Configuración Inicial de Forefront Threat Management Gateway (TMG)
Contenido
2. Requisito Previo A La Configuración: RRAS (LAN Router)
Este documento tiene por finalidad indicar la configuración inicial de Forefront Threat Management Gateway (TMG), una vez realizada la instalación, en un entorno de dominio, de forma que de acceso a Internet al dominio, protegiendo el tráfico de amenazas de malware.
Para instalar TMG, nos podemos bajar la versión incluída en la evaluación de la Beta de Microsoft Forefront Codename Stirling.
Una vez instalado TMG, es necesario habilitar RRAS. En el asistente se selecciona configuración personalizada y se habilita LAN router.
Una configurado RRAS como enrutador LAN, se lanza la configuración de Forefront Threat Management Gateway, con el asistente de comienzo. Éste presenta la pantalla de bienvenida, en la que se puede lanzar la configuración de tres partes:
1. Configuración de red.
2. Configuración del sistema.
3. Opciones de despliege.
Una vez pulsamos en el cuadro de diálogo de bienvenida la opción de configuración de red, se abre el asistente de configuración de red de TMG, mostrando la pantalla de bienvenida:
Pulsamos siguiente, lo que nos lleva al cuadro de diálogo de selección de plantilla de configuración, que presenta 4 opciones:
1. Servidor de perímetro.
2. Servidor de perímetro de tres redes.
3. Cortafuegos trasero.
4. Un solo adaptador de red.
En la configuración que pretendemos, seleccionaremos la primera opción, es decir, servidor de perímetro y pulsamos siguiente. Esto nos sitúa en el cuadro de diálogo de configuración de la red local, donde especificamos el adaptador de red conectado a la red privada y añadiremos aquellos segmentos de red que sean de la LAN y en los cuales no esté la configuración propia del adaptador:
En nuestro caso seleccionaremos el adaptador de la red privada y no agregaremos ningún segmento de red más. Pulsamos siguiente lo que nos lleva al cuadro de diálogo de configuración de Internet, en el que seleccionaremos el adaptador de red público:
Se puede especificar las propiedades de TCP/IP de este adaptador o dejarlas como dinámicas; en nuestro caso las dejamos como dinámicas. Pulsamos siguiente y el asistente se sitúa en el cuadro de diálogo de resumen de configuración, en el que pulsamos finalizar:
Una vez configurada la red, se presenta de nuevo el cuadro de diálogo de bienvenida a la configuración de TMG:
Pulsamos en la configuración del sistema. Esto abre el asistente de configuración del sistema, que presenta la pantalla de bienvenida:
Pulsamos siguiente, lo que nos sitúa en el cuadro de diálogo de identificación del servidor, en el que dejaremos el nombre de máquina, que estará escrito ya de forma automática. El asistente detecta que el servidor es miembro de un dominio y por ello tiene ya seleccionado la opción de miembro de dominio y el nombre del dominio al que pertenece ya cumplimentado. También podemos observar que muestra el sufijo DNS del equipo. Pulsamos siguiente, lo que no lleva al cuadro de diálogo de resumen de configuración del sistema:
Pulsamos finalizar y se cierra el asistente de configuración del sistema.
Una vez finalizado el asistente de configuración del sistema, aparece de nuevo la pantalla de bienvenida de configuración de TMG:
Pulsamos en la configuración de despliegue, lo que abre el asistente de configuración del despliegue en el cuadro de diálogo de bienvenida:
Pulsamos siguiente, lo que nos sitúa en el cuadro de diálogo de configuración de actualizaciones de Windows:
Seleccionamos usar Microsoft Update y pulsamos siguiente, lo que nos lleva al cuadro de diálogo de definición de opciones de actualización:
Dejamos las opciones predeterminadas y pulsamos siguiente, lo que nos sitúa en el cuadro de diálogo de retroalimentación del usuario a Microsoft:
Al tratarse de una versión Beta, debemos dejar marcada la opción de suministrar retroalimentación a Microsoft y pulsamos siguiente lo que hace que el asistente vaya al cuadro de diálogo de configuración del servicio de telemetría de Microsoft, que permite a Microsoft recibir información de uso:
En este caso nos uniremos con una cuenta avanzada, que permitirá a Microsoft recibir más información. Pulsamos siguiente y aparece el cuadro de diálogo de resumen del asistente de configuración de despliegue:
Una vez cerrado el asistente se ve de nuevo el cuadro de diálogo de bienvenida del asistente de comienzo:
Como podemos contemplar, ha cambiado y ahora comunica que se ha completado y muestra una casilla de verificación que permite que se lance el asistente de acceso Web cuando se cierre este cuadro de diálogo. Verificamos que esté marcado y pulsamos cerrar.
Al cerrar el cuadro de diálogo del asistente de comienzo, teniendo marcada la casilla de ejecutar el asistente de acceso Web, se ejecuta éste y se sitúa en el cuadro de diálogo de bienvenida:
Pulsamos siguiente, lo que nos sitúa en el cuadro de diálogo de protección Web:
Dejamos marcada la opción de habilitar la inspección de Malware en el tráfico HTTP. Pulsamos siguiente, lo que lleva al cuadro de diálogo de selección del tipo de política de acceso:
Vamos a crear una política personalizada, así que seleccionamos la segunda opción y pulsamos siguiente. El asistente pasa ahora al cuadro de diálogo de grupos de política de acceso:
Este cuadro de diálogo nos permite establecer qué tipo de control de acceso vamos a permitir:
1. Acceso que requiere autenticación (usuarios y grupos exclusivamente).
2. Acceso que no requiere autenticación (IPs y subredes exclusivamente).
3. Acceso autenticado y sin autenticar. (usuarios, grupos, IPs y subredes).
Para poder tener más opciones, seleccionaremos el tercer tipo. Pulsamos siguiente, lo que sitúa el asistente en el cuadro de diálogo de política predeterminada de acceso Web. En este cuadro de diálogo establecemos el comportamiento de TMG cuando una de petición Web no está explícitamente definida en la política:
Dejaremos permitir como acción predeterminada. Pulsamos siguiente, lo que coloca al asistente en el cuadro de diálogo de políticas de acceso anónimo:
En este cuadro de diálogo podemos establecer políticas de acceso que afecten a los clientes que acceden sin autenticarse. Por ejemplo, podríamos dejar acceso sólo a determinados destinos o denegar el acceso a otros. Si pulsamos el botón agregar, aparece el cuadro de diálogo de agregar política:
En él estableceríamos un nombre para la política, los orígenes a los que afecta (IPs, subredes, etc.), el tipo de política (de permitir o denegar) y las URLs, subredes, etc., de destino. En este caso hemos definido una política por la cual todos los equipos internos (servidor TMG incluido) tienen acceso concedido a Internet; una vez establecida, pulsamos aceptar, lo que nos lleva de nuevo al cuadro de diálogo de políticas de acceso anónimo:
Ahora vemos en la lista la política que acabamos de dar de alta. Podemos volver a hacer este proceso tantas veces como sea necesario. Una vez establecidas las políticas pulsamos siguiente. Esto llevará al asistente al cuadro de diálogo de políticas de acceso autenticado, muy similar al anterior en su operativa:
Al igual que en el caso de las políticas de acceso anónimo, pulsando agregar se mostrará el cuadro de diálogo de agregar política:
Creamos una directiva de acceso a internet e intranet para los usuarios autenticados y pulsamos aceptar, lo que nos devuelve al cuadro de diálogo de políticas de acceso autenticado, en el que veremos la política que acabamos de dar de alta en la lista:
Pulsamos siguiente, lo que establece la posición del asistente de política de acceso web en el cuadro de diálogo de configuración de inspección de malware:
Aquí estableceremos que se inspeccione el contenido Web y que se permita la entrega parcial de ficheros; no habilitaremos el bloqueo de ficheros encriptados. Pulsamos siguiente y el asistente pasa al cuadro de diálogo de configuración de la caché de Web:
Habilitaremos la caché, seleccionaremos el servidor y pulsaremos el botón de discos de caché, con lo que se abrirá el cuadro de diálogo de definición de discos de cache:
Establecemos un tamaño de 10 GBytes, pulsamos el botón de establecimiento de máximo tamaño de cache y el botón aceptar, lo que nos devuelve al cuadro de diálogo de configuración de cache de Web:
Pulsamos siguiente y el asistente se sitúa en el cuadro de diálogo de resumen de la configuración:
Pulsamos finalizar y se aplica la configuración.
Vamos a realizar determinadas tareas como son:
1. Permitir al DC que utilice reenviadores
Lo primero que haremos será definir como objetos las IPs de los servidores DNS del dominio y las de los reenviadores que utilizaremos, como miembros de dos conjuntos de equipos, los servidores DNS del dominio y los Reenviadores de DNS. Para ello, en la consola de administración de TMG, en el panel del árbol nos situamos en el nodo Firewall policy, en el panel de tareas hacemos clic en la pestaña Toolbox, hacemos clic derecho sobre Computer Sets y ejecutamos New Computer Set…:
Esto abre el cuadro de diálogo de nuevo elemento de regla de conjunto de equipos (en el ejemplo crearemos el conjunto de reenviadores):
En este cuadro de diálogo pulsaremos agregar y en el desplegable pulsaremos en equipo; se abre el cuadro de diálogo de elemento de regla de equipo, donde pondremos el nombre, la IP y una descripción:
Pulsamos OK y veremos creado el nuevo equipo. Repetimos este procedimiento con tantos reenviadores como queramos usar y con tantos servidores DNS como necesitemos dar de alta:
Una vez creado el conjunto se pulsa aceptar. El mismo procedimiento seguimos para crear un conjunto de los servidores DNS del dominio, con lo que en la lista de conjuntos de equipos quedará así:
A continuación hacemos clic en el panel de tareas en la pestaña Tasks y clic en Create Access Rule:
Esto abrirá el asistente de nueva regla de acceso en cuadro de diálogo de bienvenida, en el cual escribiremos el nombre que queremos dar a la nueva regla:
Pulsamos siguiente y el asistente se ubica en el cuadro de diálogo de acción de la regla, en el que seleccionaremos permitir:
Pulsamos siguiente y el asistente se sitúa en el cuadro de diálogo de Protocolos:
Pulsamos el botón agregar y se abre el cuadro de diálogo de agregar protocolos:
En él desplegamos la carpeta Infrastructure, seleccionamos DNS y DNS Server, pulsamos agregar y pulsamos cerrar. Esto nos devuelve al cuadro de diálogo de protocolos:
A continuación pulsamos siguiente, lo que sitúa al asistente en el cuadro de diálogo de reglas de origen del tráfico:
Pulsamos en el botón agregar, lo que abre el cuadro de diálogo de agregar entidades de red:
Expandimos la carpeta Computer Sets, hacemos clic en Servidores DNS del domino y hacemos clic en el botón agregar y después en el botón cerrar. Con esto veremos que se ha agregado el conjunto de equipos:
Pulsamos siguiente, lo que lleva al asistente al cuadro de diálogo de destinos de regla de acceso, de operativa igual al del cuadro de diálogo de orígenes de regla de acceso. En este caso seleccionaremos los reenviadores:
Pulsamos siguiente y el asistente se sitúa en el cuadro de diálogo de conjuntos de usuarios a los que se aplica la regla, el cual dejaremos tal y como se presenta, con el conjunto All Users:
Pulsamos siguiente y el asistente se va al cuadro de diálogo de resumen, en el que pulsaremos finalizar:
Una vez creada la regla, aplicamos los cambios:
Una vez aplicados los cambios pulsamos el botón aceptar:
Con esto ya habremos configurado los reenviadores y con ello la salida a Internet estará completada.