Configuración Inicial de Forefront Threat Management Gateway (TMG)

Contenido

1.    Introducción.. 1

2.    Requisito Previo A La Configuración: RRAS (LAN Router). 1

3.    Asistente de comienzo.. 1

3.1    Configuración de red. 1

3.2    Configuración del sistema. 3

3.3    Opciones de despliegue. 4

4.    Asistente de acceso Web.. 7

5.    Configuración personalizada.. 13

5.1    Permitir los reenviadores. 13

1.    Introducción

Este documento tiene por finalidad indicar la configuración inicial de Forefront Threat Management Gateway (TMG), una vez realizada la instalación, en un entorno de dominio, de forma que de acceso a Internet al dominio, protegiendo el tráfico de amenazas de malware.

Para instalar TMG, nos podemos bajar la versión incluída en la evaluación de la Beta de Microsoft Forefront Codename Stirling.

2.    Requisito Previo A La Configuración: RRAS (LAN Router)

Una vez instalado TMG, es necesario habilitar RRAS. En el asistente se selecciona configuración personalizada y se habilita LAN router.

3.    Asistente de comienzo

Una configurado RRAS como enrutador LAN, se lanza la configuración de Forefront Threat Management Gateway, con el asistente de comienzo. Éste presenta la pantalla de bienvenida, en la que se puede lanzar la configuración de tres partes:

1.    Configuración de red.

2.    Configuración del sistema.

3.    Opciones de despliege.

Forefront TMG-01.jpg

3.1    Configuración de red

Una vez pulsamos en el cuadro de diálogo de bienvenida la opción de configuración de red, se abre el asistente de configuración de red de TMG, mostrando la pantalla de bienvenida:

Forefront TMG-02.jpg

Pulsamos siguiente, lo que nos lleva al cuadro de diálogo de selección de plantilla de configuración, que presenta 4 opciones:

1.    Servidor de perímetro.

2.    Servidor de perímetro de tres redes.

3.    Cortafuegos trasero.

4.    Un solo adaptador de red.

Forefront TMG-03.jpg

En la configuración  que pretendemos, seleccionaremos la primera opción, es decir, servidor de perímetro y pulsamos siguiente. Esto nos sitúa en el cuadro de diálogo de configuración de la red local, donde especificamos el adaptador de red conectado a la red privada y añadiremos aquellos segmentos de red que sean de la LAN y en los cuales no esté la configuración propia del adaptador:

Forefront TMG-04.jpg

En nuestro caso seleccionaremos el adaptador de la red privada y no agregaremos ningún segmento de red más. Pulsamos siguiente lo que nos lleva al cuadro de diálogo de configuración de Internet, en el que seleccionaremos el adaptador de red público:

Forefront TMG-05.jpg

Se puede especificar las propiedades de TCP/IP de este adaptador o dejarlas como dinámicas; en nuestro caso las dejamos como dinámicas. Pulsamos siguiente y el asistente se sitúa en el cuadro de diálogo de resumen de configuración, en el que pulsamos finalizar:

Forefront TMG-06.jpg

3.2    Configuración del sistema

Una vez configurada la red, se presenta de nuevo el cuadro de diálogo de bienvenida a la configuración de TMG:

Forefront TMG-07.jpg

Pulsamos en la configuración del sistema. Esto abre el asistente de configuración del sistema, que presenta la pantalla de bienvenida:

Forefront TMG-08.jpg

Pulsamos siguiente, lo que nos sitúa en el cuadro de diálogo de identificación del servidor, en el que dejaremos el nombre de máquina, que estará escrito ya de forma automática. El asistente detecta que el servidor es miembro de un dominio y por ello tiene ya seleccionado la opción de miembro de dominio y el nombre del dominio al que pertenece ya cumplimentado. También podemos observar que muestra el sufijo DNS del equipo. Pulsamos siguiente, lo que no lleva al cuadro de diálogo de resumen de configuración del sistema:

Forefront TMG-10.jpg

Pulsamos finalizar y se cierra el asistente de configuración del sistema.

3.3    Opciones de despliegue

Una vez finalizado el asistente de configuración del sistema, aparece de nuevo la pantalla de bienvenida de configuración de TMG:

Forefront TMG-11.jpg

Pulsamos en la configuración de despliegue, lo que abre el asistente de configuración del despliegue en el cuadro de diálogo de bienvenida:

Forefront TMG-12.jpg

Pulsamos siguiente, lo que nos sitúa en el cuadro de diálogo de configuración de actualizaciones de Windows:

Forefront TMG-13.jpg

Seleccionamos usar Microsoft Update y pulsamos siguiente, lo que nos lleva al cuadro de diálogo de definición de opciones de actualización:

Forefront TMG-14.jpg

Dejamos las opciones predeterminadas y pulsamos siguiente, lo que nos sitúa en el cuadro de diálogo de retroalimentación del usuario a Microsoft:

Forefront TMG-15.jpg

Al tratarse de una versión Beta, debemos dejar marcada la opción de suministrar retroalimentación a Microsoft y pulsamos siguiente lo que hace que el asistente vaya al cuadro de diálogo de configuración del servicio de telemetría de Microsoft, que permite a Microsoft recibir información de uso:

Forefront TMG-16.jpg

En este caso nos uniremos con una cuenta avanzada, que permitirá a Microsoft recibir más información. Pulsamos siguiente y aparece el cuadro de diálogo de resumen del asistente de configuración de despliegue:

Forefront TMG-17.jpg

Una vez cerrado el asistente se ve de nuevo el cuadro de diálogo de bienvenida del asistente de comienzo:

Forefront TMG-18.jpg

Como podemos contemplar, ha cambiado y ahora comunica que se ha completado y muestra una casilla de verificación que permite que se lance el asistente de acceso Web cuando se cierre este cuadro de diálogo. Verificamos que esté marcado y pulsamos cerrar.

4.    Asistente de acceso Web

Al cerrar el cuadro de diálogo del asistente de comienzo, teniendo marcada la casilla de ejecutar el asistente de acceso Web, se ejecuta éste y se sitúa en el cuadro de diálogo de bienvenida:

Forefront TMG-19.jpg

Pulsamos siguiente, lo que nos sitúa en el cuadro de diálogo de protección Web:

Forefront TMG-20.jpg

Dejamos marcada la opción de habilitar la inspección de Malware en el tráfico HTTP. Pulsamos siguiente, lo que lleva al cuadro de diálogo de selección del tipo de política de acceso:

Forefront TMG-21.jpg

Vamos a crear una política personalizada, así que seleccionamos la segunda opción y pulsamos siguiente. El asistente pasa ahora al cuadro de diálogo de grupos de política de acceso:

Forefront TMG-22.jpg

Este cuadro de diálogo nos permite establecer qué tipo de control de acceso vamos a permitir:

1.    Acceso que requiere autenticación (usuarios y grupos exclusivamente).

2.    Acceso que no requiere autenticación (IPs y subredes exclusivamente).

3.    Acceso autenticado y sin autenticar. (usuarios, grupos, IPs y subredes).

Para poder tener más opciones, seleccionaremos el tercer tipo. Pulsamos siguiente, lo que sitúa el asistente en el cuadro de diálogo de política predeterminada de acceso Web. En este cuadro de diálogo establecemos el comportamiento de TMG cuando una de petición Web no está explícitamente definida en la política:

Forefront TMG-23.jpg

Dejaremos permitir como acción predeterminada. Pulsamos siguiente, lo que coloca al asistente en el cuadro de diálogo de políticas de acceso anónimo:

Forefront TMG-24.jpg

En este cuadro de diálogo podemos establecer políticas de acceso que afecten a los clientes que acceden sin autenticarse. Por ejemplo, podríamos dejar acceso sólo a determinados destinos o denegar el acceso a otros. Si pulsamos el botón agregar, aparece el cuadro de diálogo de agregar política:

Forefront TMG-25.jpg

En él estableceríamos un nombre para la política, los orígenes a los que afecta (IPs, subredes, etc.), el tipo de política (de permitir o denegar) y las URLs, subredes, etc., de destino. En este caso hemos definido una política por la cual todos los equipos internos (servidor TMG incluido) tienen acceso concedido a Internet; una vez establecida, pulsamos aceptar, lo que nos lleva de nuevo al cuadro de diálogo de políticas de acceso anónimo:

Forefront TMG-26.jpg

Ahora vemos en la lista la política que acabamos de dar de alta. Podemos volver a hacer este proceso tantas veces como sea necesario. Una vez establecidas las políticas pulsamos siguiente. Esto llevará al asistente al cuadro de diálogo de políticas de acceso autenticado, muy similar al anterior en su operativa:

Forefront TMG-27.jpg

Al igual que en el caso de las políticas de acceso anónimo, pulsando agregar se mostrará el cuadro de diálogo de agregar política:

Creamos una directiva de acceso a internet e intranet para los usuarios autenticados y pulsamos aceptar, lo que nos devuelve al cuadro de diálogo de políticas de acceso autenticado, en el que veremos la política que acabamos de dar de alta en la lista:

Forefront TMG-29.jpg

Pulsamos siguiente, lo que establece la posición del asistente de política de acceso web en el cuadro de diálogo de configuración de inspección de malware:

Forefront TMG-30.jpg

Aquí estableceremos que se inspeccione el contenido Web y que se permita la entrega parcial de ficheros; no habilitaremos el bloqueo de ficheros encriptados. Pulsamos siguiente y el asistente pasa al cuadro de diálogo de configuración de la caché de Web:

Habilitaremos la caché, seleccionaremos el servidor y pulsaremos el botón de discos de caché, con lo que se abrirá el cuadro de diálogo de definición de discos de cache:

Forefront TMG-32.jpg

Establecemos un tamaño de 10 GBytes, pulsamos el botón de establecimiento de máximo tamaño de cache y el botón aceptar, lo que nos devuelve al cuadro de diálogo de configuración de cache de Web:

Forefront TMG-33.jpg

Pulsamos siguiente y el asistente se sitúa en el cuadro de diálogo de resumen de la configuración:

Forefront TMG-34.jpg

Pulsamos finalizar y se aplica la configuración.


5.    Configuración personalizada

Vamos a realizar determinadas tareas como son:

1.    Permitir al DC que utilice reenviadores

5.1    Permitir los reenviadores

Lo primero que haremos será definir como objetos las IPs de los servidores DNS del dominio y las de los reenviadores que utilizaremos, como miembros de dos conjuntos de equipos, los servidores DNS del dominio y los Reenviadores de DNS. Para ello, en la consola de administración de TMG, en el panel del árbol nos situamos en el nodo Firewall policy, en el panel de tareas hacemos clic en la pestaña Toolbox, hacemos clic derecho sobre Computer Sets y ejecutamos New Computer Set…:

Forefront TMG-46.jpg

Esto abre el cuadro de diálogo de nuevo elemento de regla de conjunto de equipos (en el ejemplo crearemos el conjunto de reenviadores):

Forefront TMG-47.jpg

En este cuadro de diálogo pulsaremos agregar y en el desplegable pulsaremos en equipo; se abre el cuadro de diálogo de elemento de regla de equipo, donde pondremos el nombre, la IP y una descripción:

Forefront TMG-36.jpg

Pulsamos OK y veremos creado el nuevo equipo. Repetimos este procedimiento con tantos reenviadores como queramos usar y con tantos servidores DNS como necesitemos dar de alta:

Forefront TMG-48.jpg

Una vez creado el conjunto se pulsa aceptar. El mismo procedimiento seguimos para crear un conjunto de los servidores DNS del dominio, con lo que en la lista de conjuntos de equipos quedará así:

Forefront TMG-49.jpg

 A continuación hacemos clic en el panel de tareas en la pestaña Tasks y clic en Create Access Rule:

Forefront TMG-38.jpg

Esto abrirá el asistente de nueva regla de acceso en cuadro de diálogo de bienvenida, en el cual escribiremos el nombre que queremos dar a la nueva regla:

Forefront TMG-50.jpg

Pulsamos siguiente y el asistente se ubica en el cuadro de diálogo de acción de la regla, en el que seleccionaremos permitir:

Forefront TMG-40.jpg

Pulsamos siguiente y el asistente se sitúa en el cuadro de diálogo de Protocolos:

Forefront TMG-41.jpg

Pulsamos el botón agregar y se abre el cuadro de diálogo de agregar protocolos:

Forefront TMG-42.jpg

En él desplegamos la carpeta Infrastructure, seleccionamos DNS y DNS Server, pulsamos agregar y pulsamos cerrar. Esto nos devuelve al cuadro de diálogo de protocolos:

Forefront TMG-43.jpg

A continuación pulsamos siguiente, lo que sitúa al asistente en el cuadro de diálogo de reglas de origen del tráfico:

Forefront TMG-44.jpg

Pulsamos en el botón agregar, lo que abre el cuadro de diálogo de agregar entidades de red:

Forefront TMG-51.jpg

Expandimos la carpeta Computer Sets, hacemos clic en Servidores DNS del domino y hacemos clic en el botón agregar y después en el botón cerrar. Con esto veremos que se ha agregado el conjunto de equipos:

Forefront TMG-52.jpg

Pulsamos siguiente, lo que lleva al asistente al cuadro de diálogo de destinos de regla de acceso, de operativa igual al del cuadro de diálogo de orígenes de regla de acceso. En este caso seleccionaremos los reenviadores:

Forefront TMG-53.jpg

Pulsamos siguiente y el asistente se sitúa en el cuadro de diálogo de conjuntos de usuarios a los que se aplica la regla, el cual dejaremos tal y como se presenta, con el conjunto All Users:

Forefront TMG-54.jpg

Pulsamos siguiente y el asistente se va al cuadro de diálogo de resumen, en el que pulsaremos finalizar:

Forefront TMG-55.jpg

Una vez creada la regla, aplicamos los cambios:

Forefront TMG-56.jpg

Una vez aplicados los cambios pulsamos el botón aceptar:

Forefront TMG-57.jpg

Con esto ya habremos configurado los reenviadores y con ello la salida a Internet estará completada.