SERVICIO NACIONAL DE APRENDIZAJE SENA CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL TECNOLOGA EN GESTIN DE REDES DE DATOS
FICHA 464324
MEDELLN, ANTIOQUA
2014
2
TABLA DE CONTENIDO INTRODUCCIN............................................................................................................................... 3 TOPOLOGA A IMPLEMENTAR....................................................................................................... 4 INSTALACIN DE TMG.................................................................................................................... 5 CONFIGURACIN DE LAS REGLAS.............................................................................................. 39 PRUEBAS DE VERIFICACIN........................................................................................................ 80 CONCLUSIONES............................................................................................................................. 84 WEBGRAFA.................................................................................................................................... 85
3
INTRODUCCIN Microsoft Forefront Threat Management Gateway (TMG) es un completo Gateway de seguridad web desarrollado por Microsoft que ayuda a proteger a las empresas de las amenazas que existen actualmente en internet. Simple manejo e interfaz con la que se puede habilitar una seguridad perimetral perfecta a prueba de ataques gracias al firewall integrado, VPN, prevencin de accesos no autorizados, antivirus y anti-spam. Microsoft Forefront TMG estar tambin integrado en la nueva suite completa de Forefront conocida con el nombre en clave de Microsoft Forefront STIRLING. Los firewalls tambin conocidos como cortafuegos pueden ser dispositivos fsicos o software que cumple funciones de filtrado de paquetes en un computador (firewall personal) o en una red (firewall de red). Existen firewalls stateless y statefull siendo su principal diferencia el manejo de tablas dinmicas en memoria que logran asociar conexiones establecidas entre los nodos de una red. Generalmente los firewalls funcionan en la capa 3, 4 y 5 del modelo OSI, permitiendo filtrar direcciones IP, PROTOCOLOS Y PUERTOS, como tambin conexiones establecidas o por establecerse con cualquiera de estos servicios.
4
TOPOLOGA A IMPLEMENTAR
Requisitos (Reglas) Ubicar al menos dos servicios tanto en DMZ como en Internet (WAN). Las direcciones de internet (WAN) deben ser pblicas, las de LAN y DMZ privadas. Permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT. Permitir el acceso a los servicios de internet (WAN) desde LAN haciendo NAT. Hacer PAT a los servicios de la DMZ para que sean vistos desde internet (WAN) usando direccin pblica fija. Permitir NAT desde la DMZ para salir a los servicios de internet (WAN).
5
INSTALACIN DE TMG Lo primero que haremos ser descargar de la pgina oficial de Microsoft el software que necesitamos, para esto podemos ingresar al siguiente enlace: http://www.microsoft.com/es-es/download/details.aspx?id=14238 Seleccionamos el idioma que deseamos y damos clic en Descargar
Escogemos el archivo que deseamos descargar, en este caso seleccionamos la primera opcin y esperamos a que se descargue nuestro TMG, esto tarda aproximadamente 2 horas.
Cuando ya tengamos descargado nuestro TMG comenzaremos a instalarlo. Debemos de tener en cuenta que necesitaremos varias mquinas virtuales que son: el DMZ, la LAN, la WAN y el FIREWALL (TMG). Cada uno debe de tener el adaptador de red en red internet y tienen que tener un nombre diferente cada uno. La mquina del Firewall TMG debe ser Windows Server 2008R2 y debe estar completamente limpia sin ninguna configuracin y sin ningn servicio instalado. NOTA: Antes de comenzar a instalar el TMG recomiendo desinstalar el Windows Internet Explorer 9 para que mediante la instalacin del TMG no nos vaya a ocurrir un error el cual nos daara la instalacin del TMG y deberamos comenzar nuevamente (crear otra mquina). El error que nos aparecer es el siguiente: 6
Para arreglar el error nos dirigimos a inicio Panel de control
Programas Desinstalar un programa
7
Buscamos Windows Internet Explorer 9
Lo seleccionamos le damos clic derecho desinstalar
Nos pregunta que si estamos seguros de desinstalarlo le decimos que si
8
Esperamos a que se desinstale
Al terminar nos aparecer la siguiente venta. Le damos clic en Reiniciar Ahora.
Recordemos que nuestro TMG Firewall debe ser una mquina de Windows server 2008R2, y debe tener agregado 3 adaptadores de Red, configurados de la siguiente manera: Adaptador 1 (LAN)
9
Adaptador 2 (DMZ)
Adaptador 3 (WAN)
10
Encendemos nuestra Mquina y nos dirigimos a ver las tarjetas de red que posee nuestra mquina, recomiendo que para evitar errores o confusiones le coloquemos un nombre a cada adaptador para identificarlo. Luego de colocarle el nombre a cada adaptador le configuramos las direcciones Ip a cada uno.
Al terminar de configurar las ip a cada adaptador nos dirigimos al smbolo del sistema y copiamos ipconfig para ver la configuracin realizada a cada adaptador.
Ahora comenzaremos a instalar nuestro TMG.
11
Nos aparece la Bienvenida a la instalacin del TMG, damos clic en Siguiente.
Nos aparecer una ventana donde nos informa el lugar donde se guardaran los archivos del TMG, dejamos la ruta por defecto y damos clic en Siguiente.
12
Esperamos a que se extraigan los archivos.
Damos clic en ejecutar la herramienta de preparacin, para descargar e instalar las caractersticas necesarias de TMG.
13
Next...
Aceptamos los trminos de licencia y damos clic en Next.
14
Seleccionamos el tipo de instalacin que necesitamos, en esta ocasin elegimos la primera opcin.
Luego comenzara la instalacin de las herramientas necesarias y cuando termine nos aparecer una ventana que nos indica que se complet la instalacin de los requisitos previos.
15
Dejamos seleccionado la casilla Iniciar el asistente para la instalacin de Forefront TMG y damos clic en Finalizar
Ahora se abrir el asistente para la instalacin de Forefront TMG, damos clic en siguiente.
16
Aceptamos los trminos de licencia Siguiente
Dejamos esto por defecto Siguiente
17
Siguiente...
En esta parte vamos a agregar nuestra Red Interna (LAN). Para esto damos clic en Agregar
18
Damos clic en Agregar adaptador
Seleccionamos solamente la red LAN aceptar
19
Aceptar...
Siguiente...
20
Siguiente...
Instalar...
21
Esperamos a que se instalen las caractersticas necesarias.
Esperamos a que se terminen de instalar los componentes adicionales, esto puede tardar varios minutos.
22
Cuando finalice el asistente, dejamos seleccionado la opcin Iniciar la Administracin de Forefront TMG y damos clic en Finalizar.
Comenzaremos configurando las opciones de red, para esto damos clic en el primer recuadro.
23
Next...
Ahora procedemos a escoger la platilla de red que vamos a utilizar, en este caso elegimos la opcin Permetro de 3 secciones debido a que necesitaremos una zona perimetral, una red interna y otra que sea la WAN.
24
Seleccionamos el Adaptador de Red LAN - Next
Seleccionamos el Adaptador de Red WAN (Internet) Next
25
Seleccionamos el Adaptador de Red Perimetral (DMZ) Next
Verificamos que todo este correcto y damos clic en Finalizar
26
Una vez terminado nos volver a aparecer el asistente de introduccin y la primera opcin estar completa, continuaremos con la configuracin de las opciones del sistema.
Next...
27
Lo dejamos por defecto Next
Finish...
28
Una vez terminado nos volver a aparecer el asistente de introduccin y tanto la primera opcin como la segunda estarn completas, continuaremos con Definir opciones de implementacin.
Next...
29
Seleccionamos la siguiente opcin Next
Nos pedir confirmar si deseamos continuar, damos clic en si
30
Lo dejamos por defecto Next
Seleccionamos la opcin resalta Next
31
Seleccionamos la opcin resaltada Next.
Finish...
32
Al finalizar tendremos los tres tem del asistente de introduccin configurados, ahora continuamos configurando el asistente para acceso web, para esto seleccionamos la casilla de Ejecutar el Asistente para acceso web y damos clic en cerrar.
Se abrir el asistente para directivas de acceso web, nos aparecer los componentes que debemos definir Next
33
Seleccionamos la siguiente opcin Next
Next...
34
Seleccionamos la siguiente opcin Next
Seleccionamos las siguientes opciones Next
35
Vamos a configurar las Unidades de cach
Le configuramos 200MB, Damos clic en establecer, aplicar Ok
36
Next...
Finish...
37
Se nos abrir la consola de administracin de Microsoft Forefront TMG, lo primero que debemos hacer es aplicar los cambios.
Cuando le demos aplicar, nos abrir la siguiente ventana, seleccionamos la opcin Guardar los cambios y reiniciar los servicios Aceptar.
38
Seleccionamos la opcin de No volver a preguntar Aplicar
Esperamos a que se guarden los cambios Aceptar
De esta manera hemos terminado de instalar nuestro TMG Firewall. Ahora comenzaremos a crear las reglas que necesitamos implementar para cumplir con los requisitos exigidos por nuestra instructora.
39
CONFIGURACIN DE LAS REGLAS Buscamos en nuestro servidor TMG, la pestaa de Directiva de firewall clic derecho New Regla de acceso.
Le colocamos un nombre de acceso a nuestra regla para identificarla Next
40
Seleccionamos la opcin de Permitir Next
Ahora vamos a especificar que protocolos vamos a permitir, para esto damos clic en Agregar
41
Buscamos la carpeta Infraestructura...
Dentro de la carpeta Infraestructura buscamos el protocolo ICMP (PING) Agregar Cerrar
42
Next...
Ahora vamos a especificar el origen del trfico, para esto damos clic en Agregar
43
Abrimos la carpeta Redes y seleccionamos la red Perimetral (DMZ) Agregar Cerrar
Next...
44
Ahora vamos a especificar el Destino del trfico, para esto damos clic en Agregar
Abrimos la carpeta Redes y seleccionamos la red del Host local Agregar Cerrar
45
Next...
Todos los usuarios Next
46
Finish...
Aplicamos los cambios.
47
Ahora vamos a permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT
Nombramos la regla Next
48
Seleccionamos la opcin de Permitir Next
Ahora vamos a especificar los protocolos que vamos a permitir Agregar
49
Buscamos la carpeta Todos los protocolos
Agregamos los Protocolos FTP HTTP HTTPS
50
Next...
Seleccionamos la siguiente opcin Next
51
Seleccionamos el Origen de trfico (Interna) Next
Seleccionamos el Destino del trfico (Perimetral) Next
52
Todos los usuarios Next
Finish. No olvidemos aplicar los cambios
53
Ahora vamos a modificar el FTP para acceder de forma Activa Para esto nos dirigimos a la pestaa Sistema Filtros de aplicacin Filtro de acceso a FTP Clic derecho Propiedades
En la pestaa Propiedades de FTP Seleccionamos la casilla Permitir acceso a FTP activo Aplicar- Ok
54
Vamos a modificar el FTP en la regla creada anteriormente
Le quitamos la seleccin a la casilla que dice solo lectura Aplicar Ok
55
Ahora vamos a permitir el acceso a los servicios de internet desde LAN haciendo NAT
Nombramos nuestra regla de acceso Next
56
Permitir Next
Agregamos los siguientes protocolos Next
57
Seleccionamos la siguiente opcin Next
Agregamos el origen de trfico (Interna) Next
58
Agregamos el Destino de trfico (Externa) Next
Todos los usuarios Next
59
Finish...
Vamos a modificar el FTP
60
Le quitamos la seleccin a la casilla que dice solo lectura Aplicar Ok. No olvidemos aplicar los cambios.
Ahora crearemos una regla para hacer PAT a los servicios de la DMZ para que sean vistos desde internet usando direccin pblica fija. Para esto nos dirigimos a la pestaa Directiva de Firewall Tares Publicar sitios web
61
Nombramos la Regla Next
Seleccionamos la opcin de Permitir Next
62
Seleccionamos la siguiente opcin Next
Seleccionamos la siguiente opcin Next
63
Especificamos la direccin IP de nuestro servidor de la DMZ Next
Lo dejamos por defecto Next
64
Seleccionamos la siguiente opcin Next
Procedemos entonces a crear una configuracin para la escucha web
65
Nombramos la nueva escucha de web Next
Seleccionamos la siguiente opcin Next
66
Seleccionamos que va escuchar las solicitudes que vengan de la red Externa Next
Sin autenticacin
67
Next...
Finish...
68
Podemos observar que asigna la configuracin del WEB-DMZ-LISTENER creado anteriormente - Next
Seleccionamos la siguiente opcin Next
69
Todos los usuarios Next
Finish. No olvidemos aplicar los cambios
70
Vamos a hacer una configuracin adicional respecto a la autenticacin, para evitar un problema del TMG
Seleccionamos la pestaa de Escucha Propiedades
71
Autenticacin Opciones avanzadas
Seleccionamos la casilla de permitir la autenticacin Aplicar Ok. No olvidemos aplicar los cambios.
72
Ahora procedemos a publicar nuestro otro servicio (FTP), lo hacemos de la siguiente forma
Nombramos nuestra regla Next
73
Especificamos la direccin IP del servidor FTP de la DMZ Next
Seleccionamos el protocolo FTP Next
74
Seleccionamos la Red Externa Next
Finish. No olvidemos aplicar los cambios
75
Ahora vamos a permitir NAT desde la DMZ para salir a los servicios de internet
Nombramos nuestra nueva regla Next
76
Permitir Next
Agregamos los siguientes protocolos Next
77
Seleccionamos la siguiente opcin Next
Agregamos el Origen de trfico (Perimetral) Next
78
Agregamos el Destino de trfico (Externa) Next
Todos los usuarios Next
79
Finish. No olvidemos aplicar los cambios.
80
PRUEBAS DE VERIFICACIN MAQUINA LAN
Vamos a verificar desde nuestra LAN los servicios FTP y WEB de nuestra DMZ
Hacemos pruebas accediendo a nuestro servidor FTP de forma Activa con la direccin del DMZ
81
Vamos a verificar desde nuestra LAN los servicios FTP y WEB de nuestra WAN
Ahora vamos a hacer pruebas desde el cliente LAN al servidor FTP activo de la WAN
MAQUINA DMZ
82
Vamos a hacerle ping a nuestra puerta de enlace 192.168.210.1 que es la direccin IP configurada en el servidor TMG.
Verificamos desde nuestra DMZ los servicios Web FTP de la maquina WAN
MAQUINA WAN
83
Vamos a hacer pruebas desde la mquina WAN, accediendo a los servicios Web FTP publicados de la DMZ, que deben tener una direccin IP pblica (209.165.200.1).
Probamos acceso al servidor FTP activo publicado (209.165.200.1)
84
CONCLUSIONES Implementamos un Firewall en Windows server 2008 R2 por medio del software Microsoft Forefront TMG, es fcil de manejar y adems nos ofrece variedad de servicios que nos pueden servir en un futuro.
Identificamos la manera en cmo funciona un Firewall en Windows y adems logramos reconocer una de los software ms estables que me ofrecen la opcin de seguridad perimetral entre varias redes internas.
Conocimos una nueva plataforma que nos permite no solo configurar y administrar trfico de red, sino que tambin nos ofrece muchas cosas que ms adelante nos pueden ser de utilidad.
Recordar que el trafico HTTPS es un protocolo ms que permite la comunicacin entre muchos sitios web que ahora implementan dicho protocolo.
El Forefront tambin puede ser un muy buen antivirus para trfico web por lo tanto es muy importante mantener actualizado las definiciones de virus para este servicio.