LAN, la WAN y el
FIREWALL (TMG). Cada uno debe de tener el adaptador de red en red internet y tienen que tener un
nombre diferente cada uno. La mquina del Firewall TMG debe ser Windows Server 2008R2 y debe
estar completamente limpia sin ninguna configuracin y sin ningn servicio instalado.
NOTA: Antes de comenzar a instalar el TMG recomiendo desinstalar el Windows Internet Explorer 9
para que mediante la instalacin del TMG no nos vaya a ocurrir un error el cual nos daara la
instalacin del TMG y deberamos comenzar nuevamente (crear otra mquina).
El error que nos aparecer es el siguiente:
6


Para arreglar el error nos dirigimos a inicio Panel de control

Programas Desinstalar un programa

7

Buscamos Windows Internet Explorer 9

Lo seleccionamos le damos clic derecho desinstalar

Nos pregunta que si estamos seguros de desinstalarlo le decimos que si

8

Esperamos a que se desinstale

Al terminar nos aparecer la siguiente venta. Le damos clic en Reiniciar Ahora.

Recordemos que nuestro TMG Firewall debe ser una mquina de Windows server 2008R2, y debe
tener agregado 3 adaptadores de Red, configurados de la siguiente manera:
Adaptador 1 (LAN)


9

Adaptador 2 (DMZ)

Adaptador 3 (WAN)



10

Encendemos nuestra Mquina y nos dirigimos a ver las tarjetas de red que posee nuestra mquina,
recomiendo que para evitar errores o confusiones le coloquemos un nombre a cada adaptador para
identificarlo. Luego de colocarle el nombre a cada adaptador le configuramos las direcciones Ip a
cada uno.

Al terminar de configurar las ip a cada adaptador nos dirigimos al smbolo del sistema y copiamos
ipconfig para ver la configuracin realizada a cada adaptador.

Ahora comenzaremos a instalar nuestro TMG.

11

Nos aparece la Bienvenida a la instalacin del TMG, damos clic en Siguiente.

Nos aparecer una ventana donde nos informa el lugar donde se guardaran los archivos del TMG,
dejamos la ruta por defecto y damos clic en Siguiente.


12

Esperamos a que se extraigan los archivos.

Damos clic en ejecutar la herramienta de preparacin, para descargar e instalar las caractersticas
necesarias de TMG.

13

Next...

Aceptamos los trminos de licencia y damos clic en Next.


14

Seleccionamos el tipo de instalacin que necesitamos, en esta ocasin elegimos la primera opcin.

Luego comenzara la instalacin de las herramientas necesarias y cuando termine nos aparecer una
ventana que nos indica que se complet la instalacin de los requisitos previos.


15

Dejamos seleccionado la casilla Iniciar el asistente para la instalacin de Forefront TMG y damos
clic en Finalizar

Ahora se abrir el asistente para la instalacin de Forefront TMG, damos clic en siguiente.


16

Aceptamos los trminos de licencia Siguiente

Dejamos esto por defecto Siguiente


17

Siguiente...

En esta parte vamos a agregar nuestra Red Interna (LAN). Para esto damos clic en Agregar

18

Damos clic en Agregar adaptador

Seleccionamos solamente la red LAN aceptar



19

Aceptar...

Siguiente...



20

Siguiente...

Instalar...


21

Esperamos a que se instalen las caractersticas necesarias.

Esperamos a que se terminen de instalar los componentes adicionales, esto puede tardar varios
minutos.


22

Cuando finalice el asistente, dejamos seleccionado la opcin Iniciar la Administracin de Forefront
TMG y damos clic en Finalizar.

Comenzaremos configurando las opciones de red, para esto damos clic en el primer recuadro.

23

Next...

Ahora procedemos a escoger la platilla de red que vamos a utilizar, en este caso elegimos la opcin
Permetro de 3 secciones debido a que necesitaremos una zona perimetral, una red interna y otra
que sea la WAN.

24

Seleccionamos el Adaptador de Red LAN - Next

Seleccionamos el Adaptador de Red WAN (Internet) Next

25

Seleccionamos el Adaptador de Red Perimetral (DMZ) Next

Verificamos que todo este correcto y damos clic en Finalizar


26

Una vez terminado nos volver a aparecer el asistente de introduccin y la primera opcin estar
completa, continuaremos con la configuracin de las opciones del sistema.

Next...

27

Lo dejamos por defecto Next

Finish...

28

Una vez terminado nos volver a aparecer el asistente de introduccin y tanto la primera opcin
como la segunda estarn completas, continuaremos con Definir opciones de implementacin.

Next...

29

Seleccionamos la siguiente opcin Next

Nos pedir confirmar si deseamos continuar, damos clic en si



30

Lo dejamos por defecto Next

Seleccionamos la opcin resalta Next


31

Seleccionamos la opcin resaltada Next.

Finish...

32

Al finalizar tendremos los tres tem del asistente de introduccin configurados, ahora continuamos
configurando el asistente para acceso web, para esto seleccionamos la casilla de Ejecutar el
Asistente para acceso web y damos clic en cerrar.

Se abrir el asistente para directivas de acceso web, nos aparecer los componentes que debemos
definir Next

33

Seleccionamos la siguiente opcin Next

Next...

34

Seleccionamos la siguiente opcin Next

Seleccionamos las siguientes opciones Next

35

Vamos a configurar las Unidades de cach

Le configuramos 200MB, Damos clic en establecer, aplicar Ok

36

Next...

Finish...

37

Se nos abrir la consola de administracin de Microsoft Forefront TMG, lo primero que debemos
hacer es aplicar los cambios.

Cuando le demos aplicar, nos abrir la siguiente ventana, seleccionamos la opcin Guardar los
cambios y reiniciar los servicios Aceptar.



38

Seleccionamos la opcin de No volver a preguntar Aplicar

Esperamos a que se guarden los cambios Aceptar

De esta manera hemos terminado de instalar nuestro TMG Firewall. Ahora comenzaremos a crear
las reglas que necesitamos implementar para cumplir con los requisitos exigidos por nuestra
instructora.

39

CONFIGURACIN DE LAS REGLAS
Buscamos en nuestro servidor TMG, la pestaa de Directiva de firewall clic derecho New Regla
de acceso.

Le colocamos un nombre de acceso a nuestra regla para identificarla Next



40

Seleccionamos la opcin de Permitir Next

Ahora vamos a especificar que protocolos vamos a permitir, para esto damos clic en Agregar

41

Buscamos la carpeta Infraestructura...

Dentro de la carpeta Infraestructura buscamos el protocolo ICMP (PING) Agregar Cerrar


42

Next...

Ahora vamos a especificar el origen del trfico, para esto damos clic en Agregar

43

Abrimos la carpeta Redes y seleccionamos la red Perimetral (DMZ) Agregar Cerrar

Next...


44

Ahora vamos a especificar el Destino del trfico, para esto damos clic en Agregar

Abrimos la carpeta Redes y seleccionamos la red del Host local Agregar Cerrar


45

Next...

Todos los usuarios Next

46

Finish...

Aplicamos los cambios.





47

Ahora vamos a permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT

Nombramos la regla Next



48

Seleccionamos la opcin de Permitir Next

Ahora vamos a especificar los protocolos que vamos a permitir Agregar

49

Buscamos la carpeta Todos los protocolos

Agregamos los Protocolos FTP HTTP HTTPS

50

Next...

Seleccionamos la siguiente opcin Next


51

Seleccionamos el Origen de trfico (Interna) Next

Seleccionamos el Destino del trfico (Perimetral) Next


52

Todos los usuarios Next

Finish. No olvidemos aplicar los cambios


53

Ahora vamos a modificar el FTP para acceder de forma Activa
Para esto nos dirigimos a la pestaa Sistema Filtros de aplicacin Filtro de acceso a FTP Clic
derecho Propiedades

En la pestaa Propiedades de FTP Seleccionamos la casilla Permitir acceso a FTP activo Aplicar-
Ok


54

Vamos a modificar el FTP en la regla creada anteriormente

Le quitamos la seleccin a la casilla que dice solo lectura Aplicar Ok

55

Ahora vamos a permitir el acceso a los servicios de internet desde LAN haciendo NAT

Nombramos nuestra regla de acceso Next



56

Permitir Next

Agregamos los siguientes protocolos Next


57

Seleccionamos la siguiente opcin Next

Agregamos el origen de trfico (Interna) Next

58

Agregamos el Destino de trfico (Externa) Next

Todos los usuarios Next

59

Finish...

Vamos a modificar el FTP


60

Le quitamos la seleccin a la casilla que dice solo lectura Aplicar Ok. No olvidemos aplicar los
cambios.

Ahora crearemos una regla para hacer PAT a los servicios de la DMZ para que sean vistos desde
internet usando direccin pblica fija.
Para esto nos dirigimos a la pestaa Directiva de Firewall Tares Publicar sitios web




61

Nombramos la Regla Next

Seleccionamos la opcin de Permitir Next



62

Seleccionamos la siguiente opcin Next

Seleccionamos la siguiente opcin Next

63

Especificamos la direccin IP de nuestro servidor de la DMZ Next

Lo dejamos por defecto Next


64

Seleccionamos la siguiente opcin Next

Procedemos entonces a crear una configuracin para la escucha web


65

Nombramos la nueva escucha de web Next

Seleccionamos la siguiente opcin Next

66

Seleccionamos que va escuchar las solicitudes que vengan de la red Externa Next

Sin autenticacin

67

Next...

Finish...

68

Podemos observar que asigna la configuracin del WEB-DMZ-LISTENER creado anteriormente -
Next

Seleccionamos la siguiente opcin Next

69

Todos los usuarios Next

Finish. No olvidemos aplicar los cambios

70

Vamos a hacer una configuracin adicional respecto a la autenticacin, para evitar un problema del
TMG

Seleccionamos la pestaa de Escucha Propiedades


71

Autenticacin Opciones avanzadas

Seleccionamos la casilla de permitir la autenticacin Aplicar Ok. No olvidemos aplicar los
cambios.

72

Ahora procedemos a publicar nuestro otro servicio (FTP), lo hacemos de la siguiente forma

Nombramos nuestra regla Next


73

Especificamos la direccin IP del servidor FTP de la DMZ Next

Seleccionamos el protocolo FTP Next


74

Seleccionamos la Red Externa Next

Finish. No olvidemos aplicar los cambios


75

Ahora vamos a permitir NAT desde la DMZ para salir a los servicios de internet

Nombramos nuestra nueva regla Next


76

Permitir Next

Agregamos los siguientes protocolos Next


77

Seleccionamos la siguiente opcin Next

Agregamos el Origen de trfico (Perimetral) Next

78

Agregamos el Destino de trfico (Externa) Next

Todos los usuarios Next

79

Finish. No olvidemos aplicar los cambios.



80

PRUEBAS DE VERIFICACIN
MAQUINA LAN

Vamos a verificar desde nuestra LAN los servicios FTP y WEB de nuestra DMZ


Hacemos pruebas accediendo a nuestro servidor FTP de forma Activa con la direccin del DMZ

81

Vamos a verificar desde nuestra LAN los servicios FTP y WEB de nuestra WAN


Ahora vamos a hacer pruebas desde el cliente LAN al servidor FTP activo de la WAN

MAQUINA DMZ




82

Vamos a hacerle ping a nuestra puerta de enlace 192.168.210.1 que es la direccin IP configurada
en el servidor TMG.

Verificamos desde nuestra DMZ los servicios Web FTP de la maquina WAN


MAQUINA WAN


83

Vamos a hacer pruebas desde la mquina WAN, accediendo a los servicios Web FTP publicados
de la DMZ, que deben tener una direccin IP pblica (209.165.200.1).


Probamos acceso al servidor FTP activo publicado (209.165.200.1)


84

CONCLUSIONES
Implementamos un Firewall en Windows server 2008 R2 por medio del software Microsoft
Forefront TMG, es fcil de manejar y adems nos ofrece variedad de servicios que nos
pueden servir en un futuro.

Identificamos la manera en cmo funciona un Firewall en Windows y adems logramos
reconocer una de los software ms estables que me ofrecen la opcin de seguridad
perimetral entre varias redes internas.

Conocimos una nueva plataforma que nos permite no solo configurar y administrar trfico de
red, sino que tambin nos ofrece muchas cosas que ms adelante nos pueden ser de
utilidad.

Recordar que el trafico HTTPS es un protocolo ms que permite la comunicacin entre
muchos sitios web que ahora implementan dicho protocolo.

El Forefront tambin puede ser un muy buen antivirus para trfico web por lo tanto es muy
importante mantener actualizado las definiciones de virus para este servicio.


85

WEBGRAFIA
http://jimcesse.wordpress.com/2012/02/02/port-forwarding-en-forefront-tmg/

http://technet.microsoft.com/en-us/library/cc995257.aspx

http://technet.microsoft.com/en-us/library/cc995179.aspx

http://araihan.wordpress.com/2010/03/08/forefront-tmg-2010-how-to-install-and-
configure-forefront-tmg-2010-step-by-step/

http://www.windowsnetworking.com/articles-tutorials/windows-server-2008/configure-
Windows-Server-2008-advanced-firewall-MMC-snap-in.html

http://www.bujarra.com/instalacion-y-configuracion-de-microsoft-forefront-tmg-para-
acceso-de-owa-seguro/

http://esihere.wordpress.com/2011/03/14/static-nat-on-forefront-tmg-2010/